Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] В браузерах открываются всплывающие рекламные сообщения (http://forum.oszone.net/showthread.php?t=294611)

Manase940N 28-01-2015 17:28 2462771
В браузерах открываются всплывающие рекламные сообщения
 
Вложений: 1
День добрый!

Во всех установленных браузерах во время работы всплывают рекламные сообщения, 2-3 шт в окне.
Помогите решить проблему.

Файл логов прикреплен.

iskander-k 28-01-2015 20:46 2462871
Через панель управление установка программ удалите

WindowsMangerProtect
Mobogenie
Амиго


Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 QuarantineFile('C:\Windows\syswow64\hfpapi.dll','');
 QuarantineFile('C:\Windows\syswow64\hfnapi.dll','');
 QuarantineFile('C:\Windows\system32\hfpapi.dll','');
 QuarantineFile('C:\Windows\system32\hfnapi.dll','');
 QuarantineFile('C:\Users\1\AppData\Roaming\ETAY.exe','');
 QuarantineFile('C:\Program Files (x86)\Sm23mS\d8082730-4218-408a-8f65-efb14822ea38-5.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\CWCWEDA.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\CJPDDP.exe','');
 QuarantineFile('C:\ProgramData\IePluginSe','');
 QuarantineFile('C:\Windows\system32\Drivers\webinstrNewH.sys','');
 DeleteService('webinstrNewH');
 StopService('webinstrNewH');
 QuarantineFile('C:\Windows\system32\drivers\nethfdrv.sys','');
 DeleteService('nethfdrv');
 SetServiceStart('nethfdrv', 4);
 StopService('nethfdrv');
 DeleteFile('C:\Windows\system32\drivers\nethfdrv.sys','32');
 DeleteFile('C:\Windows\system32\Drivers\webinstrNewH.sys','32');
 DeleteFile('C:\ProgramData\IePluginSe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\CJPDDP.exe','32');
 DeleteFile('C:\Windows\Tasks\CJPDDP.job','64');
 DeleteFile('C:\Users\1\AppData\Roaming\CWCWEDA.exe','32');
 DeleteFile('C:\Windows\Tasks\CWCWEDA.job','64');
 DeleteFile('C:\Program Files (x86)\Sm23mS\d8082730-4218-408a-8f65-efb14822ea38-5.exe','32');
 DeleteFile('C:\Windows\Tasks\d8082730-4218-408a-8f65-efb14822ea38-5_user.job','64');
 DeleteFile('C:\Users\1\AppData\Roaming\ETAY.exe','32');
 DeleteFile('C:\Windows\Tasks\ETAY.job','64');
 DeleteFile('C:\Windows\system32\hfnapi.dll','32');
 DeleteFile('C:\Windows\system32\hfpapi.dll','32');
 DeleteFile('C:\Windows\syswow64\hfnapi.dll','32');
 DeleteFile('C:\Windows\syswow64\hfpapi.dll','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419849383&from=tugs&uid=WDCXWD5000BPVT-80HXZT3_WD-WXF1A610283402834
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419849383&from=tugs&uid=WDCXWD5000BPVT-80HXZT3_WD-WXF1A610283402834
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419849383&from=tugs&uid=WDCXWD5000BPVT-80HXZT3_WD-WXF1A610283402834&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419849383&from=tugs&uid=WDCXWD5000BPVT-80HXZT3_WD-WXF1A610283402834&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1419849383&from=tugs&uid=WDCXWD5000BPVT-80HXZT3_WD-WXF1A610283402834

Manase940N 29-01-2015 08:00 2462998
Все в порядке.
Спасибо!


Время: 10:29.

Время: 10:29.
© OSzone.net 2001-