Поисковик меняется [HEUR:Trojan.Win32.Generic ]

[Руслан3639]

Здравствуйте.
Пользуюсь хром, поисковик яндекс, при поиске выкидывает на рамблер (уже всё перепробовал, ничего не помогает) плюс стартует всё время фанди 24.
Помогите избавится, спасибо.

[Info_bot]

Уважаемый(ая) Руслан3639, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('TSSKX64', 4);
 StopService('TSSKX64');
 StopService('QMUdisk');
 QuarantineFileF('C:\Users\user\AppData\Local\SearchGo\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\user\AppData\LocalLow\SearchGo\searchgo.dll', '');
 QuarantineFile('C:\Windows\system32\drivers\tsskx64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16345.222\QMUdisk64.sys', '');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16345.222\QMUdisk64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\tsskx64.sys', '32');
 DeleteFile('C:\Users\user\appdata\locallow\searchgo\searchgo.dll', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 DeleteService('TSSKX64');
 DeleteService('QMUdisk');
 DeleteFileMask('C:\Users\user\AppData\Local\SearchGo\', '*', true);
 DeleteDirectory('C:\Users\user\AppData\Local\SearchGo\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ndfrgcshzw');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rrkletkypw', 'command');
 ExecuteRepair(10); 
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 ExecuteWizard('TSW', 2, 3, true);
 ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- сделайте лог Check Browsers' LNK by Dragokas & regist.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

[Руслан3639]

MD5 карантина: 5DE07EB592D16A5F555FBA34BE3A3570
Размер файла: 43917311 байт
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина
Результаты анализа будут доступны через 20-30 минут.



Файл сохранён как 160411_193105_virusinfo_autoquarantine_570bd149d0b ab.zip
Размер файла 546757
MD5 740b9d17aa659c6040f69bdf2616efbb


Вух, вроде всё сделал)

- - - - -Добавлено - - - - -

А что делать с результатами онлайн-проверкой CyberHelper?

- - - - -Добавлено - - - - -

Теперь плюс к поисковику, который всё время рамблер, периодически в новой вкладке всплывает реклама всякая, типа ставки на спорт, инет игры и страница фанди24.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Program Files (x86)\NEwSaveir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\YYoTeubeRAdsReemoov', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\Common Files\Metabar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\WindowsMangerProtect', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\user\appdata\locallow\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\user\AppData\Local\svshost\svshost.exe', '');
 QuarantineFileF('C:\Users\user\AppData\Local\svshost\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\users\user\SupTab', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\user\appdata\roaming\imagecropresize\imageed\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\users\user\AppData\Local\Kometa', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\users\user\AppData\Local\genienext', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\users\user\AppData\Local\Mobogenie', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\users\user\AppData\Roaming\newnext.me', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\user\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\user\Favorites\Links\Интернет.url', '');
 DeleteFile('C:\Users\user\AppData\Local\svshost\svshost.exe');
 DeleteFileMask('C:\Program Files (x86)\NEwSaveir', '*', true);
 DeleteFileMask('C:\Program Files (x86)\YYoTeubeRAdsReemoov', '*', true);
 DeleteFileMask('C:\ProgramData\WindowsMangerProtect', '*', true);
 DeleteFileMask('C:\Users\user\appdata\locallow\searchgo', '*', true);
 DeleteFileMask('C:\users\user\SupTab', '*', true);
 DeleteFileMask('C:\Users\user\appdata\roaming\imagecropresize\imageed\', '*', true);
 DeleteFileMask('C:\users\user\AppData\Local\Kometa', '*', true);
 DeleteFileMask('C:\users\user\AppData\Local\genienext', '*', true);
 DeleteFileMask('C:\users\user\AppData\Local\Mobogenie', '*', true);
 DeleteFileMask('C:\users\user\AppData\Roaming\newnext.me', '*', true);
 DeleteFileMask('C:\Program Files (x86)\Common Files\Metabar', '*', true);
 DeleteDirectory('C:\Program Files (x86)\NEwSaveir');
 DeleteDirectory('C:\Program Files (x86)\YYoTeubeRAdsReemoov');
 DeleteDirectory('C:\ProgramData\WindowsMangerProtect');
 DeleteDirectory('C:\Users\user\appdata\locallow\searchgo');
 DeleteDirectory('C:\users\user\SupTab');
 DeleteDirectory('C:\Users\user\appdata\roaming\imagecropresize\imageed\');
 DeleteDirectory('C:\users\user\AppData\Local\Kometa');
 DeleteDirectory('C:\users\user\AppData\Local\genienext');
 DeleteDirectory('C:\users\user\AppData\Local\Mobogenie');
 DeleteDirectory('C:\users\user\AppData\Roaming\newnext.me');
 DeleteDirectory('C:\Program Files (x86)\Common Files\Metabar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rrkletkypw', 'command');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[Руслан3639]

