Показано с 1 по 15 из 15.

Поисковые системы GetSearch и go.mail.ru (заявка № 192144)

  1. #1
    Junior Member Репутация
    Регистрация
    13.10.2014
    Сообщений
    32
    Вес репутации
    35

    Поисковые системы GetSearch и go.mail.ru

    Появились и не удаляются вредоносные поисковые системы в Google Chrome - GetSearch и go.mail.ru, причем GetSearch невозможно удалить в настройках из-за того, что просит прав администратора. Прикладываю файлы к сообщению.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Carboni, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите Check Browsers LNK.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
    5. Прикрепите этот отчет в вашей теме.


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\iexplore.bat','');
     QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
     QuarantineFile('C:\Users\Carboni\AppData\Roaming\ASPackage\ASPackage.exe','');
     TerminateProcessByName('c:\users\carboni\appdata\local\ffffffff-1446467480-ffff-ffff-ffffffffffff\snsqacec.tmp');
     QuarantineFile('c:\users\carboni\appdata\local\ffffffff-1446467480-ffff-ffff-ffffffffffff\snsqacec.tmp','');
     TerminateProcessByName('c:\windows\syswow64\searchprotectservice.exe');
     QuarantineFile('c:\windows\syswow64\searchprotectservice.exe','');
     QuarantineFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\knsf4760.tmp','');
     QuarantineFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\jnsq411d.tmp','');
     QuarantineFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\hnsl5d56.tmp','');
     DeleteFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\hnsl5d56.tmp','32');
     DeleteFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\jnsq411d.tmp','32');
     DeleteFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\knsf4760.tmp','32');
     DeleteFile('c:\windows\syswow64\searchprotectservice.exe','32');
     DeleteFile('c:\users\carboni\appdata\local\ffffffff-1446467480-ffff-ffff-ffffffffffff\snsqacec.tmp','32');
     DeleteFile('C:\Users\Carboni\AppData\Roaming\ASPackage\ASPackage.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Update');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
     DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
     DeleteFile('C:\iexplore.bat','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

    Сделайте лог CheckBrowsers' Lnk

    Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    13.10.2014
    Сообщений
    32
    Вес репутации
    35

    Сделал что просили

    Сделал что просили, выкладываю 2 файла проверик утилитами. До проверки Chrome удалился и появился браузер MyBrowser, в Opera тоже появилась неизвестная поисковая система. В установленных приложениях сами начали появляться неизвестные программы GameDesctop, RegClean Pro, ZaxarGameBrowser, Time Task, MyBrowser, CinemaPlus. Антивирус стал часто ругаться на подозрительные файлы.

    - - - - -Добавлено - - - - -

    Также выкладываю обновленный файл проверки hijackthis.log

    - - - - -Добавлено - - - - -

    И почему-то не могу Прислать запрошенный карантин. Выпадает вот это окошко https://gyazo.com/b0686cc39c6a303462e7a3d99da06a74

  7. #6
    Junior Member Репутация
    Регистрация
    13.10.2014
    Сообщений
    32
    Вес репутации
    35
    Вы поможете мне?

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.


    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    13.10.2014
    Сообщений
    32
    Вес репутации
    35

    Отчеты

    Прикладываю отчеты. Дополнительно скажу, что при вводе в адресной строке Google Chrome любого слова и попытке поиска его путем нажатия на кнопку #Enter# в самой адресной строке появляются и взаимозаменяются неизвестные поисковые системы (cosmosearch.ru (https://gyazo.com/0d74220738569396d871f8c8a7e67130), searchtds.ru (https://gyazo.com/32f6b595aa0a9c241600932ba14f9306) и сам go.mail.ru (https://gyazo.com/f051cf84ccb99dc4c1128e93199a127c), который и выводит все что нашел по поиску. Два первых поисковика сменяются на третий буквально в течении секунды-двух.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #10
    Junior Member Репутация
    Регистрация
    13.10.2014
    Сообщений
    32
    Вес репутации
    35

    Отчет

    Выслал отчет, только вот файл FRST.txt не хотел загружаться на Ваш форум, был превышен максимальный размер https://gyazo.com/9ae9d6851c785a2d76a86284b8994a70, добавил его в архив.

    - - - - -Добавлено - - - - -

    После предыдущих проверок, я полез в реестр и по поиску GetSearch удалил папки с содержимым, затем запустил командную строку с правами администратора и вписал поэтапно две строчки, после которых нажимал ввод:

    RD /S /Q "%WinDir%\System32\GroupPolicy"
    gpupdate /force

    и о Боги, у меня удалился GetSearch по умолчанию в настройках браузера Google.

    P.S. Жду вашего ответа!

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      GroupPolicy: Restriction - Chrome <======= ATTENTION
      GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
      CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
      HKU\S-1-5-21-3666330221-9531845-4259295374-1000\...\Run: [Daemon] => C:\Windows\SysWOW64\Daemon.vbs [142 2015-11-04] ()
      CHR Extension: (Стартовая страница - визуальные закладки...) - C:\Users\Carboni\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldmgadmpeafpgjdkabfggkocbngkgnkc [2015-11-04]
      2015-11-04 22:24 - 2015-11-04 22:24 - 00000242 _____ C:\Windows\SysWOW64\pools.txt
      2015-11-04 22:24 - 2015-11-04 22:24 - 00000154 _____ C:\Windows\SysWOW64\Start.bat
      2015-11-04 22:24 - 2015-11-04 22:24 - 00000142 _____ C:\Windows\SysWOW64\Daemon.vbs
      2015-10-29 11:24 - 2015-11-03 01:01 - 00001032 __RSH C:\Users\Все пользователи\ntuser.pol
      2015-10-29 11:24 - 2015-11-03 01:01 - 00001032 __RSH C:\ProgramData\ntuser.pol
      2015-11-03 13:23 - 2015-11-03 13:23 - 0005075 _____ () C:\ProgramData\tgioyvlx.pxu
      2015-11-02 12:08 - 2015-11-02 12:08 - 0005050 _____ () C:\ProgramData\wmzddnmb.cix
      Task: {34B8D4BA-A3E1-403D-A073-8026FEE8F3BC} - \RestoreSearch -> No File <==== ATTENTION
      EmptyTemp:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  13. #12
    Junior Member Репутация
    Регистрация
    13.10.2014
    Сообщений
    32
    Вес репутации
    35

    Отчет

    Выкладываю отчет!

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Что с проблемой?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. #14
    Junior Member Репутация
    Регистрация
    13.10.2014
    Сообщений
    32
    Вес репутации
    35
    Проблема решилась, спасибо большое за помощь Майк1

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
    2. Запустите DelFix
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
    4. Нажмите на кнопку Run


    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
    begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
    else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Советы и рекомендации после лечения компьютера
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

Похожие темы

  1. Не загружаются поисковые системы mail.ru, yandex.ru
    От Antoinette в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 22.06.2014, 00:33
  2. Ответов: 8
    Последнее сообщение: 24.11.2013, 10:14
  3. Ответов: 7
    Последнее сообщение: 14.10.2013, 16:38
  4. Ответов: 18
    Последнее сообщение: 07.09.2013, 21:19
  5. Не работают поисковые системы
    От Nikita Lvov в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 25.04.2013, 00:02

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00131 seconds with 19 queries