Вирусы searche-engine.ru и go.mail.ru

[Igor Fil]

После скачивания и распаковки файла с документами, получил вирус. Установился Амиго, Спутник и т.д. Сейчас все программы удалил. Теперь после выполнения поиска в Хром перенаправляет на go.mail.ru. Когда сбрасываю настройки браузера - вреде становится все на свои места. Как только устанавливаю расширения браузера - снова устанавливается поисковик мейл ру. Malwarebytes не находит вредоносное ПО, программа ADWCleaner постоянно находит угрозу startup mail.ru/ctn/10455?gp=802851

[Info_bot]

Уважаемый(ая) Igor Fil, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Igor Fil]

CollectionLog-2016.12.17-18.25.zip

[mrak74]

Здравствуйте !!!

программа ADWCleaner постоянно находит угрозу startup mail.ru/ctn/10455?gp=802851

Лог ADWCleaner-а покажите.

+
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[Igor Fil]

Лог ADWCleaner AdwCleaner[S19].txt
Лог Farbar Recovery Scan Tool FRST.zip

[mrak74]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2939344874-1724699151-1623257754-1001\...\Run: [AdobeBridge] => [X]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\6c4vetqx.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\6c4vetqx.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\6c4vetqx.default -> hxxp://mail.ru/cnt/10445?gp=818405
FF Keyword.URL: Mozilla\Firefox\Profiles\6c4vetqx.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BDFCF898C-B804-4700-BB82-ABB92CD27E8D%7D&gp=811014
FF Extension: (Speed Dial [FVD] - New Tab Page, Sync...) - C:\Users\Igor\AppData\Roaming\Mozilla\Firefox\Profiles\6c4vetqx.default\Extensions\[email protected] [2016-03-10]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Igor\AppData\Roaming\Mozilla\Firefox\Profiles\6c4vetqx.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-06]
FF Extension: (Adblock Plus) - C:\Users\Igor\AppData\Roaming\Mozilla\Firefox\Profiles\6c4vetqx.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-03-10]
FF SearchPlugin: C:\Users\Igor\AppData\Roaming\Mozilla\Firefox\Profiles\6c4vetqx.default\searchplugins\mailru.xml [2016-12-06]
OPR Extension: (No Name) - C:\Users\Igor\AppData\Roaming\Opera Software\Opera Stable\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2016-12-14]
Task: {7EA44114-3BB6-471B-81EE-36B8CDCAAA16} - System32\Tasks\syslog => C:\Users\Igor\AppData\Local\syslog\syslog.exe <==== ATTENTION
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Igor Fil]

Fixlog.txt

[mrak74]

Что с проблемой ?

[Igor Fil]

Только включил расширения в Хроме и попробовал воспользоваться поисковиком - как сразу перенаправило на go.mail.ru. и открываются новые окна с рекламой. ADWCleaner снова обнаруживает startup mail.ru/ctn/10455?gp=802851

[mrak74]

Проблема только в хроме? Сделайте новые логи FRST.

[Igor Fil]

Другими поисковиками не пользуюсь. По-этому проблема только в Хроме

[mrak74]

Другими поисковиками не пользуюсь. По-этому проблема только в Хроме

Хорошо.

Сделайте новые логи FRST.

Жду новые логи.

[Igor Fil]

Addition.zip

[mrak74]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CloseProcesses:
CHR StartupUrls: Default -> "hxxp://www.google.com","hxxp://mail.ru/cnt/10445?gp=802851"
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Только включил расширения в Хроме и попробовал воспользоваться поисковиком - как сразу перенаправило на go.mail.ru.

Похоже что включили модифицированное расширение, путём отключения расширений поочередно, одновременно проверяя работу интернета вычисляете виновника, удаляете полностью, если привыкли к нему переустановите с 0-ля.

[Igor Fil]

Fixlog.txt

[mrak74]

Модифицированное расширение вычислили ?

[Igor Fil]

Нашел падлу "Расширение для отключения Google Analytics 4.1
Передает в код JavaScript Google Analytics (ga.js) сведения о том, что не следует отправлять данные в Google Analytics." использовал для того, чтоб гугл аналитика не фиксировало входы на свой сайт

[mrak74]

Удалите .

[Igor Fil]

Тем не менее ADWCleaner продолжает находить угрозу startup mail.ru/ctn/10455?gp=802851

[mrak74]

Запустите его еще раз, обязательно запуск от имени администратора, найденное удалите, перезагрузите компьютер, проверьтесь еще раз.