Постоянно выскакивают окна с рекламой и не могу сменить поисковик, после поиска в гугл редиректит на маил.ру
Постоянно выскакивают окна с рекламой и не могу сменить поисковик, после поиска в гугл редиректит на маил.ру
Уважаемый(ая) [B]Сергей Ковалев[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\program files (x86)\filter2\2\cppwindowsservice.exe');
TerminateProcessByName('c:\program files (x86)\filter2\2\pfhttpcontentfilter.exe');
StopService('CppWindowsService');
QuarantineFile('c:\program files (x86)\filter2\2\cppwindowsservice.exe', '');
QuarantineFile('c:\program files (x86)\filter2\2\pfhttpcontentfilter.exe', '');
QuarantineFile('C:\Program Files (x86)\filter2\2\ProtocolFilters.dll', '');
DeleteFile('c:\program files (x86)\filter2\2\cppwindowsservice.exe', '32');
DeleteFile('c:\program files (x86)\filter2\2\pfhttpcontentfilter.exe', '32');
DeleteFile('C:\Program Files (x86)\filter2\2\ProtocolFilters.dll', '32');
DeleteFile('C:\Program Files (x86)\filter2\2\nfapi.dll', '32');
DeleteService('CppWindowsService');
DeleteFileMask('c:\program files (x86)\filter2', '*', true);
DeleteDirectory('c:\program files (x86)\filter2');
ExecuteFile('schtasks.exe', '/delete /TN "Serega" /F', 0, 15000, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
Результат загрузки
Файл сохранён как 161108_163253_quarantine_5821d405e9bcc.zip
Размер файла 366690
MD5 4fc4fe16a52183093503dd7ab384838e
Файл закачан, спасибо!
[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.
К сожалению при клике по области в браузере всё ещё выскакивает реклама, а при поиске в google идет редирект на "http://searche-engine.ru/?ref=aoy67&q=%D0%BA%D0%BE%D1%80%D0%B2%D0%B0%D0%BB%D0%BE%D0%BB&subId=" а после на "http://go.mail.ru/search?"
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Вот логи
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
HKU\S-1-5-21-465339724-2377042119-1893876814-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://rigneda.ru/?utm_source=startpage03&utm_content=17932093119668bc1771ad2792b5a42b&utm_term=34638037BFAD423BE6CE22433FF3834E&utm_d=20161104
FF Plugin HKU\S-1-5-21-465339724-2377042119-1893876814-1002: @mail.ru/GameCenter -> C:\Users\Serega\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
CHR HomePage: Default -> go.mail.ru/?fr=chhp11.0.29__PARAM__
CHR StartupUrls: Default -> "hxxp://rigneda.ru/?utm_source=startpage03&utm_content=17932093119668bc1771ad2792b5a42b&utm_term=34638037BFAD423BE6CE22433FF3834E&utm_d=20161104"
CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn11.0.3
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Serega\AppData\Local\Google\Chrome\User Data\Default\Extensions\icanjjkadceebmhanpekkofdhclnoijl [2016-11-04]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Serega\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme [2016-09-06]
CHR Extension: (Mail.Ru) - C:\Users\Serega\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf [2016-09-06]
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CustomCLSID: HKU\S-1-5-21-465339724-2377042119-1893876814-1002_Classes\CLSID\{64A9418A-B6B1-4112-B75C-E61633C9A31F}\InprocServer32 -> C:\Temp\mcse64_00.dll => No File
CustomCLSID: HKU\S-1-5-21-465339724-2377042119-1893876814-1002_Classes\CLSID\{6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6}\InprocServer32 -> C:\Temp\mcse64_00.dll => No File
CustomCLSID: HKU\S-1-5-21-465339724-2377042119-1893876814-1002_Classes\CLSID\{6A2E142B-EA63-433A-AC05-5223CBD26E65}\InprocServer32 -> C:\Temp\mcse64_00.dll => No File
CustomCLSID: HKU\S-1-5-21-465339724-2377042119-1893876814-1002_Classes\CLSID\{6AFCC535-2F12-4F50-9F0A-1CF856CFC95D}\InprocServer32 -> C:\Temp\mcse64_00.dll => No File
Shortcut: C:\Users\Serega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk -> C:\Users\Serega\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
Shortcut: C:\Users\Serega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Амиго.Музыка.lnk -> C:\Users\Serega\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
Shortcut: C:\Users\Serega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\ВКонтакте.lnk -> C:\Users\Serega\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
Shortcut: C:\Users\Serega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Мини-игры Mail.Ru.lnk -> C:\Users\Serega\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
Shortcut: C:\Users\Serega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Мой Мир.lnk -> C:\Users\Serega\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
Shortcut: C:\Users\Serega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Одноклассники.lnk -> C:\Users\Serega\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
Shortcut: C:\Users\Serega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Почта Mail.Ru.lnk -> C:\Users\Serega\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
Shortcut: C:\Users\Serega\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk -> C:\Users\Serega\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic
FirewallRules: [{A7E0ADB5-D10B-49A2-ABB7-48F46C241A64}] => (Allow) C:\Users\Serega\AppData\Local\Amigo\Application\amigo.exe
Shortcut: C:\Users\Serega\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk -> C:\Users\Serega\AppData\Local\Amigo\Application\amigo.exe (No File)
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\filter2\2\protocolfilters.dll - [B]not-a-virus:NetTool.Win32.Netfilter.oy[/B] ( AVAST4: Win32:Malware-gen )[/LIST][/LIST]