Junior Member (OID)
Вес репутации
31
При открытии браузера открывается какой то поисковик, и в настройках не изменить поисковик
вот эта страница открывается в браузере : h_p://search.top-arama.com
на открытых страницах очень много всплывает рекламы (почти не видно саму страницу)
сами открываются рекламные страницы
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) nazar bilas , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Здравствуйте!
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '');
QuarantineFileF('C:\Users\Назар\AppData\Local\gocoupon\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
DeleteFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '32');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
DeleteFileMask('C:\Users\Назар\AppData\Local\gocoupon\', '*', true);
DeleteDirectory('C:\Users\Назар\AppData\Local\gocoupon\');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе . Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора ), нажмите кнопку "Scan" ("Сканировать" ) и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt . Прикрепите отчет к своему следующему сообщению.
Junior Member (OID)
Вес репутации
31
Вложения
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
Перед удалением
В меню Настройки отметьте: Сброс политик IE Сброс политик Chrome
Junior Member (OID)
Вес репутации
31
Вложения
1) Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать ). Подтвердите удаление нажав кнопку: Да.
2) Сделайте свежий лог сканирования AdwCleaner.
Junior Member (OID)
Вес репутации
31
вот результат нового сканирования
Вложения
Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора ). В меню Настройки отметьте:
Сброс политик IE Сброс политик Chrome Нажмите кнопку "Scan" ("Сканировать" ), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка" ) и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt . Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера !!! .
Junior Member (OID)
Вес репутации
31
Вот отчет после сканирования
Вложения
Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать ). Подтвердите удаление нажав кнопку: Да.
что с проблемой?
Junior Member (OID)
Вес репутации
31
при старте браузера открываеться стартовая страница Google а потом открываеться поисковик Top Arama
Junior Member (OID)
Вес репутации
31
Вложения
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
C:\Users\Назар\AppData\Roaming\Microsoft\Windows\Network Shortcuts\huawei\target.lnk
C:\Users\Назар\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\farcry3.lnk
C:\Users\Назар\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\gocoupon\gocoupon.lnk
C:\Users\Public\Desktop\Обновить лицензию NOD32.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\application extension\application extension.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JetSwap SafeSurf\Тест презентации.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Загрузчик лицензий.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Настройки.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Обновить лицензию.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Самая долгая лицензия.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Сохранить текущую лицензию.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Тихий режим.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Удалить.lnk
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку Scan .
После окончания сканирования будут созданы отчеты FRST.txt , Addition.txt , Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Junior Member (OID)
Вес репутации
31
Вложения
SafeSurf - сами ставили?
Код:
Hitman Absolution (HKLM-x32\...\Hitman Absolution_is1) (Version: - Audioslave)
Unity Web Player (HKU\S-1-5-21-839164251-205071572-2201451601-1001\...\UnityWebPlayer) (Version: 5.0.3f2 - Unity Technologies ApS)
советую удалить. От плеера ещё расширение в браузер добавилось.
Код:
CHR Plugin: (Widevine Content Decryption Module ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.8.823\_platform_specific\win_x86\widevinecdmadapter.dll => No File
CHR Plugin: (Shockwave Flash ) - C:\Program Files (x86)\Google\Chrome\Application\48.0.2564.97\PepperFlash\pepflashplayer.dll ()
CHR Profile: C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Google Переводчик ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb [2015-11-17]
CHR Extension: (Google Презентации ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-07-01]
CHR Extension: (Документы Google ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-07-01]
CHR Extension: (Диск Google ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-10-21]
CHR Extension: (OkayFreedom ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\bckipplcmnfhblnpibpbehenelnkpecd [2015-07-13]
CHR Extension: (Google Voice Search Hotword (Beta)) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2015-07-01]
CHR Extension: (YouTube ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-09-24]
CHR Extension: (Mahjong Deluxe 2 ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\cdakbleigadgfigknbeifblafhimheeo [2015-07-01]
CHR Extension: (Adblock Plus ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-01-27]
CHR Extension: (SurfEarner ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjaibhjmfjjhbifincjcecomobflhdjf [2015-07-01]
CHR Extension: (Google Search ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-10-26]
CHR Extension: (AliExpress Tools (AliTools)) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\eenflijjbchafephdplkdmeenekabdfb [2016-01-26]
CHR Extension: (VipIP Plugin ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejcciljmcobakbcljagiadhbholnahja [2015-09-22]
CHR Extension: (Google Таблицы ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-07-01]
CHR Extension: (Sticky Password Autofill Engine ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\ggepjhbdgijjkbelnggboeoehacbphed [2015-07-01]
CHR Extension: (Google*Документы офлайн ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2015-11-13]
CHR Extension: (Avast Online Security ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2016-01-30]
CHR Extension: (Auto Refresh Plu s) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\hgeljhfekpckiiplhkigfehkdpldcggm [2015-07-20]
CHR Extension: (VkOpt ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\hoboppgpbgclpfnjfdidokiilachfcbb [2015-09-22]
CHR Extension: (GoCoupons ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\iphglenhdgpefcgkmfjnijkmpinninac [2016-01-09]
CHR Extension: (U-Matrix ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\kmcbhkjgcppajjgkhnhafcfddhmgbkng [2016-01-28]
CHR Extension: (Hi-Millio n) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\mbgioakfejjcobokglahkdenenpgioej [2015-08-16]
CHR Extension: (iLivid ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\nafaimnnclfjfedmmabolbppcngeolgf [2016-02-01]
CHR Extension: (Платежная система Интернет-магазина Chrome ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-07-22]
CHR Extension: (Bubble Popper ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\omaibhlkcnggjafmfnpikoiaeahpojbf [2015-07-01]
CHR Extension: (ТВ онлайн ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\pcfeebemepipakkhapnhljbcdkagkloh [2015-07-01]
CHR Extension: (Gmail ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-07-01]
CHR Extension: (Стикеры ВКонтакте от addstickers.ru ) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\popkdnhhmloefmmjminniaohhgihaack [2015-07-01]
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
все эти расширения вам знакомы?
