Появились и не удаляются вредоносные поисковые системы в Google Chrome - GetSearch и go.mail.ru, причем GetSearch невозможно удалить в настройках из-за того, что просит прав администратора. Прикладываю файлы к сообщению.
Появились и не удаляются вредоносные поисковые системы в Google Chrome - GetSearch и go.mail.ru, причем GetSearch невозможно удалить в настройках из-за того, что просит прав администратора. Прикладываю файлы к сообщению.
Уважаемый(ая) Carboni, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
- Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите Check Browsers LNK.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
- Прикрепите этот отчет в вашей теме.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Program Files (x86)\Google\chrome.bat',''); QuarantineFile('C:\Users\Carboni\AppData\Roaming\ASPackage\ASPackage.exe',''); TerminateProcessByName('c:\users\carboni\appdata\local\ffffffff-1446467480-ffff-ffff-ffffffffffff\snsqacec.tmp'); QuarantineFile('c:\users\carboni\appdata\local\ffffffff-1446467480-ffff-ffff-ffffffffffff\snsqacec.tmp',''); TerminateProcessByName('c:\windows\syswow64\searchprotectservice.exe'); QuarantineFile('c:\windows\syswow64\searchprotectservice.exe',''); QuarantineFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\knsf4760.tmp',''); QuarantineFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\jnsq411d.tmp',''); QuarantineFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\hnsl5d56.tmp',''); DeleteFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\hnsl5d56.tmp','32'); DeleteFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\jnsq411d.tmp','32'); DeleteFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\knsf4760.tmp','32'); DeleteFile('c:\windows\syswow64\searchprotectservice.exe','32'); DeleteFile('c:\users\carboni\appdata\local\ffffffff-1446467480-ffff-ffff-ffffffffffff\snsqacec.tmp','32'); DeleteFile('C:\Users\Carboni\AppData\Roaming\ASPackage\ASPackage.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Update'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C'); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); DeleteFile('C:\iexplore.bat','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Сделайте лог CheckBrowsers' Lnk
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал что просили, выкладываю 2 файла проверик утилитами. До проверки Chrome удалился и появился браузер MyBrowser, в Opera тоже появилась неизвестная поисковая система. В установленных приложениях сами начали появляться неизвестные программы GameDesctop, RegClean Pro, ZaxarGameBrowser, Time Task, MyBrowser, CinemaPlus. Антивирус стал часто ругаться на подозрительные файлы.
- - - - -Добавлено - - - - -
Также выкладываю обновленный файл проверки hijackthis.log
- - - - -Добавлено - - - - -
И почему-то не могу Прислать запрошенный карантин. Выпадает вот это окошко https://gyazo.com/b0686cc39c6a303462e7a3d99da06a74
Вы поможете мне?
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
- Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Подробнее читайте в этом руководстве.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Прикладываю отчеты. Дополнительно скажу, что при вводе в адресной строке Google Chrome любого слова и попытке поиска его путем нажатия на кнопку #Enter# в самой адресной строке появляются и взаимозаменяются неизвестные поисковые системы (cosmosearch.ru (https://gyazo.com/0d74220738569396d871f8c8a7e67130), searchtds.ru (https://gyazo.com/32f6b595aa0a9c241600932ba14f9306) и сам go.mail.ru (https://gyazo.com/f051cf84ccb99dc4c1128e93199a127c), который и выводит все что нашел по поиску. Два первых поисковика сменяются на третий буквально в течении секунды-двух.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Выслал отчет, только вот файл FRST.txt не хотел загружаться на Ваш форум, был превышен максимальный размер https://gyazo.com/9ae9d6851c785a2d76a86284b8994a70, добавил его в архив.
- - - - -Добавлено - - - - -
После предыдущих проверок, я полез в реестр и по поиску GetSearch удалил папки с содержимым, затем запустил командную строку с правами администратора и вписал поэтапно две строчки, после которых нажимал ввод:
RD /S /Q "%WinDir%\System32\GroupPolicy"
gpupdate /force
и о Боги, у меня удалился GetSearch по умолчанию в настройках браузера Google.
P.S. Жду вашего ответа!
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: GroupPolicy: Restriction - Chrome <======= ATTENTION GroupPolicy-x32: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKU\S-1-5-21-3666330221-9531845-4259295374-1000\...\Run: [Daemon] => C:\Windows\SysWOW64\Daemon.vbs [142 2015-11-04] () CHR Extension: (Стартовая страница - визуальные закладки...) - C:\Users\Carboni\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldmgadmpeafpgjdkabfggkocbngkgnkc [2015-11-04] 2015-11-04 22:24 - 2015-11-04 22:24 - 00000242 _____ C:\Windows\SysWOW64\pools.txt 2015-11-04 22:24 - 2015-11-04 22:24 - 00000154 _____ C:\Windows\SysWOW64\Start.bat 2015-11-04 22:24 - 2015-11-04 22:24 - 00000142 _____ C:\Windows\SysWOW64\Daemon.vbs 2015-10-29 11:24 - 2015-11-03 01:01 - 00001032 __RSH C:\Users\Все пользователи\ntuser.pol 2015-10-29 11:24 - 2015-11-03 01:01 - 00001032 __RSH C:\ProgramData\ntuser.pol 2015-11-03 13:23 - 2015-11-03 13:23 - 0005075 _____ () C:\ProgramData\tgioyvlx.pxu 2015-11-02 12:08 - 2015-11-02 12:08 - 0005050 _____ () C:\ProgramData\wmzddnmb.cix Task: {34B8D4BA-A3E1-403D-A073-8026FEE8F3BC} - \RestoreSearch -> No File <==== ATTENTION EmptyTemp:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Выкладываю отчет!
Что с проблемой?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Проблема решилась, спасибо большое за помощь Майк1
- Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
- Запустите DelFix
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
- Нажмите на кнопку Run
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt