Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] YaFinder , Во всех браузерах выходит поисковик YaFinder

1
RSS
 
Александр
Александр
Пользователь
Сообщений: 24
Баллов: 12
Регистрация: 06.05.2013
Размещено 13.10.2013 18:37:44
Изменял домашнею страницу не момогло , не могу найти где сидит этот зловред. Будьте добры помочь.
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 13.10.2013 18:41:52
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\МЭЛТ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

zoo %SystemDrive%\USERS\МЭЛТ\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
addsgn 1A65719A55839B8EF42B5194406C9105DAAF40530AFAE05DD96646BCAFF329E9A01748A86BDE71B65E886C1EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 mediaget

delall %SystemDrive%\USERS\МЭЛТ\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\МЭЛТ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TOPFACE.LNK

delref HTTP://SEARCH.TICNO.COM/?C=T&Q=

delref HTTP://START.TICNO.COM?KEY=D619DF6C-2394-4CB5-9741-F30CD6E36259

delref HTTP://SEARCH.CONDUIT.COM/?CTID=CT3289075&CUI=UN28215053257282820&UM=1&SEARCHSOURCE=13
delref HTTP://SEARCH.CONDUIT.COM/?CTID=CT3289075&SEARCHSOURCE=48&CUI=UN34300061532748025&UM=1

delref IEXPLORE.EXE

delref HTTP://WEBALTA.RU/SEARCH

delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\TICNOTABSBHO120618.DLL

delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\UPDATER.DLL

delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\SQLITE3.DLL

; Java(TM) 6 Update 38
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216038FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Изменено: santy - 13.10.2013 18:46:28
[ Как создать образ автозапуска? ]
 
Александр
Александр
Пользователь
Сообщений: 24
Баллов: 12
Регистрация: 06.05.2013
Размещено 13.10.2013 19:05:30
Поисковика больше не видно , только вот браузера кроме оперы ничего не запускалось , зашел в свойства и где объект в конце имени было url изменил значение на exe  и все пошло. Спасибо.
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 13.10.2013 19:06:14
Цитата
зашел в свойства и где объект в конце имени было url изменил значение на exe
угу, что-то новое. в url-файлах видимо были прописаны запуск левых стартовых страниц.

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Изменено: santy - 13.10.2013 19:07:52
[ Как создать образ автозапуска? ]
 
Александр
Александр
Пользователь
Сообщений: 24
Баллов: 12
Регистрация: 06.05.2013
Размещено 13.10.2013 19:07:24
сканирую , пока всё чисто. ))
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 13.10.2013 19:08:37
если будет чисто,
сделайте еще проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
[ Как создать образ автозапуска? ]
 
Александр
Александр
Пользователь
Сообщений: 24
Баллов: 12
Регистрация: 06.05.2013
Размещено 13.10.2013 19:30:18
малваребайт нашел 4 вируса удалил . Вот лог от АдвКлинера
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 13.10.2013 19:35:42
в АдвКлинере удалите все найденное за исключением

Цитата
Folder Found C:\Program Files\Mail.Ru
Folder Found C:\Users\Мэлт\AppData\Local\Mail.Ru
Folder Found C:\Users\Мэлт\AppData\LocalLow\Mail.Ru
Folder Found C:\Users\Мэлт\AppData\Roaming\Mail.Ru
Folder Found C:\Users\Мэлт\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru

далее,
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
 
1
Читают тему