гугл перенаправляет.

medmanmailru · 11.01.2012, 18:02

Любым браузером(chrome, firefox, opera, ie) найдя что-либо через сайт-поисковик google, тыкая в любые найденные варианты сайтов, на любой поисковый запрос, всё время открывается(т.е. получается перенаправляюсь) одна и та же страница. Пользуясь другими поисковыми серверами, например ya.ru - всё в порядке. Антивирусы ничегоне находят что делать?

Angel-iz-Ada · 11.01.2012, 18:09

делаем логи http://pchelpforum.ru/f26/t6442/

medmanmailru · 11.01.2012, 19:17

Вот архив со всеми логами:
http://rghost.ru/35853037

Angel-iz-Ada · 11.01.2012, 19:40

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код:

;;uVS v3.73 script [http://dsrt.dyndns.org]

delref HTTP://SEARCH.QIP.RU
delref HTTP://WWW.SMAXI.BIZ
bl 5E81620DC0954023962D4FE7B725BDCC 25088
delall %SystemRoot%\ASSEMBLY\GAC_MSIL\DESKTOP.INI
delall %Sys32%\CONFIG\SYSTEMPROFILE\LOCAL SETTINGS\TEMP\._MSIGE61\GOOGLEEARTH.EXE
deltmp
delnfr
regt 1
regt 12
regt 14
regt 13
restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.

medmanmailru · 11.01.2012, 19:46

последней базой NOdа находит Rootkit.Agent.NUS и Sirefef.CH. Но с первым ничего сделать не может, а со вторым говорит после перезагрузки будет удалён но после оной всё равно его находит.

Angel-iz-Ada · 11.01.2012, 19:48

лог mbam делайте пока что

medmanmailru · 11.01.2012, 20:11

лог
http://rghost.ru/35854054

---------- Добавлено в 19:11 ---------- Предыдущее сообщение было написано в 19:09 ----------

я кстати не закрываю Malwarebytes , т.к. он предлагает лечить, точнее удалить эти три объекта. выполнять?

Angel-iz-Ada · 11.01.2012, 20:11

Удалить это:

Цитата:

C:\WINDOWS\system32\AdCache (AdWare.Cydoor) -> Действие не было предпринято.

Перезагрузиться. Проверить что с проблемой

medmanmailru · 11.01.2012, 20:23

Спасибо. Проблема решена в части работы поисковика google, на другие страницы не перенаправляет.
Но Eset NOD32 antivirus 4 попрежнему находит:
Оперативная память » services.exe(1128) - модифицированный Win32/Rootkit.Agent.NUS троянская программа - очистка невозможна.
Оперативная память » C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini - модифицированный Win32/Sirefef.CH троянская программа - очищен удалением (после следующего перезапуска)

И ещё вопрос: Malwarebytes предлагал удалить какие-то три трояна, вы сказали удалять только один из них, остальные что не трогать или это были не трояны?

Angel-iz-Ada · 11.01.2012, 20:27

второй не троян был. сделайте повторный лог uVS

---------- Добавлено в 17:27 ---------- Предыдущее сообщение было написано в 17:27 ----------

кстати, скрипт из 4 поста выполняли?

medmanmailru · 11.01.2012, 20:45

4й пост выполнял. Он долго ещё всякие временные файлы мне удалял.

"повторный лог"
это тот что: 4. Появится окно программы - нажать "запустить под текущим пользователем".

5. Далее меню Файл / Сохранить Полный образ автозапуска.
?

