Добрый день.
Примерно каждые 12 часов при попытке перейти по ссылке в Яндекс-браузере перекидывает на сайт [url]http://everyoneneedsagoodadvice.blogspot.ru[/url].
Printable View
Добрый день.
Примерно каждые 12 часов при попытке перейти по ссылке в Яндекс-браузере перекидывает на сайт [url]http://everyoneneedsagoodadvice.blogspot.ru[/url].
Уважаемый(ая) [B]nsnt[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('c:\programdata\SetWallpaper.cmd','');
QuarantineFile('C:\Windows\ssdal_nc.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
Спасибо за ответ!
Готово.
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Готово.
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\x64\IEExt\OnlineBanking\online_banking_bho.dll => No File
BHO-x32: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\IEExt\OnlineBanking\online_banking_bho.dll => No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKU\.DEFAULT -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hhjmihalfdochhinhfogciaafppfgpjj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [imkmhbbgjgkbkpajmnfeebdodfcelmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mofcklffffgbdgnoipdokcclbhomkpie] - hxxps://clients2.google.com/service/update2/crx
Folder: C:\ProgramData\Protect
2017-03-30 17:13 - 2017-03-30 17:13 - 0005632 _____ () C:\Users\и\AppData\Local\Temp\di1pbjzl.dll
2017-04-23 12:56 - 2017-04-23 12:56 - 35366216 _____ (Performix LLC) C:\Users\и\AppData\Local\Temp\setup.exe
2017-04-29 19:00 - 2017-04-29 19:00 - 0192512 _____ () C:\Users\и\AppData\Local\Temp\sfamcc00001.dll
2015-02-10 22:56 - 2015-02-10 22:56 - 0105984 _____ () C:\Users\и\AppData\Local\Temp\sfextra.dll
2017-03-05 15:55 - 2017-03-05 15:55 - 14456872 _____ (Microsoft Corporation) C:\Users\и\AppData\Local\Temp\vc_redist.x86.exe
2017-03-05 14:05 - 2017-01-30 13:32 - 0237920 _____ () C:\Users\и\AppData\Local\Temp\YandexWorking.exe
AlternateDataStreams: C:\Windows:nlsPreferences [0]
File: c:\programdata\SetWallpaper.cmd
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Готово.
Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].
Готово. Получилось с четвертой попытки, компьютер вылетал в синий экран сначала на анализе автозапуска, потом при создании образа.
[URL="http://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827"]Выполните скрипт в uVS:[/URL]
[CODE];uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://WWW.GOOGLE.COM/SEARCH?Q={SEARCHTERMS}&RLS=COM.MICROSOFT:{LANGUAGE}:{REFERRER:SOURCE?}&IE={INPUTENCODING}&OE={OUTPUTENCODING}&SOURCEID=IE7
delref HTTP://WWW.GOOGLE.COM/SEARCH?SOURCEID=IE7&Q={SEARCHTERMS}&RLS=COM.MICROSOFT:{LANGUAGE}:{REFERRER:SOURCE?}&IE={INPUTENCODING}&OE={OUTPUTENCODING}&RLZ=1I7ASUT
delref HTTP://WWW.YANDEX.RU/YANDSEARCH?STYPE=&NL=0&TEXT={SEARCHTERMS}
dirzoo %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\38.0.2125.104\RESOURCES\GOOGLE_NOW\GOOGLE NOW
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\38.0.2125.104\RESOURCES\GOOGLE_NOW\GOOGLE NOW
restart[/CODE]
Выполнила. Папка ZOO пустая.
Сообщите, что с проблемой?
Проблема осталась.
Отключите все расширения в яндекс-браузере и сообщите результат.
Расширения - это дополнения? Сообщу только через 12 часов, недавно перекидывал как раз.
[QUOTE=nsnt;1450674]Расширения - это дополнения? Сообщу только через 12 часов, недавно перекидывал как раз.[/QUOTE]
Да, подробнее [url]https://yandex.ru/support/browser-classic/personalization/extension.xml[/url]
Ждем от Вас новостей.
Да, это одно из них. Вчера перенаправления не было.
Из дополнительных у меня стоит Block Site и Website Blocker. Сегодня включила сначала Block Site, перенаправления не было, затем Website Blocker, тогда перебросило. Но еще раз проверю без него.
Спасибо.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Где я такой экзотический блокировщик откопала? Тут тоже пишут в отзывах, что с вирусом
[url]https://addons.opera.com/ru/extensions/details/website-blocker/?display=en[/url]
У них в политике конфиденциальности написано, что может перенаправлять на рекламные сайты, видимо, так и было задумано.
Удалите расширения, которые Вы не ставили ранее. В логах не видно вредоносного ПО которое могло заразить, возможно ранее антивирусное ПO ее удалила, а остатки остались в яндекс-браузере.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]