перекидывает с поисковика google.ru на go.mail.ru
Поймал нехорошие вирусы от такой же нехорошей команды мэйл.ру. Перекидывает постоянно на поисковик go.mail.ru, вылезает вирусная реклама и открываются вкладки со всякими казино и прочим. Вот логи с HiJackThis и AVZ.
В карантине ничего нет, поэтому не могу создать третий лог
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Arcon, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin DeleteFile('C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe', '32'); DeleteFile('C:\Users\1\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '32'); DeleteFile('C:\Users\1\AppData\Local\Amigo\Application\amigo.exe', '32'); DeleteFile('C:\Users\1\AppData\Local\Mail.Ru\MailRuUpdater.exe', '32'); DeleteFile('C:\Users\1\AppData\Local\PowerMonitor\PowerMonitor.exe', '32'); DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '32'); DeleteFile('C:\Users\1\AppData\Local\FilterStart\FilterStart.exe', '32'); DeleteService('ZuneNetworkSvc'); DeleteService('WMZuneComm'); DeleteService('mrupdsrv'); DeleteFileMask('c:\program files (x86)\mail.ru', '*', true); DeleteFileMask('c:\users\1\appdata\local\mail.ru', '*', true); DeleteFileMask('c:\users\1\appdata\local\amigo', '*', true); DeleteFileMask('c:\users\1\appdata\local\powermonitor', '*', true); DeleteFileMask('c:\program files (x86)\screenup', '*', true); DeleteFileMask('c:\users\1\appdata\local\filterstart', '*', true); DeleteDirectory('c:\program files (x86)\mail.ru'); DeleteDirectory('c:\users\1\appdata\local\mail.ru'); DeleteDirectory('c:\users\1\appdata\local\amigo'); DeleteDirectory('c:\users\1\appdata\local\powermonitor'); DeleteDirectory('c:\program files (x86)\screenup'); DeleteDirectory('c:\users\1\appdata\local\filterstart'); ExecuteFile('schtasks.exe', '/delete /TN "MailRuUpdater" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "PowerMonitor" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Root System Helper" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Translator Additional Manager" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Language Current Helper" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'mailruhomesearch'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'pursvzlexw'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'DLLSuite2016'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
Сделайте лог AdwCleaner (by Xplode).
WBR,
Vadim
Написал, что вирусов не обнаружено, но проблема с переходом на поисковик мейла осталась.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Сделано.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regCheck.lnk [2016-10-27] ShortcutTarget: regCheck.lnk -> C:\Users\1\AppData\Local\rightchose\regCheck.vbs (No File) GroupPolicy: Restriction - Chrome <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=9B7B1C8E18699003657E837DEA8E73C4&utm_d=20161024 CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpmgdbdchhjimcbfbbhlbchbobhjonna [2016-10-24] S3 ZuneWlanCfgSvc; "C:\Program Files\Zune\ZuneWlanCfgSvc.exe" [X] 2016-10-31 16:39 - 2016-10-31 16:39 - 00000000 ____D C:\Users\1\Desktop\FRST-OlderVersion 2016-10-27 13:21 - 2016-10-28 19:31 - 00000000 ____D C:\Users\1\AppData\Local\ValidateLife 2016-10-27 13:21 - 2016-10-28 19:31 - 00000000 ____D C:\Users\1\AppData\Local\TestMenu 2016-10-27 13:21 - 2016-10-28 19:31 - 00000000 ____D C:\Users\1\AppData\Local\rightchose 2016-10-27 13:21 - 2016-10-28 19:31 - 00000000 ____D C:\Users\1\AppData\Local\LastNews 2016-10-27 13:21 - 2016-10-28 19:31 - 00000000 ____D C:\Users\1\AppData\Local\ImmediateHelp 2016-10-27 13:21 - 2016-10-28 19:31 - 00000000 ____D C:\Users\1\AppData\Local\FilterOptions 2016-10-27 13:21 - 2016-10-28 19:31 - 00000000 ____D C:\Users\1\AppData\Local\FileSystemOptions 2016-10-27 13:21 - 2016-10-28 19:31 - 00000000 ____D C:\Users\1\AppData\Local\DateOption 2016-10-26 13:28 - 2016-10-26 13:28 - 00000000 __RSH C:\Program Files\360 2016-10-24 13:19 - 2016-10-24 21:41 - 00000000 ___RD C:\Users\1\Desktop\FilterStart 2016-10-24 13:19 - 2016-10-24 13:21 - 00013312 _____ ( ) C:\Users\1\AppData\Local\Language Current Helper.exe 2016-10-24 13:18 - 2016-10-24 13:21 - 00000337 _____ C:\Users\1\AppData\Local\expand.ini 2016-10-14 21:09 - 2016-10-14 21:09 - 00000000 ____D C:\Users\1\AppData\Roaming\LolClient 2013-02-07 15:22 - 2013-02-07 15:22 - 0050330 _____ () C:\Program Files (x86)\AntiDust.exe C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk FirewallRules: [{945D7AC3-E56C-4C76-9BE2-BA2EFAC2F866}] => (Allow) C:\Program Files\UBar\ubar.exe FirewallRules: [{122CB788-6520-4CB8-AA36-989864146689}] => (Allow) C:\Users\1\AppData\Local\Amigo\Application\amigo.exe EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
WBR,
Vadim
Проблема с перекидыванием на поисковик мейла осталась.
Отключите все расширения в Chrome, если пропадёт реклама - подключайте по одному, проверяйте эффект. Одно из расширений поддельное, какое именно - понять по логам сложно.
Сообщите результат.
WBR,
Vadim
Оказалось, это не одно, а сразу несколько расширений. Спасибо, больше не перекидывает) Огромнейшее спасибо)
Какие именно - не вспомните? Или логи FRST сделайте снова. Если не лень.
WBR,
Vadim
Посмотрите
Такой fixlist.txt ещё примените:Иначе, если Opera установите, вылезет нехорошее расширение.Код:OPR Extension: (No Name) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\khmiehpkiedpkpifcpeplghoibfhhigo [2016-10-24]
WBR,
Vadim
Сделал. Еще раз спасибо огромное)
Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите Java 8 Update 111.
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Arcon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
