Поиск меняется в Chrome на GoSearch

**Артем Посняков** · 07.11.2016, 14:03

Здравствуйте!
Подцепил несколько вирусов по собственной глупости.
Рекламу казино: Вулкан и другие. Еще поисков несколько появилось: Поиск в интернете, Mail и др.
Наверное и еще что-то. Лечил Касперским. Еще какие то манипуляции совершал над Групповой политикой.
Вроде почти все вылечил, но думаю, что то осталось. Логи прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 07.11.2016, 14:04

Уважаемый(ая) Артем Посняков, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Артем Посняков** · 07.11.2016, 15:32

Со схожими проблемами тут советуют использовать FRST. Сделал. Файлы прилагаю.

- - - - -Добавлено - - - - -

HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensio ns\fhoibnponjcgjgcnfacekaijdbbplhib
HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensio ns\pnlccmojcmeohlpggmfnbbiapkmbliob

вот еще такое осталось в реестре

**Vvvyg** · 07.11.2016, 21:51

Удалите Java(TM) 6 Update 22 (64-bit), это устаревшая версия со множеством критических уязвимостей.
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите актуальную версию.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKU\S-1-5-21-2819639951-1472174742-368079393-1000\...\Run: [QIP Internet Guardian] => C:\Users\Андрей\AppData\Roaming\QipGuard\QipGuard.exe [436720 2014-11-24] (QIP.ru)
HKLM-x32\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
SearchScopes: HKU\S-1-5-21-2819639951-1472174742-368079393-1000 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
SearchScopes: HKU\S-1-5-21-2819639951-1472174742-368079393-1000 -> {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} URL = hxxp://search.qip.ru/search?query={searchTerms}&utm_source=ieb&utm_medium=cpc&utm_campaign=browsers
BHO: No Name -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> No File
BHO-x32: No Name -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> No File
Toolbar: HKU\S-1-5-21-2819639951-1472174742-368079393-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=818407
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B18E523FB-8AE9-4822-9D67-57A52465544E%7D&gp=811014
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-11-05]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-11-05]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-11-05]
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKU\S-1-5-21-2819639951-1472174742-368079393-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2819639951-1472174742-368079393-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2819639951-1472174742-368079393-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2819639951-1472174742-368079393-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
U0 aswVmm; no ImagePath
2016-11-05 13:38 - 2016-11-07 07:11 - 00000000 ____D C:\Users\Андрей\AppData\Local\sysnet
2016-11-05 13:37 - 2016-11-05 13:37 - 00000000 ____D C:\Users\Андрей\AppData\Local\Поиcк в Интeрнете
2016-11-05 13:35 - 2016-11-05 13:35 - 00000000 ____D C:\Users\Все пользователи\Mail.Ru
Task: {10BB87F8-EE6F-43E0-AD91-0783474E5121} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {17E24454-1627-4DE4-9993-3259F30BEDD0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {21297CE0-502D-430B-B7E1-24207C4BF552} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {2831E11C-EAB4-4B76-80D6-87267080CEB2} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {29990D67-38F6-4F59-9E13-FFDAFF70A820} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {8D4F2564-534D-4997-8B36-B22C82A810B8} - \sysnet -> No File <==== ATTENTION
Task: {9BB5527F-6874-4023-B8CC-BE0C41D9CA4E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {AD0DBCD4-0744-47F3-86B0-12AE42156CEE} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {B12F8F5E-40DA-4AA5-BC59-BB6F02B2C815} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {C3E13544-B206-4288-AD01-2A43227509F9} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {E4AF4A1E-0804-4AA5-8C8C-AA906FA088A6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {EFD0D499-A22D-4881-942F-066F8C76937A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {F0F9AFC6-9658-4514-AE35-3FB17B6E4EB2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
HKU\S-1-5-21-2819639951-1472174742-368079393-1000\...\StartupApproved\Run: => "okqlnkjlrf"
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**Артем Посняков** · 08.11.2016, 09:04

Я вчера Adwcleanerом еще чистил. Проблемы почти все ушли.
Остались папки по адресу C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions
aapocclcgogkmnckokdopfmhonfmgoek
aohghmighlieiainnegkcijnfilokake
cfhdojbkjhnklbpkdaibdccddilifddb
felcaaldnbdncclmgdcncolpebgiejap
ghbmnnjooekpmoecnnnilnnbdlolhkhi
Если их удалить, то при запуске Chrome, они восстанавливаются.
В других папках Extensions папки с адакадаброй то же присутствуют, но меньше.

- - - - -Добавлено - - - - -

Вот еще результат работы AdwCleaner. Вулканы убил Касперский. Поиск перестал меняться после сброса политик Chrome через командную строку. Остались только эти папки подозрительные. Насколько они опасны?

**Vvvyg** · 08.11.2016, 19:37

Папки эти соответствуют расширениям от Google. Правда, их часто подменяют в последнее время.
Явные проблемы с рекламой остались?

**Артем Посняков** · 08.11.2016, 20:01

Нет. Все работает. спасибо!

**Vvvyg** · 08.11.2016, 21:21

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

Поиск меняется в Chrome на GoSearch (заявка № 205611)

Опции темы