Junior Member
Вес репутации
27
Помогите, Google поиск автоматом переадресовывает на go.mail+сами открываются ссылки с рекламой [not-a-virus:AdWare.Win32.Agent.xxcysm
]
Добрый день! Помогите, Google поиск автоматом переадресовывает на go.mail+при вводе адреса в адресной строке открываются ссылки с рекламой в новых вкладках. Случилось это после того, как я скачала песню...Антивирус отсутствовал около полугода..Скачала avast,перепроверила. Было отправлено на карантин около 40 штук.... Сразу говорю, я чайник, поэтому,если можно, то писать без всяких там терминов....В общем, как чайнику...(( Заранее большое спасибо.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) molga0586 , спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Junior Member
Вес репутации
27
вложения. файлы
Google поиск автоматом переадресовывает на go.mail+сами открываются ссылки с рекламой
Вложения к заданной теме
Вложения
Выполните скрипт в AVZ :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Youtube AdBlock\jqHiEjn.exe', '');
QuarantineFile('C:\Users\Ольга\AppData\Local\fupdate\fupdate.exe', '');
DeleteFile('C:\Users\Ольга\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '32');
DeleteFile('C:\Windows\Tasks\Update Service for Youtube AdBlock.job', '32');
DeleteFile('C:\Program Files\Youtube AdBlock\jqHiEjn.exe', '32');
DeleteFile('C:\Users\Ольга\AppData\Local\fupdate\fupdate.exe', '32');
DeleteFileMask('c:\program files\youtube adblock', '*', true);
DeleteFileMask('c:\users\ольга\appdata\local\fupdate', '*', true);
DeleteDirectory('c:\program files\youtube adblock');
DeleteDirectory('c:\users\ольга\appdata\local\fupdate');
ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Youtube AdBlock" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'tnienemcnp');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode) .
Junior Member
Вес репутации
27
готово
- - - - -Добавлено - - - - -
# AdwCleaner v6.040 - Отчёт создан 07/12/2016 в 01:24:45
# Обновлено 02/12/2016 by Malwarebytes
# База данных : 2016-12-06.1 [Сервер]
# Операционная система : Windows 7 Ultimate Service Pack 1 (X86)
# Имя пользователя : Ольга - HP655
# Запущено из : C:\Users\Ольга\Desktop\жук\adwcleaner_6.040.exe
# Режим: Сканирование
# Помощь : https://www.malwarebytes.com/support
***** [ Службы ] *****
Вредоносные службы не найдены.
***** [ Папки ] *****
Найдена папка: C:\Users\Ольга\AppData\Local\Amigo
Найдена папка: C:\Users\Ольга\AppData\Local\Mail.Ru
Найдена папка: C:\Users\Ольга\AppData\Local\SearchGo
Найдена папка: C:\Users\Ольга\AppData\LocalLow\SearchGo
Найдена папка: C:\ProgramData\Mail.Ru
Найдена папка: C:\ProgramData\Application Data\Mail.Ru
Найдена папка: C:\Program Files\Mail.Ru
Найдена папка: C:\Users\Ольга\AppData\Local\Google\Chrome\User Data\Default\Extensions\fcfenmboojpjinhpgggodefcci pikbpd
Найдена папка: C:\Users\Ольга\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdi obdkfj
Найдена папка: C:\Users\Ольга\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfj mchbfd
***** [ Файлы ] *****
Найден файл: C:\Users\Ольга\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Youtube.lnk
Найден файл: C:\Users\Ольга\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Поиcк в Интeрнете.lnk
Найден файл: C:\Users\Ольга\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\2048.lnk
Найден файл: C:\Users\Ольга\Favorites\Mail.Ru.url
Найден файл: C:\Users\Ольга\Favorites\Mail.Ru Агент - используй для общения!.url
Найден файл: C:\Users\Ольга\Desktop\Youtube.lnk
Найден файл: C:\Users\Ольга\Desktop\Поиcк в Интeрнете.lnk
Найден файл: C:\Users\Ольга\Desktop\Искать в Интернете.url
Найден файл: C:\Users\Ольга\Desktop\Google Search.lnk
Найден файл: C:\Users\Ольга\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_oelpkepjlgmehajehfeicfbjdiobdkfj_0.local storage
Найден файл: C:\Users\Ольга\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_oelpkepjlgmehajehfeicfbjdiobdkfj_0.local storage-journal
Найден файл: C:\Users\Ольга\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_ojlcebdkbpjdpiligkdbbkdkfjmchbfd_0.local storage
Найден файл: C:\Users\Ольга\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_ojlcebdkbpjdpiligkdbbkdkfjmchbfd_0.local storage-journal
***** [ DLL ] *****
Вредоносных DLL не найдено.
***** [ WMI ] *****
Не найдено вирусных ключей.
***** [ Ярлыки ] *****
Ярлык заражён: C:\Users\Ольга\Desktop\Поиcк в Интeрнете.lnk ( "hxxp://go-search.ru/?utm_source=desktop" )
Ярлык заражён: C:\Users\Ольга\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Поиcк в Интeрнете.lnk ( "hxxp://go-search.ru/?utm_source=quicklaunch" )
***** [ Запланированные задания ] *****
Не найдено вирусных заданий.
