путь тоже был изменен на : "C:\Program Files (x86)\Google\chrome.bat" "http://search-hip.ru"
который так же был добавлен администратором.
путь тоже был изменен на : "C:\Program Files (x86)\Google\chrome.bat" "http://search-hip.ru"
который так же был добавлен администратором.
Уважаемый(ая) Kitz, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\sbrf18\AppData\Roaming\Dealply\UpdateProc\UpdateTask.exe',''); QuarantineFile('C:\Program Files (x86)\Приложение sportbox.ru\toolbar.dll',''); DelBHO('{bc7ea327-e43c-3260-870b-1ea6c6c90cc5}'); DelBHO('{6397d626-2dfb-3b8c-bfd9-3878e9100284}'); QuarantineFile('C:\Program Files (x86)\Приложение sportbox.ru\updatebhoWin32.dll',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\sbrf18\AppData\Roaming\eTranslator\eTranslator.exe',''); QuarantineFile('C:\Users\sbrf18\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe',''); QuarantineFile('C:\Program Files (x86)\Google\chrome.bat',''); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command'); DeleteFile('C:\Users\sbrf18\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\sbrf18\AppData\Roaming\eTranslator\eTranslator.exe','32'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Program Files (x86)\Приложение sportbox.ru\updatebhoWin32.dll','32'); DeleteFile('C:\Program Files (x86)\Приложение sportbox.ru\toolbar.dll','32'); DeleteFile('C:\Users\sbrf18\AppData\Roaming\Dealply\UpdateProc\UpdateTask.exe','32'); DeleteFile('C:\Windows\Tasks\Dealply.job','64'); DeleteFile('C:\Windows\system32\Tasks\Dealply','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Сделайте новые логиКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2440333f77d06a0304831ef94ec2bf97&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2440333f77d06a0304831ef94ec2bf97&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2440333f77d06a0304831ef94ec2bf97&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2440333f77d06a0304831ef94ec2bf97&text= O2 - BHO: Search App by Ask BHO - {4F524A2D-5350-4500-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport.dll" (file missing) O2 - BHO: Shopping App by Ask BHO - {4F524A2D-5354-2D53-5045-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport.dll" (file missing) O2 - BHO: Update Timer - {6397d626-2dfb-3b8c-bfd9-3878e9100284} - C:\Program Files (x86)\Приложение sportbox.ru\updatebhoWin32.dll (file missing) O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll (file missing) O3 - Toolbar: Search App by Ask - {4F524A2D-5350-4500-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport.dll" (file missing) O3 - Toolbar: Shopping App by Ask - {4F524A2D-5354-2D53-5045-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport.dll" (file missing) O18 - Protocol: base64 - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file) O18 - Protocol: chrome - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file) O18 - Protocol: prox - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
Сделайте логи RSIT
Сделайте лог Check Browsers' LNK
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Here
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
here
А второй лог где?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот оба, забыл, извиняюсь
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKU\S-1-5-21-2107271787-754549905-2737893530-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD10EALS-00Z8A0_WD-WCATR209572695726&ts=1376337359 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD10EALS-00Z8A0_WD-WCATR209572695726&ts=1376337359 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD10EALS-00Z8A0_WD-WCATR209572695726&ts=1376337359 SearchScopes: HKLM-x32 -> Yandex URL = http://yandex.ru/yandsearch?text={searchTerms}&from=os&clid=1772720 SearchScopes: HKLM-x32 -> {154d339e-ccaa-49a5-9b38-6878ad4220bc} URL = http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD10EALS-00Z8A0_WD-WCATR209572695726&ts=1376337359 SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157 SearchScopes: HKLM-x32 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = SearchScopes: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2440333f77d06a0304831ef94ec2bf97&text={searchTerms} SearchScopes: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> yandex.ru-091034 URL = SearchScopes: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> yandex.ru-095826 URL = SearchScopes: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> yandex.ru-111911 URL = SearchScopes: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> yandex.ru-123140 URL = SearchScopes: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> yandex.ru-191511 