Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Firefox и Chrome при запуске открывают ~900 вкладок с yandex.ru (http://forum.oszone.net/showthread.php?t=298298)

Movenpick 13-04-2015 15:50 2495142
Firefox и Chrome при запуске открывают ~900 вкладок с yandex.ru
 
Вложений: 1
Добрый день!
Firefox и Chrome при запуске открывают ~900 вкладок со ссылкой яндекс.ру/?clid=1782907, при этом всё виснет наглухо.
Переустановка браузера помогает до первого перезапуска браузера.
Прикладываю к сабжу логи с автологера.

Заранее спасибо за помощь!

regist 13-04-2015 17:56 2495194
1)
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

2) 1Password 4.3.0.556 [20150327]-->"C:\Program Files (x86)\1Password 4\unins000.exe"

эти программы вам знакомы? Если нет, то деинсталлируйте.

iskander-k 13-04-2015 17:57 2495198
Через Удаление Программ удалите

Mobogenie
Search Protection


Программу Яндекс диск вы устанавливали ?



Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 QuarantineFile('C:\Users\La Manche\AppData\Roaming\Search Protection\SP.EXE','');
 DeleteFile('C:\Users\La Manche\AppData\Roaming\Search Protection\SP.EXE','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip


HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=1782907
O4 - HKCU\..\Run: [Search Protection] "C:\Users\La Manche\AppData\Roaming\Search Protection\SP.EXE" /autostart
O4 - HKCU\..\Run: [SyncManPath] "C:\Users\La Manche\AppData\Roaming\Yandex\YandexDisk\YandexDisk.exe" -autostart



• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, подробнее здесь . Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt

Movenpick 15-04-2015 12:22 2496024
Вложений: 2
regist,
1. Готово, лог AdwCleaner прикладываю.
2. Программа 1Password знакома, проверенная, пользуюсь ею.

iskander-k,
3. Mobogenie в "Установка и удаление программ" не было, а Search Protection деинсталлировал оттуда. Программу Яндекс.Диск устанавливал, пользуюсь ей активно.
4. Указанные скрипты в указанной последовательности выполнил в AVZ.
5. В HiJackThis пофиксил всё, кроме последней строчки, т.к. не понял, чем вреден автозапуск Яндекс.Диска, т.к. по работе мне всё равно придётся его ручками чуть ли не каждый день запускать при включении компьютера.
6. Сканирование через Malwarebytes' Anti-Malware провёл, лог прикладываю.

Жду дальнейших указаний.

Спасибо за помощь!

regist 15-04-2015 13:43 2496102
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Movenpick 15-04-2015 14:00 2496108
Вложений: 1
regist,

Очистку произвел, перезагрузился, лог прикладываю.

Movenpick 16-04-2015 13:34 2496565
iskander-k, добрый день!

Очень жду дальнейших указаний по Вашим советам :)

regist 16-04-2015 13:46 2496577
лог AdwCleaner переделайте с подключённым интернетом.

Movenpick 16-04-2015 15:26 2496637
Вложений: 1
regist, по предыдущему Вашему комментарию (исправленному) уже успел деинсталлировать AdwCleaner.
Скачал заново, просканировал, лог прикрепляю.

Сейчас параллельно сканируется повторно система через MBAM.
По окончании выложу лог.

Если говорить о текущей ситуации, то новое открытие хрома или файрфокса по-прежнему открывает очень много одинаковых вкладок, но, я так полагаю, что нужно что-то удалить из найденного через MBAM, чего мы пока не делали. Хотя вот если кликать по ссылке из почтового клиента, например, то браузер по умолчанию (а у меня это - Хром) открывается без подобной проблемы. Т.е. открывается единственная и нужная мне вкладка. А вот если запускать браузеры через ярлык, то происходит беда.

regist 16-04-2015 16:50 2496687
Цитата:
Цитата Movenpick
Сейчас параллельно сканируется повторно система через MBAM.
По окончании выложу лог. »
ок, ждём. По окончанию пока не закрывайте MBAM.

Цитата:
Цитата Movenpick
А вот если запускать браузеры через ярлык, то происходит беда. »
тогда дополнительно ещё такой лог сделайте http://safezone.cc/resources/check-b...as-regist.122/

Movenpick 16-04-2015 17:19 2496703
Вложений: 2
regist,
MBAM и Check Browsers LNK отсканили, логи прикладываю.

Может я, конечно, "бегу впереди паровоза", но не стерпел и поковырял вот эти файлы:
По GoogleChrome: C:\Users\имя пользователя\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences - в нём удалил кучу тех самых ссылок стартовых на яндекс, всё вернулось в норму.
По Firefox: C:\Users\имя пользователя\AppData\Roaming\Mozilla\Firefox\Profiles\ХХХХХХХ.default\prefs.js - обнаружил, что он весит ~150 mb, а рядом с ним лежит нечто вроде prefs.js_backup. Учитывая, что я лисой практически не пользуюсь, и что её настройки мне не важны (настройки вроде как раз в этом файле хранятся, это некий профиль), то я недолго думая снёс основной тяжеловесный файл, а prefs.js_backup превратил в prefs.js, т.е. как в основной - проблема тут тоже ушла.

Касательно MBAM - стоит ли что-то удалить, исходя из лога? Папку Temp очистил (в ней был SearchProtectionSetup.exe). Программу ProduKey тоже удалил, не нуждаюсь более в ней. Все остальные пункты - это ключи реестра, не знаю насколько они важны или опасны.

iskander-k 16-04-2015 20:11 2496782
Цитата:
Цитата Movenpick
Касательно MBAM - стоит ли что-то удалить, исходя из лога? »
да , можете удалить все что найдно

Movenpick 17-04-2015 10:42 2496984
regist, iskander-k,
Благодарю за помощь!

Sandor 17-04-2015 10:49 2496990
В завершение -

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Прочтите и выполните Рекомендации после лечения.

Movenpick 17-04-2015 12:16 2497065
Sandor, спасибо!
Уязвимостей 0. Обновил всё, что можно.
В параллель к Касперскому поставил Spyware Terminator для мониторинга в реальном времени. И всё-таки решил вернуть контроль учетных записей.

Sandor 17-04-2015 12:18 2497067
Цитата:
Цитата Movenpick
вернуть контроль учетных записей »
И это правильно))

Удачи!


Время: 08:03.

Время: 08:03.
© OSzone.net 2001-