"втрой не троян был" а первый? ( HKCR\CLSID\MADOWN (Worm.Magania), или C:\WINDOWS\notepad.exe (Trojan.Agent) )

---------- Добавлено в 19:45 ---------- Предыдущее сообщение было написано в 19:31 ----------

Свежий лог UVS http://rghost.ru/35854867

Angel-iz-Ada · 11.01.2012, 21:15

в uVS выполнить скрипт из буфера обмена:

Цитата:

;uVS v3.73 script [http://dsrt.dyndns.org]

bl 5E81620DC0954023962D4FE7B725BDCC 25088
delall %SystemRoot%\ASSEMBLY\GAC_MSIL\DESKTOP.INI
deltmp
delnfr
zoo %SystemRoot%\OEMLOGO.EXE
delall %SystemRoot%\OEMLOGO.EXE
delnfr
restart

---------- Добавлено в 18:15 ---------- Предыдущее сообщение было написано в 18:14 ----------

после перезагрузки сделать повторный лог uVS

medmanmailru · 11.01.2012, 22:44

скрипт выполнил.

повторный лог
http://rghost.ru/35857279

---------- Добавлено в 21:44 ---------- Предыдущее сообщение было написано в 21:42 ----------

Eset NOD32 antivirus 4 попрежнему находит:
Оперативная память » services.exe(1128) - модифицированный Win32/Rootkit.Agent.NUS троянская программа - очистка невозможна.
Оперативная память » C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini - модифицированный Win32/Sirefef.CH троянская программа - очищен удалением (после следующего перезапуска)

Angel-iz-Ada · 11.01.2012, 22:45

попробуйте этот же скрипт выполнить в Безопасном режиме

medmanmailru · 11.01.2012, 23:07

выполнил в безопасном режиме.
повторный лог:
http://rghost.ru/35857814

---------- Добавлено в 22:07 ---------- Предыдущее сообщение было написано в 22:06 ----------

Оперативная память » services.exe(1128) - модифицированный Win32/Rootkit.Agent.NUS троянская программа - очистка невозможна
Оперативная память » C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini - модифицированный Win32/Sirefef.CH троянская программа - очищен удалением (после следующего перезапуска).

мда... может чем другим попробывать?

11.01.2012, 18:02	#1 (ссылка)
medmanmailru Новичок Регистрация: 11.01.2012 Сообщений: 42 Репутация: 0	гугл перенаправляет. Любым браузером(chrome, firefox, opera, ie) найдя что-либо через сайт-поисковик google, тыкая в любые найденные варианты сайтов, на любой поисковый запрос, всё время открывается(т.е. получается перенаправляюсь) одна и та же страница. Пользуясь другими поисковыми серверами, например ya.ru - всё в порядке. Антивирусы ничегоне находят что делать?

11.01.2012, 19:40	#4 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена Вставляем текст скрипта: Перед выполнением скрипта, закрыть браузеры! Код: ;;uVS v3.73 script [http://dsrt.dyndns.org] delref HTTP://SEARCH.QIP.RU delref HTTP://WWW.SMAXI.BIZ bl 5E81620DC0954023962D4FE7B725BDCC 25088 delall %SystemRoot%\ASSEMBLY\GAC_MSIL\DESKTOP.INI delall %Sys32%\CONFIG\SYSTEMPROFILE\LOCAL SETTINGS\TEMP\._MSIGE61\GOOGLEEARTH.EXE deltmp delnfr regt 1 regt 12 regt 14 regt 13 restart И жмем Выполнить. После выполнения скрипта - ПК перезагрузится. После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.

11.01.2012, 20:45	#11 (ссылка)
medmanmailru Новичок Регистрация: 11.01.2012 Сообщений: 42 Репутация: 0	4й пост выполнял. Он долго ещё всякие временные файлы мне удалял. "повторный лог" это тот что: 4. Появится окно программы - нажать "запустить под текущим пользователем". 5. Далее меню Файл / Сохранить Полный образ автозапуска. ? "втрой не троян был" а первый? ( HKCR\CLSID\MADOWN (Worm.Magania), или C:\WINDOWS\notepad.exe (Trojan.Agent) ) ---------- Добавлено в 19:45 ---------- Предыдущее сообщение было написано в 19:31 ---------- Свежий лог UVS http://rghost.ru/35854867 Последний раз редактировалось medmanmailru; 11.01.2012 в 20:36.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирус перенаправляет на Internet.com	nicknames	Безопасность	1	18.11.2011 01:57
Вирус перенаправляет на internet.com	f-ildar	Безопасность	4	25.10.2011 16:07
Вирус перенаправляет на internet.com	silvertaff	Безопасность	5	24.10.2011 19:21
ПЕренаправляет на сайт ростелекома	Vladimir_1990	Безопасность	1	03.08.2011 12:22
браузер перенаправляет на ростелеком	Alcap0n	Безопасность	4	02.08.2011 02:26

