в браузере Google Chrome при поиске страницы переходят на Mail.ru + выскакивает куча рекламы

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[krohaira]

выполнено
на форум не прикладывается, не смотря на удаление всех вложений, вот ссылка: https://yadi.sk/d/luG12PJyruj4o

[SQ]

Выполните скрипт в uVS:

Код:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE
BREG
delref %SystemDrive%\USERS\СТРОИТЕЛЬНЫЕ СИСТЕМЫ\APPDATA\LOCAL\AKAMAI\NETSESSION_WIN.EXE
delref %SystemDrive%\USERS\СТРОИТЕЛЬНЫЕ СИСТЕМЫ\APPDATA\LOCAL\MICROSOFT\INTERNET EXPLORER\DOWNLOADED PROGRAM FILES\MESPROAX.DLL
delref %SystemDrive%\PROGRAMDATA\EXSTRACOUPON\SQSJAAPEH5CAKQ.X64.DLL
delref %SystemDrive%\USERS\СТРОИТЕЛЬНЫЕ СИСТЕМЫ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\KMAEBDOEMHJFOPGJGNGOPDFKGIKHJCGO\1.8_0\TEMPT PAGE
delref %SystemDrive%\USERS\СТРОИТЕЛЬНЫЕ СИСТЕМЫ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.2_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\СТРОИТЕЛЬНЫЕ СИСТЕМЫ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JAEAHNNFOHIKJNEJPOKEAAIINIJHPFOP\1.306_1\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delref %SystemDrive%\USERS\СТРОИТЕЛЬНЫЕ СИСТЕМЫ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.3_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
deldir %SystemDrive%\PROGRAMDATA\EXSTRACOUPON
delref %SystemDrive%\PROGRA~2\COMMON~1\ASCONS~1\MEASUR~1.DLL
deltmp
restart

[krohaira]

выполнено, приложен карантин

[SQ]

Что с проблемой?

[krohaira]

проблема с переходом поиска с гугла на мейл сохраняется, при этом когда набираешь в поисковой строке сначала появляются результаты гугл, потом появляется http://searchtds.ru/?ref=aoy67&q=%D0...5%D0%B9&subId=, и затем сразу загружается мейл

[SQ]

Сделайте лог полного сканирования МВАМ

[krohaira]

выполнено
проблема сохраняется и с поисковиком и с рекламой казино

[SQ]

Приложите новый лог утилиты FRST, только отметьте еще Shortcut.txt

[krohaira]

выполнено

[SQ]

выполнено

Ранее просил еще Shortcut.txt

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  CHR HKU\S-1-5-21-2185891605-4230155982-2200288851-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dmpojjilddefgnhiicjcmhbkjgbbclob] - hxxp://clients2.google.com/service/update2/crx
  Folder: C:\Users\Строительные системы\AppData\Local\Вoйти в Интeрнет
  Folder: C:\Users\Строительные системы\AppData\Local\syslog
  Folder: C:\Users\Строительные системы\AppData\Local\Поиcк в Интeрнете
  2014-09-05 11:03 - 2014-09-05 11:03 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
  2016-04-14 19:07 - 2016-04-14 19:07 - 0153325 _____ () C:\Program Files (x86)\desk.jpg
  ShortcutWithArgument: C:\Users\Строительные системы\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mail.ru
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Если пропиcать на сетевом интерфейсе в качестве днс-серверов:

Код:

8.8.8.8
8.8.4.4

проблема воспроизводиться?

[krohaira]

проблема сохраняется

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  Shortcut: C:\Users\Строительные системы\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)
  InternetURL: C:\Users\Строительные системы\Desktop\ЦВЕТАЕВ\Искать в Интернете.url -> hxxp://go.mail.ru/?sct=1
  InternetURL: C:\Users\Default\Favorites\Links\Amazon.co.uk – Online Shopping.url -> hxxp://redirect.hp.com/svs/rdr?locale=ru_ru&c=131&bd=pavilion&tp=iefavbar&s=amazon&pf=cnnb&TYPE=4
  InternetURL: C:\Users\Строительные системы\Favorites\Links\Интернет.url -> hxxp://dugado.ru/?utm_source=favorites03&utm_content=aa98467f69183aa7b27b4e96132ae7d6&utm_term=DAD3FF4248F42E18AA55DB3D3F7D31F4&utm_d=20160516
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[krohaira]

выполнено

[SQ]

Очистите куки, кэш браузеров и кэш DNS (http://virusinfo.info/showthread.php?t=128635)

Сообщите, что с проблемой?

[krohaira]

выполнено
проблема с поиском в мейл вместо гугл сохраняется, на сайты казино пока не выскакивал
переустановка браузера помогло, спасибо!!!

[SQ]

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.

2. Запустите DelFix.
Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

4. Нажмите на кнопку Run.

5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt (C:\delfix.txt)

6. Прикрепите этот отчет в вашей теме.


Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[krohaira]

выполнено
уязвимостей не обнаружено

[SQ]

На этом всё!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 7
• В ходе лечения вредоносные программы в карантинах не обнаружены