***** [ Реестр ] *****
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Settings\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKU\S-1-5-21-3122514147-3239608732-2892234630-1000\Software\Mail.Ru
Найден ключ: HKU\S-1-5-21-3122514147-3239608732-2892234630-1000\Software\AppDataLow\Software\Mail.Ru
Найден ключ: HKCU\Software\Mail.Ru
Найден ключ: HKCU\Software\AppDataLow\Software\Mail.Ru
Найден ключ: HKLM\SOFTWARE\Mail.Ru
Найдено значение: HKU\S-1-5-21-3122514147-3239608732-2892234630-1000\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://mail.ru/cnt/10445?gp=818405
Найдено значение: HKCU\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://mail.ru/cnt/10445?gp=818405
Найден ключ: HKU\S-1-5-21-3122514147-3239608732-2892234630-1000\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Найдено значение: HKU\S-1-5-21-3122514147-3239608732-2892234630-1000\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] -
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Найдено значение: HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] -
Найден ключ: HKCU\Software\Google\Chrome\Extensions\fcfenmboojp jinhpgggodefccipikbpd
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\oelpkepjlgm ehajehfeicfbjdiobdkfj
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\ojlcebdkbpj dpiligkdbbkdkfjmchbfd
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\icanjjkadce ebmhanpekkofdhclnoijl
***** [ Веб браузеры ] *****
В браузерах на основе Firefox вредоносных элементов не найдено.
Найдена настройка Chromium: [C:\Users\Ольга\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - bopakagnckmlgajfccecajhnimjiiedh
Найдена настройка Chromium: [C:\Users\Ольга\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - fcfenmboojpjinhpgggodefccipikbpd
Найдена настройка Chromium: [C:\Users\Ольга\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - icanjjkadceebmhanpekkofdhclnoijl
Найдена настройка Chromium: [C:\Users\Ольга\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - oelpkepjlgmehajehfeicfbjdiobdkfj
Найдена настройка Chromium: [C:\Users\Ольга\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - ojlcebdkbpjdpiligkdbbkdkfjmchbfd
*************************
C:\AdwCleaner\AdwCleaner[S0].txt - [6935 Байт] - [07/12/2016 01:24:45]
########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [7011 Байт] ##########
Вложения
Лог AdwCleaner тоже надо было вложением.
Удалите всё найденное в AdwCleaner , дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
Junior Member
Вес репутации
27
прикрепила
- - - - -Добавлено - - - - -
все сделала. проблема осталась. переадресовывает всеравно
- - - - -Добавлено - - - - -
вкладки с рекламными сайтами вроде перестали открываться, а вот на go mail всеравно переадресовывает....
Вложения
Я просил после очистки прикрепить AdwCleaner[C 0].txt, в папке C:\AdwCleaner должен быть.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему.
Junior Member
Вес репутации
27
извинитте, не было такого в папке AdwCleaner[C0].txt ((((
- - - - -Добавлено - - - - -
сделала
- - - - -Добавлено - - - - -
все..проблема вроде почти ушла. только осталось одно.-если в адресной строке вводить поисковое слово-переадресовывает на gomail... При вводе адресов сайтов-все стало нормально.
- - - - -Добавлено - - - - -
только сейчас заметила, что при поиске в адресной строке меня сначала переадресовывает на search-engine, а потом gomail.не знаю важная ли это информация...
Вложения
Сообщение от
molga0586
извинитте, не было такого в папке AdwCleaner[C0].txt ((((
Так значит, очистку в Adwcleaner не делали...
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
Toolbar: HKU\S-1-5-21-3122514147-3239608732-2892234630-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
CHR HomePage: Default -> go.mail.ru/?fr=chhp11.0.29__PARAM__
HR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn11.0.3
CHR DefaultSearchKeyword: Default -> cocos2d-html5
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\54.0.2840.99\PepperFlash\pepflashplayer.dll => No File
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\54.0.2840.99\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\54.0.2840.99\pdf.dll => No File
CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll => No File
CHR HKLM\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
U0 aswVmm; no ImagePath
Folder: C:\AdwCleaner
Task: {792FA171-CDA4-4BCD-AF37-C14310D26EBB} - System32\Tasks\Games\UpdateCheck_S-1-5-21-3122514147-3239608732-2892234630-1000
Task: {205120CC-0F62-4C67-9AC4-A35D132A099B} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-12-01] (AVAST Software)
C:\Program Files\Common Files\AV\avast! Antivirus
FirewallRules: [{3016F92F-DFA5-4219-AC00-8979EDBE838A}] => C:\Program Files\UBar\ubar.exe
Shortcut: C:\Users\Ольга\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk -> C:\Users\Ольга\AppData\Local\Mail.Ru\GameCenter\[email protected] (No File) <===== Cyrillic
AlternateDataStreams: C:\ProgramData\Temp:2CB9631F [134]
AlternateDataStreams: C:\Users\Все пользователи\Temp:2CB9631F [134]
FirewallRules: [{41E91F35-2634-4B62-9249-3AF853426892}] => C:\Users\Ольга\AppData\Local\Mail.Ru\GameCenter\[email protected]
FirewallRules: [{B69CD2D5-27D1-4F3D-BABF-9F97F23A4C00}] => C:\Users\Ольга\AppData\Local\Mail.Ru\GameCenter\[email protected]
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры , запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
Junior Member
Вес репутации
27
ой....спасибочки...все стало хорошо.....
Fixlog.txt прикрепите всё же.
Junior Member
Вес репутации
27
Вложения
Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall) .
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения .
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 2 В ходе лечения обнаружены вредоносные программы:
c:\users\ольга\appdata\local\fupdate\fupdate.exe - not-a-virus:AdWare.Win32.Agent.xxcysm