Банально. Переадресация на go.mail.ru

[Voland009]

Доброе время суток

После установки некой программы для конвертации видео компьютер оказался заражен целой плеядой программ от мерзавцев из мэйл.ру. Программы затер, реестр почистил. Но теперь все браузеры при поиске с гугла или яндекса переадресовывают на go.mail.ru. Чем только не сканировал. Что только не стирал. Одновременно сайты стали частенько открываться с задержкой 5-10 секунд. ДНС пробовал менять и на компре и на роутере - не помогает. Хотя может это просто совпадение. Но на планшетниках, подключенныз по вай-фай к той же сети таких тормозов не бывает.

Последняя надежда перед переустановкой ОС (win 10) на этот ресурс. Вот логи. Надеюсь собрал правильно.

[Info_bot]

Уважаемый(ая) Voland009, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Voland009]

И еще результаты сканирования FARBAR

[Voland009]

Прошу прощения, а проект жив?)

[mrak74]

Здравствуйте !!!

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Program Files\AutoClickExtreme\AutoClicker.exe','');
  QuarantineFile('C:\Users\Serg\AppData\Roaming\swEXT\ml.py','');
  QuarantineFile('C:\Users\Serg\AppData\Roaming\SafeWeb\ml.py','');
  QuarantineFile('C:\Users\Serg\AppData\Roaming\SafeWeb\python\pythonw.exe','');
  QuarantineFile('C:\Users\Serg\AppData\Roaming\PBot\ml.py','');
  DeleteFile('C:\Users\Serg\AppData\Roaming\PBot\ml.py','32');
  DeleteFile('C:\Users\Serg\AppData\Roaming\SafeWeb\python\pythonw.exe','32');
  DeleteFile('C:\Users\Serg\AppData\Roaming\SafeWeb\ml.py','32');
  DeleteFile('C:\Users\Serg\AppData\Roaming\swEXT\ml.py','32');
  DeleteFile('C:\Program Files\AutoClickExtreme\AutoClicker.exe','32');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SafeWeb');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','swEXT');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Voland009]

Нда. Уведомление об ответе в этой теме пришло только спустя две недели, я уж думал позабыли обо мне
За то время как-то сам избавился от проблемы кучей прогонов чистелок реестра и adwcleaner. AutoClicker.exe, кстати, совершенно нормальная утилита, к проблеме отношения не имеющая

Теперь осталась только проблема, весьма распространенная. А именно - периодически начинаются тормоза с открытием страниц в браузере. Т.е. до определенного момента все открывается мгновенно, буквально летает. А потом... Начинаешь открывать страницы и "Ожидание <адрес сайта>". Одновременно можно открыть 2,3,5... разных окон с разными (!) сайтами и одно и то же. Потом бац - все страницы одновременно мигом загрузятся и пойдет опять грузиться все шустро. Проходит минут 15-20 и опять затык... Потом опять все летает.
От браузера не зависит (перепробовал хром, мозилу, эксплорер), антивирусы выгружал, торрентов нет. Похоже на лаги ДНС, но прописывал фиксированные днсы и гугла (прописывал их и на компе и в роутере) и провайдера - ничего не меняется. Реестр чист, adwcleaner ничего не видит. Главное - что сразу после установки системы (х64, Windows10) такого не было. Началось еще до мэйлрушного мусора. Не помню после чего, вроде как на ровном месте.

Есть шансы определить проблему без переустановки виндов?

[mrak74]

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Voland009]

Ничего не понимаю. Не получается прикрепить ни текстовый файл, ни архив. Хотя места в хранилище хватает. Вставляю лог текстом.

Скрытый текст

# AdwCleaner v6.042 - Отчёт создан 10/01/2017 в 09:24:09
# Обновлено 06/01/2017 by Malwarebytes
# База данных : 2017-01-09.3 [Сервер]
# Операционная система : Windows 10 Pro (X64)
# Имя пользователя : Serg - HOME
# Запущено из : D:\Distr\Anti-Mail-ru\adwcleaner_6.041\AdwCleaner.exe
# Режим: Сканирование
# Помощь : https://www.malwarebytes.com/support



***** [ Службы ] *****

Вредоносные службы не найдены.


***** [ Папки ] *****

Найдена папка: C:\Users\Serg\AppData\Local\Google\Chrome\User Data\Default\Extensions\cknebhggccemgcnbidipinkifmmegdel


***** [ Файлы ] *****

Вредоносных файлов не найдено.


***** [ DLL ] *****

Вредоносных DLL не найдено.


***** [ WMI ] *****

Не найдено вирусных ключей.


***** [ Ярлыки ] *****

Не найдено заражённых ярлыков.


***** [ Запланированные задания ] *****

Найдена задача: swEXT


***** [ Реестр ] *****

Не найдено вирусных ключей реестра.


***** [ Веб браузеры ] *****

В браузерах на основе Firefox вредоносных элементов не найдено.
Найдена настройка Chromium: [C:\Users\Serg\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - cknebhggccemgcnbidipinkifmmegdel

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [1820 Байт] - [24/12/2016 22:53:12]
C:\AdwCleaner\AdwCleaner[C2].txt - [2215 Байт] - [27/12/2016 21:52:41]
C:\AdwCleaner\AdwCleaner[C3].txt - [1797 Байт] - [05/01/2017 01:42:11]
C:\AdwCleaner\AdwCleaner[S0].txt - [2054 Байт] - [24/12/2016 22:52:19]
C:\AdwCleaner\AdwCleaner[S1].txt - [2403 Байт] - [27/12/2016 21:52:04]
C:\AdwCleaner\AdwCleaner[S2].txt - [2097 Байт] - [05/01/2017 01:41:35]
C:\AdwCleaner\AdwCleaner[S3].txt - [2085 Байт] - [10/01/2017 09:24:09]

########## EOF - C:\AdwCleaner\AdwCleaner[S3].txt - [2161 Байт] ##########

Скрыть

[mrak74]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Если не получиться загрузить к нам на форум, загрузите на http://rgho.st/ ссылку опубликуйте в следующем сообщении.