11.01.2012, 18:09	#2 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	делаем логи http://pchelpforum.ru/f26/t6442/

11.01.2012, 19:17	#3 (ссылка)
medmanmailru Новичок Регистрация: 11.01.2012 Сообщений: 42 Репутация: 0	Вот архив со всеми логами: http://rghost.ru/35853037

11.01.2012, 19:46	#5 (ссылка)
medmanmailru Новичок Регистрация: 11.01.2012 Сообщений: 42 Репутация: 0	последней базой NOdа находит Rootkit.Agent.NUS и Sirefef.CH. Но с первым ничего сделать не может, а со вторым говорит после перезагрузки будет удалён но после оной всё равно его находит.

11.01.2012, 19:48	#6 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	лог mbam делайте пока что

11.01.2012, 20:11	#7 (ссылка)
medmanmailru Новичок Регистрация: 11.01.2012 Сообщений: 42 Репутация: 0	лог http://rghost.ru/35854054 ---------- Добавлено в 19:11 ---------- Предыдущее сообщение было написано в 19:09 ---------- я кстати не закрываю Malwarebytes , т.к. он предлагает лечить, точнее удалить эти три объекта. выполнять?

11.01.2012, 20:23	#9 (ссылка)
medmanmailru Новичок Регистрация: 11.01.2012 Сообщений: 42 Репутация: 0	Спасибо. Проблема решена в части работы поисковика google, на другие страницы не перенаправляет. Но Eset NOD32 antivirus 4 попрежнему находит: Оперативная память » services.exe(1128) - модифицированный Win32/Rootkit.Agent.NUS троянская программа - очистка невозможна. Оперативная память » C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini - модифицированный Win32/Sirefef.CH троянская программа - очищен удалением (после следующего перезапуска) И ещё вопрос: Malwarebytes предлагал удалить какие-то три трояна, вы сказали удалять только один из них, остальные что не трогать или это были не трояны?

11.01.2012, 20:27	#10 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	второй не троян был. сделайте повторный лог uVS ---------- Добавлено в 17:27 ---------- Предыдущее сообщение было написано в 17:27 ---------- кстати, скрипт из 4 поста выполняли?

11.01.2012, 22:44	#13 (ссылка)
medmanmailru Новичок Регистрация: 11.01.2012 Сообщений: 42 Репутация: 0	скрипт выполнил. повторный лог http://rghost.ru/35857279 ---------- Добавлено в 21:44 ---------- Предыдущее сообщение было написано в 21:42 ---------- Eset NOD32 antivirus 4 попрежнему находит: Оперативная память » services.exe(1128) - модифицированный Win32/Rootkit.Agent.NUS троянская программа - очистка невозможна. Оперативная память » C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini - модифицированный Win32/Sirefef.CH троянская программа - очищен удалением (после следующего перезапуска)

11.01.2012, 22:45	#14 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	попробуйте этот же скрипт выполнить в Безопасном режиме

11.01.2012, 23:07	#15 (ссылка)
medmanmailru Новичок Регистрация: 11.01.2012 Сообщений: 42 Репутация: 0	выполнил в безопасном режиме. повторный лог: http://rghost.ru/35857814 ---------- Добавлено в 22:07 ---------- Предыдущее сообщение было написано в 22:06 ---------- Оперативная память » services.exe(1128) - модифицированный Win32/Rootkit.Agent.NUS троянская программа - очистка невозможна Оперативная память » C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini - модифицированный Win32/Sirefef.CH троянская программа - очищен удалением (после следующего перезапуска). мда... может чем другим попробывать?

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)