URL = SearchScopes: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2440333f77d06a0304831ef94ec2bf97&text={searchTerms} SearchScopes: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2440333f77d06a0304831ef94ec2bf97&text= SearchScopes: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = SearchScopes: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> {154d339e-ccaa-49a5-9b38-6878ad4220bc} URL = SearchScopes: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> {B7471AF2-0A15-4C09-B0DF-21D07B106218} URL = BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File BHO-x32: Yontoo -> {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} -> C:\Program Files (x86)\Yontoo\YontooIEClient.dll No File Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-2107271787-754549905-2737893530-1000 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik_x64.dll No File FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll No File FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1204144.dll No File FF Plugin-x32: @esn.me/esnsonar,version=0.70.4 -> C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.4\npesnsonar.dll No File FF Plugin-x32: @esn/esnlaunch,version=2.1.3 -> C:\Program Files (x86)\Battlelog Web Plugins\2.1.3\npesnlaunch.dll No File FF Plugin-x32: @esn/esnlaunch,version=2.1.7 -> C:\Program Files (x86)\Battlelog Web Plugins\2.1.7\npesnlaunch.dll No File FF Plugin-x32: @gamersfirst.com/LiveLauncher -> C:\Program Files (x86)\GamersFirst\LIVE!\nplivelauncher.dll No File FF Plugin-x32: @t.garena.com/garenatalk -> D:\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll No File FF SearchPlugin: C:\Users\sbrf18\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\conduit-search.xml CHR Extension: (Универсальный перевод для Chrome) - C:\Users\sbrf18\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcnhkahnjcbndmmehfkdnkjomaanaooo [2015-02-10] CHR HKLM-x32\...\Chrome\Extension: [bmbpbcpokffodhpcdjaoopolhdlbconi] - C:\Users\sbrf18\AppData\Local\Temp\tbch.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path CHR HKLM-x32\...\Chrome\Extension: [lpoimibckejjdjcfbdnajaicnklhfplh] - https://chrome.google.com/webstore/detail/lpoimibckejjdjcfbdnajaicnklhfplh [Not Found] CHR HKLM-x32\...\Chrome\Extension: [niapdbllcanepiiimjjndipklodoedlc] - C:\Program Files (x86)\Yontoo\YontooLayers.crx [Not Found] 2015-02-10 22:33 - 2015-02-10 22:33 - 00000146 ____H () C:\Users\sbrf18\AppData\Local\Yandex.bat 2015-02-10 22:33 - 2015-02-10 22:33 - 00000000 ____D () C:\Windows\SysWOW64\GroupPolicy 2015-02-10 22:33 - 2014-12-12 19:56 - 00103752 ____H () C:\Users\sbrf18\AppData\Local\Yаndех.bаt.exe 2015-02-10 22:32 - 2013-02-22 08:10 - 00757376 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe 2015-02-10 22:31 - 2015-02-10 22:32 - 00000040 _____ () C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys 2015-02-10 22:31 - 2015-02-10 22:32 - 00000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys 2015-02-10 22:31 - 2015-02-10 22:31 - 00000151 ____H () C:\Users\sbrf18\AppData\Local\chrome.bat 2015-02-10 22:30 - 2015-02-10 22:33 - 00000177 ____H () C:\Windows\SafariIco.bat 2015-02-10 22:30 - 2014-01-19 19:39 - 00897024 ____H () C:\Windows\SаfаriIсо.bаt.exe 2015-02-10 22:28 - 2015-02-10 22:28 - 00000000 ____D () C:\Users\sbrf18\AppData\Roaming\eTranslator 2015-02-11 16:29 - 2011-11-23 14:46 - 00000000 ____D () C:\Users\sbrf18\AppData\Local\Conduit 2015-02-11 16:29 - 2011-11-23 14:46 - 00000000 ____D () C:\Program Files (x86)\Conduit 2015-02-10 22:33 - 2015-02-10 22:33 - 0000146 ____H () C:\Users\sbrf18\AppData\Local\Yandex.bat 2015-02-10 22:33 - 2014-12-12 19:56 - 0103752 ____H () C:\Users\sbrf18\AppData\Local\Yаndех.bаt.exe 2010-09-01 20:46 - 2010-09-01 20:46 - 0004990 _____ () C:\ProgramData\mtbjfghn.xbe 2011-06-15 11:05 - 2011-06-15 11:05 - 0004961 _____ () C:\ProgramData\oafcpcef.qqj 2012-11-29 20:54 - 2012-11-29 20:54 - 0005095 _____ () C:\ProgramData\xpbthzbm.qqq Task: {8B5E826E-36A4-4ADF-8335-1C3E1066109D} - \{8D8109C1-39C7-430F-9279-E4F577732093} No Task File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:BF14D50A AlternateDataStreams: C:\Users\sbrf18\Local Settings:wa AlternateDataStreams: C:\Users\sbrf18\AppData\Local:wa AlternateDataStreams: C:\Users\sbrf18\AppData\Local\Application Data:wa AlternateDataStreams: C:\Users\Все пользователи\TEMP:BF14D50A Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Пожалуйста
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Теперь все в порядке, спасибо большое.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Kitz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.