- - - - -Добавлено - - - - -
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
URLSearchHook: [S-1-5-21-839164251-205071572-2201451601-1001] ATTENTION => Default URLSearchHook is missing
URLSearchHook: HKU\S-1-5-21-839164251-205071572-2201451601-1001 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
SearchScopes: HKU\S-1-5-21-839164251-205071572-2201451601-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL =
CHR RestoreOnStartup: Default -> "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggacF0OVgxDQxhFeA0MTA1FEwEOeAxaBxQSEgUaIggOAF0UEVMFIk0FA1oDB0VXfV5bFElXTwhsNU1KAF4UTkBQBFxZDQ=="
CHR StartupUrls: Default -> "hxxp://medea.ua/frontend/","hxxp://google.com/","hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggacF0OVgxDQxhFeA0MTA1FEwEOeAxaBxQSEgUaIggOAF0UEVMFIk0FA1oDB0VXfV5bFElXTwhsNU1KAF4UTkBQBFxZDQ=="
CHR Extension: (GoCoupons) - C:\Users\Назар\AppData\Local\Google\Chrome\User Data\Default\Extensions\iphglenhdgpefcgkmfjnijkmpinninac [2016-01-09]
Task: {19992C9B-3202-462B-A42C-6C72C05DDB55} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {252405CE-4AC7-4E91-8595-86612C9207FD} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe
Task: {37EAEBA4-E3EC-42DC-8AE5-1D10BE2591DA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {5B3240B9-657C-4F90-93A6-BEBD098B6E24} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {626A4BDD-7D26-40EE-9BAE-393D544446F9} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {A375231F-1350-4E2E-ADF5-12EFD62F871E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {B7A954AE-0507-4EE1-8319-0ED599A539D7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {C56A452F-0023-4AE8-AE84-F804138C4448} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {C7891037-FAA8-45F5-9B0C-2D2401AAEF1E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {C8D2E852-95F2-4DEE-8A6E-BD3A9B839E36} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {FC061EC2-AA97-40B6-88B6-EFC146B2F4B1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
HKU\S-1-5-21-839164251-205071572-2201451601-1001\...\StartupApproved\Run: => "gocoupon"
HKU\S-1-5-21-839164251-205071572-2201451601-1001\...\StartupApproved\Run: => "VTope"
2016-01-09 20:24 - 2016-01-09 22:26 - 00000000 ____D C:\ProgramData\WOrdcOiFfetMN
2016-01-09 20:16 - 2016-02-01 09:44 - 00000000 ____D C:\Users\Назар\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\gocoupon
2016-01-09 20:16 - 2016-02-01 09:44 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\application extension
2016-01-09 20:16 - 2016-01-30 17:33 - 00000000 ____D C:\Users\Назар\AppData\Local\gocoupon
2016-01-09 20:13 - 2016-01-30 17:33 - 00000000 ____D C:\ProgramData\ppMena
2016-01-09 20:13 - 2016-01-30 17:32 - 00000000 ____D C:\Users\Все пользователи\mWohPnuYhj
2016-01-09 20:13 - 2016-01-30 17:32 - 00000000 ____D C:\ProgramData\mWohPnuYhj
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод !
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Junior Member (OID)
Вес репутации
31
SafeSurf сами ставил.Как удалить ето Hitman Absolution (HKLM-x32\...\Hitman Absolution_is1) (Version: - Audioslave)
Unity Web Player (HKU\S-1-5-21-839164251-205071572-2201451601-1001\...\UnityWebPlayer) (Version: 5.0.3f2 - Unity Technologies ApS).Расширения мне знакомы, кроме первого.
Вложения
Сообщение от
nazar bilas
.Как удалить ето
установка и удаление программ - деинсталировать.
Сообщение от
nazar bilas
.Расширения мне знакомы, кроме первого.
уверены, что все?
GoCoupons - это например адварь.
Hi-Million - тоже сами ставили?
И в остальных уверены?
Сообщение от
nazar bilas
кроме первого.
удалите тогда его и после этого проверьте проблему.