Поисковики Yandex и Google переходят на mail.ru или рекламные сайты

**TheDemiurge** · 30.12.2015, 00:18

Сестра установила какие "гадости" и теперь все в рекламе, при попытке перехода на google, то переводит на чертов mail. Все пересмотрел, через все программы. Нашел похожую тему на форуме, снизу несколько файлов из программы "FRST64".

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 30.12.2015, 00:20

Уважаемый(ая) TheDemiurge, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 30.12.2015, 09:16

Вообще-то все темы в этом разделе начинаются с логов AVZ и HijackThis по правилам. Но, раз уж Вы применили нестандартное начало...

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

() C:\Program Files (x86)\filter\2\CppWindowsService.exe
() C:\Program Files (x86)\filter\2\PFHttpContentFilter.exe
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
ProxyServer: [S-1-5-21-2644973875-3795327748-2129590980-1000] => http=127.0.0.1:4444;https=127.0.0.1:4445
AutoConfigURL: [S-1-5-21-2644973875-3795327748-2129590980-1000] => C:\Program Files (x86)\i2p\scripts\i2pProxy.pac
HKU\S-1-5-21-2644973875-3795327748-2129590980-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ngiregi.ru/?utm_content=8e99b3a4206fc30a47b0b926415abb4c&utm_source=startpm&utm_term=C030C9FD193656E743314CC8A48AA422
SearchScopes: HKU\S-1-5-21-2644973875-3795327748-2129590980-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BD939B2CE-FB43-4A5A-AEBB-7CE7BFD176A7%7D&gp=801503
SearchScopes: HKU\S-1-5-21-2644973875-3795327748-2129590980-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BD939B2CE-FB43-4A5A-AEBB-7CE7BFD176A7%7D&gp=801503
BHO-x32: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Sergey\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => No File
CHR HomePage: Default -> mail.ru/cnt/11956636?gp=801003
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.oursurfing.com/?type=hp&ts=1446405538&z=0913f845a05ad2ce6301a0dgfz3z3q7z1e9wbw0ccb&from=amt&uid=395049983_1052483_80a12e77"
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
R2 CppWindowsService; C:\Program Files (x86)\filter\2\CppWindowsService.exe [22016 2015-10-10] () [File not signed]
R1 netfilter2; C:\Windows\System32\drivers\netfilter2.sys [56296 2015-09-30] (Windows (R) Win 7 DDK provider)
R1 netfilter2; C:\Windows\SysWOW64\drivers\netfilter2.sys [56296 2015-09-30] (Windows (R) Win 7 DDK provider)
2015-12-28 22:30 - 2015-12-30 00:09 - 00000000 ____D C:\netfilter2
2015-12-28 22:30 - 2015-12-28 22:30 - 00000000 ____D C:\Program Files (x86)\filter
2015-12-28 22:30 - 2015-09-30 09:38 - 00056296 _____ (Windows (R) Win 7 DDK provider) C:\Windows\SysWOW64\Drivers\netfilter2.sys
2015-12-28 22:30 - 2015-09-30 09:38 - 00056296 _____ (Windows (R) Win 7 DDK provider) C:\Windows\system32\Drivers\netfilter2.sys
2015-12-28 22:25 - 2015-12-28 22:25 - 00000000 ____D C:\ProgramData\Mail.Ru
Task: {931C45D8-E2FF-4DB1-BD43-27CEA3DAF432} - \nethost task -> No File <==== ATTENTION
C:\Users\Sergey\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Users\Sergey\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk
FirewallRules: [{6B628656-59B8-4DE9-9A73-EF474A26DEF3}] => (Allow) C:\Users\Sergey\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Затем сделайте логи по правилам.

**TheDemiurge** · 30.12.2015, 14:05

Сообщение от Vvvyg

Вообще-то все темы в этом разделе начинаются с логов AVZ и HijackThis по правилам. Но, раз уж Вы применили нестандартное начало...

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

() C:\Program Files (x86)\filter\2\CppWindowsService.exe
() C:\Program Files (x86)\filter\2\PFHttpContentFilter.exe
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
ProxyServer: [S-1-5-21-2644973875-3795327748-2129590980-1000] => http=127.0.0.1:4444;https=127.0.0.1:4445
AutoConfigURL: [S-1-5-21-2644973875-3795327748-2129590980-1000] => C:\Program Files (x86)\i2p\scripts\i2pProxy.pac
HKU\S-1-5-21-2644973875-3795327748-2129590980-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ngiregi.ru/?utm_content=8e99b3a4206fc30a47b0b926415abb4c&utm_source=startpm&utm_term=C030C9FD193656E743314CC8A48AA422
SearchScopes: HKU\S-1-5-21-2644973875-3795327748-2129590980-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BD939B2CE-FB43-4A5A-AEBB-7CE7BFD176A7%7D&gp=801503
SearchScopes: HKU\S-1-5-21-2644973875-3795327748-2129590980-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BD939B2CE-FB43-4A5A-AEBB-7CE7BFD176A7%7D&gp=801503
BHO-x32: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Sergey\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => No File
CHR HomePage: Default -> mail.ru/cnt/11956636?gp=801003
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.oursurfing.com/?type=hp&ts=1446405538&z=0913f845a05ad2ce6301a0dgfz3z3q7z1e9wbw0ccb&from=amt&uid=395049983_1052483_80a12e77"
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
R2 CppWindowsService; C:\Program Files (x86)\filter\2\CppWindowsService.exe [22016 2015-10-10] () [File not signed]
R1 netfilter2; C:\Windows\System32\drivers\netfilter2.sys [56296 2015-09-30] (Windows (R) Win 7 DDK provider)
R1 netfilter2; C:\Windows\SysWOW64\drivers\netfilter2.sys [56296 2015-09-30] (Windows (R) Win 7 DDK provider)
2015-12-28 22:30 - 2015-12-30 00:09 - 00000000 ____D C:\netfilter2
2015-12-28 22:30 - 2015-12-28 22:30 - 00000000 ____D C:\Program Files (x86)\filter
2015-12-28 22:30 - 2015-09-30 09:38 - 00056296 _____ (Windows (R) Win 7 DDK provider) C:\Windows\SysWOW64\Drivers\netfilter2.sys
2015-12-28 22:30 - 2015-09-30 09:38 - 00056296 _____ (Windows (R) Win 7 DDK provider) C:\Windows\system32\Drivers\netfilter2.sys
2015-12-28 22:25 - 2015-12-28 22:25 - 00000000 ____D C:\ProgramData\Mail.Ru
Task: {931C45D8-E2FF-4DB1-BD43-27CEA3DAF432} - \nethost task -> No File <==== ATTENTION
C:\Users\Sergey\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Users\Sergey\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk
FirewallRules: [{6B628656-59B8-4DE9-9A73-EF474A26DEF3}] => (Allow) C:\Users\Sergey\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Затем сделайте логи по правилам.

Вроде бы реклама исчезла, благодарю

**Vvvyg** · 30.12.2015, 14:48

Не нужно полностью цитировать сообщения хелпера, это ухудшает читаемость темы, просто пишите в окне "Быстрый ответ".

Сообщение от Vvvyg

Затем сделайте логи по правилам.

Всё-таки сделайте, для контроля.

**TheDemiurge** · 30.12.2015, 15:56

Прошу

**Vvvyg** · 30.12.2015, 19:55

Порядок.

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

Поисковики Yandex и Google переходят на mail.ru или рекламные сайты (заявка № 195192)

Опции темы