Файл сохранён как 160412_134216_quarantine_570cd10896739.zip
Размер файла 366310
MD5 6a63607be82315fec0ca429b2c200b00

[regist]

AdwCleaner[S1].txt
(20.4 Кб, 0 просмотров)

прочтите внимательно что я просил и прикрепите нужный лог

[Руслан3639]

Вроде всё сделал(((
Подскажите, что не так?

[regist]

Подскажите, что не так?

Читаете невнимательно, а как следствие прикрепляете не тот лог.

[Руслан3639]

Читаете невнимательно, а как следствие прикрепляете не тот лог.

Я прошу прошения, я не очень силён в компьютере.
Подскажите, что нужно сделать, я постараюсь без ошибок.
Спасибо за ранее.

[regist]

тут всё подробно расписано http://virusinfo.info/showthread.php...=1#post1041864

Если не используете программы от Mail.ru, то

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Руслан3639]

Спасибо).
Прикрепил.
После перезагрузки Браузер сам загружается(

[regist]

Сделайте свежий лог AdwCleaner-а.

После перезагрузки Браузер сам загружается(

не понял, что вы хотели сказать.

[Руслан3639]

Прикрепил, AdwCleaner написал, что ничего не обнаружил.
Я хотел сказать, что после загрузки комп-ра браузер запускается автоматически с страницей рекламы, и во время работы в хроме периодически всплывает новая вкладка с рекламой.

[regist]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

сделайте лог HiJackThis 2.0.6 Alfa 1.8

[Руслан3639]

прикрепил

[regist]

Профиксите в HijackThis

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rizapse.ru/?utm_content=7595dfa30edf900f4bcbfd246668dc5a&utm_source=startpm&utm_term=0DB577A71799BC2349FC4A920A65D027&utm_d=20160409
O2 - BHO: (no name) - {598AEFC6-DD3C-4A63-9AC3-53FCF6155931} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: (no name) - {2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC} - (no file)
O4 - MSConfig..HKLM: 2013/04/08 [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
O4 - MSConfig..HKLM: 2014/02/25 [uTorrent] "C:\Users\user\AppData\Roaming\uTorrent\uTorrent.exe"  /MINIMIZED (no file)
O4 - MSConfig..HKLM: 2016/04/01 [rrkletkypw] explorer "http://lyasino.ru/?utm_source=uoua03n&utm_content=9514c71cc316c8a025d3bf54c5694830&utm_term=0DB577A71799BC2349FC4A920A65D027" (no file)
O20 - AppInit_DLLs:  
O22 - ScheduledTask: (Ready) svshost - {root} - C:\Users\user\AppData\Local\svshost\svshost.exe 
O22 - ScheduledTask: (Ready) {C773C58D-48AA-42C7-A37E-8645FAA3419D} - {root} - C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe  (no file)

Сделайте свежий лог HijackThis + отпишитесь, что с проблемой?

[Руслан3639]

запустил HijackThis, отметил галочками указанный код, затем нажал Fix Checked, пишет "эрор".

[regist]

нажал Fix Checked, пишет "эрор".

после этого в буфере обмена будут код ошибки с описанием ошибки. Вставьте его сюда на форум. Или хотя бы скрин ошибки прикрепите.

[Руслан3639]

Выполнил снова сканирование HiJackThis, чтоб посмотреть какой "эрор" будет, а в перечне уже не оказалось строк которые Вы просили.
Проблема не пропала, грузится фанди 24.