Появились и не удаляются вредоносные поисковые системы в Google Chrome - GetSearch и go.mail.ru, причем GetSearch невозможно удалить в настройках из-за того, что просит прав администратора. Прикладываю файлы к сообщению.
Printable View
Появились и не удаляются вредоносные поисковые системы в Google Chrome - GetSearch и go.mail.ru, причем GetSearch невозможно удалить в настройках из-за того, что просит прав администратора. Прикладываю файлы к сообщению.
Уважаемый(ая) [B]Carboni[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]Check Browsers' LNK[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]Check Browsers LNK.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы в папке [b]Log[/b] будет сохранен отчет [b]Check_Browsers_LNK.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
QuarantineFile('C:\Users\Carboni\AppData\Roaming\ASPackage\ASPackage.exe','');
TerminateProcessByName('c:\users\carboni\appdata\local\ffffffff-1446467480-ffff-ffff-ffffffffffff\snsqacec.tmp');
QuarantineFile('c:\users\carboni\appdata\local\ffffffff-1446467480-ffff-ffff-ffffffffffff\snsqacec.tmp','');
TerminateProcessByName('c:\windows\syswow64\searchprotectservice.exe');
QuarantineFile('c:\windows\syswow64\searchprotectservice.exe','');
QuarantineFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\knsf4760.tmp','');
QuarantineFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\jnsq411d.tmp','');
QuarantineFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\hnsl5d56.tmp','');
DeleteFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\hnsl5d56.tmp','32');
DeleteFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\jnsq411d.tmp','32');
DeleteFile('c:\program files (x86)\ffffffff-1446456637-ffff-ffff-ffffffffffff\knsf4760.tmp','32');
DeleteFile('c:\windows\syswow64\searchprotectservice.exe','32');
DeleteFile('c:\users\carboni\appdata\local\ffffffff-1446467480-ffff-ffff-ffffffffffff\snsqacec.tmp','32');
DeleteFile('C:\Users\Carboni\AppData\Roaming\ASPackage\ASPackage.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Update');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('C:\iexplore.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.
Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowsers' Lnk[/url]
[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
Сделал что просили, выкладываю 2 файла проверик утилитами. До проверки Chrome удалился и появился браузер MyBrowser, в Opera тоже появилась неизвестная поисковая система. В установленных приложениях сами начали появляться неизвестные программы GameDesctop, RegClean Pro, ZaxarGameBrowser, Time Task, MyBrowser, CinemaPlus. Антивирус стал часто ругаться на подозрительные файлы.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Также выкладываю обновленный файл проверки hijackthis.log
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
И почему-то не могу [U][COLOR="#FF0000"][B]Прислать запрошенный карантин[/B][/COLOR][/U]. Выпадает вот это окошко https://gyazo.com/b0686cc39c6a303462e7a3d99da06a74
Вы поможете мне?
[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B], а по окончанию сканирования нажмите кнопку "[B]Очистить[/B]" ("[B]Clean[/B]") и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[C1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
Прикладываю отчеты. Дополнительно скажу, что при вводе в адресной строке Google Chrome любого слова и попытке поиска его путем нажатия на кнопку #Enter# в самой адресной строке появляются и взаимозаменяются неизвестные поисковые системы (cosmosearch.ru ([url]https://gyazo.com/0d74220738569396d871f8c8a7e67130[/url]), searchtds.ru ([url]https://gyazo.com/32f6b595aa0a9c241600932ba14f9306[/url]) и сам go.mail.ru ([url]https://gyazo.com/f051cf84ccb99dc4c1128e93199a127c[/url]), который и выводит все что нашел по поиску. Два первых поисковика сменяются на третий буквально в течении секунды-двух.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
Выслал отчет, только вот файл FRST.txt не хотел загружаться на Ваш форум, был превышен максимальный размер [url]https://gyazo.com/9ae9d6851c785a2d76a86284b8994a70[/url], добавил его в архив.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
После предыдущих проверок, я полез в реестр и по поиску GetSearch удалил папки с содержимым, затем запустил командную строку с правами администратора и вписал поэтапно две строчки, после которых нажимал ввод:
RD /S /Q "%WinDir%\System32\GroupPolicy"
gpupdate /force
и о Боги, у меня удалился GetSearch по умолчанию в настройках браузера Google.
P.S. Жду вашего ответа!
[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-3666330221-9531845-4259295374-1000\...\Run: [Daemon] => C:\Windows\SysWOW64\Daemon.vbs [142 2015-11-04] ()
CHR Extension: (Стартовая страница - визуальные закладки...) - C:\Users\Carboni\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldmgadmpeafpgjdkabfggkocbngkgnkc [2015-11-04]
2015-11-04 22:24 - 2015-11-04 22:24 - 00000242 _____ C:\Windows\SysWOW64\pools.txt
2015-11-04 22:24 - 2015-11-04 22:24 - 00000154 _____ C:\Windows\SysWOW64\Start.bat
2015-11-04 22:24 - 2015-11-04 22:24 - 00000142 _____ C:\Windows\SysWOW64\Daemon.vbs
2015-10-29 11:24 - 2015-11-03 01:01 - 00001032 __RSH C:\Users\Все пользователи\ntuser.pol
2015-10-29 11:24 - 2015-11-03 01:01 - 00001032 __RSH C:\ProgramData\ntuser.pol
2015-11-03 13:23 - 2015-11-03 13:23 - 0005075 _____ () C:\ProgramData\tgioyvlx.pxu
2015-11-02 12:08 - 2015-11-02 12:08 - 0005050 _____ () C:\ProgramData\wmzddnmb.cix
Task: {34B8D4BA-A3E1-403D-A073-8026FEE8F3BC} - \RestoreSearch -> No File <==== ATTENTION
EmptyTemp:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Выкладываю отчет!
Что с проблемой?
Проблема решилась, спасибо большое за помощь Майк1
[LIST=1][*]Для удаления утилит, которые использовались в лечении скачайте [url=https://toolslib.net/downloads/finish/2/]DelFix[/url] и сохраните утилиту на [b]Рабочем столе[/b][*]Запустите [b]DelFix[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В открывшемся окне программы поставьте галочки напротив пунктов [B]Remove desinfection tools[/B] и [B]Create registry backup[/B][*]Нажмите на кнопку [B]Run[/B][/LIST]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в AVZ при наличии доступа в интернет:
[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]