Переадрисация на другие сайты и посторонняя реклама на сайтх

[Владимир12]

На разных сайтах идет переадрисация на "посторонние" сайты. Также появляется реклама эротического характера. Помогите пожалуйста!
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

[Info_bot]

Уважаемый(ая) Владимир12, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Содержание OneNote.onetoc2', '');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\SearchGo\searchgo.dll', '');
 QuarantineFile('C:\Program Files\Youtube AdBlock\IEEF\E5VeQV2M.dll', '');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\ComDev\ComDev.exe', '');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Содержание OneNote.onetoc2', '32');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\SearchGo\searchgo.dll', '32');
 DeleteFile('C:\Program Files\Youtube AdBlock\IEEF\E5VeQV2M.dll', '32');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\ComDev\ComDev.exe', '32');
 DeleteFileMask('c:\documents and settings\admin\local settings\application data\searchgo', '*', true);
 DeleteFileMask('c:\program files\youtube adblock', '*', true);
 DeleteFileMask('c:\documents and settings\admin\local settings\application data\comdev', '*', true);
 DeleteDirectory('c:\documents and settings\admin\local settings\application data\searchgo');
 DeleteDirectory('c:\program files\youtube adblock');
 DeleteDirectory('c:\documents and settings\admin\local settings\application data\comdev');
 DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
 DelBHO('{95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B}');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 ExecuteFile('schtasks.exe', '/delete /TN "C:\WINDOWS\Tasks\ComDev.job" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'kwlrcgnrzs');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

Сделайте лог Check Browsers' LNK by Dragokas & regist.

[Владимир12]

Сделал все как написано. Отправляю файлы
virusinfo_syscheck.zip
Check_Browsers_LNK.log
AdwCleaner[S0].txt
И еще когда что-либо ищешь в яндексе или гугле перенаправляет на какой то сайт (это видно по адресной строке) и сразу же на поисковик mail.ru

[Vvvyg]

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования eстановите в пункте меню "Настройки" (Settings) галочку "Сброс политик Chrome" .
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Владимир12]

Всё сделал. Реклама и переадрисация остались.
AdwCleaner[C0].txt
MYCOMP_2016-11-09_17-30-33.7z

[Vvvyg]

uVS v3.85.24 [http://dsrt.dyndns.org]

Зачем я дал ссылку на актуальную версию Universal Virus Sniffer? Очень многого не видно наверняка, придётся повторную проверку делать

Скачайте свежий UVS и в нём выполните скрипт:

Код:

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v388c
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\СОДЕРЖАНИЕ ONENOTE.ONETOC2
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\СОДЕРЖАНИЕ ONENOTE.ONETOC2
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.30_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
regt 28
regt 29
;-------------------------------------------------------------

delref HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B6D1F7D2E-DA22-455A-953C-1DEA614B0BAF%7D&GP=811014
delref HTTP://MAIL.RU/CNT/10445?GP=818407
delref %SystemDrive%\PROGRAM FILES\UBISOFT\UBISOFT GAME LAUNCHER\NPUPLAYPC.DLL
delref HTTP://GRANENA.RU/?UTM_CONTENT=31B5CEBD524A9AF6C7A772DCA81815E9&UTM_SOURCE=STARTPM&UTM_TERM=6AB990FC63FE540E67B406B15DA988C0&UTM_D=20161103
delref HTTP:\\GO-SEARCH.RU\?UTM_SOURCE=QUICKLAUNCH
delref HTTP:\\IMATIRO.RU\?UTM_SOURCE=QUICKLAUNCH03&UTM_CONTENT=6AC7408278BF483402647C4FDE29C433&UTM_TERM=6AB990FC63FE540E67B406B15DA988C0&UTM_D=20161103
delall D:\DRIVER UPDATER\DUPDATER.EXE
deltmp
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\ICQM\ICQ.EXE
czoo
restart

Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте новый полный образ автозапуска uVS.

[Владимир12]

Здравствуйте. Осталось всё по прежнему. К сожалению не смог отправить карантин - архив появился с расширением 7z, а не zip. Как поменять не знаю. Отправляю скрин с название сайта который выскакивает при переадресации Безымянный1.zip
2016-11-10_18-22-16_log.txt
MYCOMP_2016-11-10_18-34-00.7z

[Vvvyg]

ЗК сожалению не смог отправить карантин - архив появился с расширением 7z, а не zip.

Потому что Вы упорно второй раз игнорируете ссылку на свежую сборку UVS специально для этого форума, которая пакует карантин именно в .zip
Загрузите на rghost.ru и дайте ссылку в личном сообщении.

Попробуйте Инструмент очистки Chrome.

[Владимир12]

Выполнял все действия uvs 3.87, но пакует в 7z. Карантин отправил- через настройки перепаковал 7z на zip. "Попробуйте Инструмент очистки Chrome." - у меня XP, а там только для 7,8,10 пишет Безымянный1.rar. На rghost.ru пробовал скачивать пишет осторожно поддельный сайт...

[Vvvyg]

Выполнял все действия uvs 3.87, но пакует в 7z.

А по ссылке на Яндекс.Диск - специальная сборка с UVS 3.87.7, которая пакует в .zip. Сообщение #5 прочитайте внимательно.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Владимир12]

На Яндекс.Диск та же самая версия и тоже пакует в 7z ( может у меня в настройках так установлено?!)
FRST.rar

[Vvvyg]

Если отключить все расширения в Хроме?

[Владимир12]

Было расширение avast - отключил его и всё стало нормально. Также сбросил все настройки Хрома. Рекламы и переадресации нет. Посмотрю что будет дальше. Спасибо огромное!

[Vvvyg]

Значит, подменили расширение.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Прикрепите этот файл к сообщению.

[Владимир12]

avz_log.rar
По рекомендации всё обновил.

[Vvvyg]

Всё на этом.

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 9
• В ходе лечения вредоносные программы в карантинах не обнаружены