Помогите пожалуйста! google.ru перенаправляет на go.mail.ru [Virus.Win32.Neshta.a ]

**Егор Слепцов** · 24.11.2015, 13:48

Недавно скачал программу одну не помню название, после него всякие программы сами по себе устанавливаются, удаляю их потом после перезагрузки опять начинается. Стоит опера он тоже начал глючить реклама на всех сайтах, google.ru перенаправляет на go.mail.ru. Пожалуйста помогите решить проблему невозможно работать на компьютере.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.11.2015, 13:49

Уважаемый(ая) Егор Слепцов, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 25.11.2015, 22:20

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Windows\svchost.com', '');
 QuarantineFile('C:\Users\ПК\AppData\Roaming\WindowsUpdater\Updater.exe', '');
 QuarantineFile('C:\Users\ПК\AppData\Roaming\repulsion_1033\s_inst.exe', '');
 QuarantineFile('C:\Users\ПК\AppData\Local\hostskidki\stub.exe', '');
 DeleteFile('C:\Users\ПК\AppData\Local\hostskidki\stub.exe', '32');
 DeleteFile('C:\Users\ПК\AppData\Roaming\repulsion_1033\s_inst.exe', '32');
 DeleteFile('C:\Windows\Tasks\repulsion_1033.job', '32');
 DeleteFile('C:\Windows\Tasks\s2SVTlim1vE0StORY4iRYtsiiQl.job', '32');
 DeleteFile('C:\Windows\svchost.com', '32');
 DeleteFile('C:\Users\ПК\appdata\roaming\windowsupdater\updater.exe', '32');
 DeleteService('UbarCalloutDriver');
 DeleteService('UbarPolicyProvider');
 DeleteService('LiveUpdateSvc');
 DeleteService('caMyciloP');
 DeleteService('AppthgildeM');
 DeleteService('ApplicationHosting');
 DeleteFileMask('C:\Users\ПК\appdata\roaming\windowsupdater', '*', true);
 DeleteFileMask('C:\Users\ПК\AppData\Roaming\repulsion_1033', '*', true);
 DeleteFileMask('C:\Users\ПК\AppData\Local\hostskidki', '*', true);
 DeleteDirectory('C:\Users\ПК\appdata\roaming\windowsupdater');
 DeleteDirectory('C:\Users\ПК\AppData\Roaming\repulsion_1033');
 DeleteDirectory('C:\Users\ПК\AppData\Local\hostskidki');
 ExecuteFile('schtasks.exe', '/delete /TN "downlkadq" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Rest Style" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
ExecuteSysClean;
 ExecuteWizard('TSW', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Пофиксите в HijackThis (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://cosmosearch.ru/?ri=1&rsid=b75bc2c0d7b23941e7310e440aabcba0&q={searchTerms}
O2 - BHO: (no name) - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file)
O4 - MSConfig..HKLM: 2015/11/07 [ShadowPlay] C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart
O4 - MSConfig..HKLM: 2015/11/22 [GameCenterMailRu] "C:\Users\90C5~1\AppData\Local\Mail.Ru\GAMECE~1\GAMECE~1.EXE" -autostart (no file)
O4 - MSConfig..HKLM: 2015/11/22 [GameXP AccessPoint] "C:\GameXP\ACCESS~1\accesspoint.exe" -silent (no file)
O4 - MSConfig..HKLM: 2015/11/22 [SpaceSoundPro] "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" (no file)
O4 - MSConfig..HKLM: 2015/11/22 [Timestasks] C:\ProgramData\TimeTasks\timetasks.exe" (no file)
O4 - MSConfig..HKLM: 2015/11/22 [ZaxarGameBrowser] "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s (no file)
O4 - MSConfig..HKLM: 2015/11/22 [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent (no file)
O4 - MSConfig..HKLM: 2015/11/22 [hostskidki] "C:\Users\ПК\AppData\Local\hostskidki\stub.exe" /run "C:\Users\ПК\AppData\Local\hostskidki\config.json"
O4 - MSConfig..HKLM: 2015/11/22 [lcoupon] "C:\Users\ПК\AppData\Local\lcoupon\foygnstb.exe" /run "C:\Users\ПК\AppData\Local\lcoupon\config.json" (no file)

Обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог Check Browsers' LNK.

**Егор Слепцов** · 26.11.2015, 07:06

Все сделал как вы сказали

**Vvvyg** · 26.11.2015, 09:12

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\Windows\svchost.com','32');
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

Пролечите компьютер утилитой Dr.Web CureIt! из безопасного режима системы, затем сделайте новые логи AVZ и HijackThis.

**CyberHelper** · 26.11.2015, 09:22

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\svchost.com - Virus.Win32.Neshta.a ( BitDefender: Win32.Neshta.A, AVAST4: Win32:Crypt-SKC [Trj] )

Помогите пожалуйста! google.ru перенаправляет на go.mail.ru [Virus.Win32.Neshta.a ] (заявка № 193339)

Опции темы