Junior Member
Вес репутации
31
Проблема с рекламой, поиск с google перенаправляет на mail.ru
Здравствуйте.
На моем компе
64-разрядная операционная система,
следующие проблемы:
1.Постоянно вылазит реклама. В виде окон на страницах открытых сайтов, а так же самопроизвольно открываются новые окна с какими-то сайтами...
2.После того, как я в поисковую строку google вношу запрос и нажимаю энтер, меня перенаправляет на поиск mail.ru.
Работаю в google хроме.
Пробовал чистить комп при помощи Malwarebytes Anti-Malware, Microsoft Security Essentials.
Не помогло.
Как решить данную проблему?
Нужно ли, для решения данных проблем,
Устанавливать антивирус и утилиты из Инструкции и чистить с их помощью?
Спасибо.
Вложения
Последний раз редактировалось alfakiev; 12.01.2016 в 16:27 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) alfakiev , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('D:\Users\User\AppData\Local\Hostinstaller\1724824406_installcube.exe','');
QuarantineFile('D:\Users\User\AppData\Local\Bubble Kit\{A40AB118-754F-98F9-F6FC-A7A911A5F62B}\BubbleKit.dll','');
QuarantineFile('D:\Users\User\AppData\Local\Bubble Kit\{A40AB118-754F-98F9-F6FC-A7A911A5F62B}\dyimrkj.dll','');
SetServiceStart('netfilter2', 4);
DeleteService('netfilter2');
QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys','');
DeleteFile('C:\Windows\system32\drivers\netfilter2.sys','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zbwfekkzpb');
DeleteFile('D:\Users\User\AppData\Local\Bubble Kit\{A40AB118-754F-98F9-F6FC-A7A911A5F62B}\dyimrkj.dll','32');
DeleteFile('D:\Users\User\AppData\Local\Bubble Kit\{A40AB118-754F-98F9-F6FC-A7A911A5F62B}\BubbleKit.dll','32');
DeleteFile('C:\Windows\system32\Tasks\Bubble Kit','64');
DeleteFile('C:\Windows\system32\Tasks\Bubble Kit2','64');
DeleteFile('D:\Users\User\AppData\Local\Hostinstaller\1724824406_installcube.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
DeleteFile('D:\Users\User\AppData\Local\PPTAssist\utility\uninst.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{0B57F4E6-EF32-4004-A7A2-E4A16F17EAEF}','64');
DeleteFile('C:\Windows\system32\Tasks\{458D60A8-EA31-4110-8D72-BE6EB54788B5}','64');
DeleteFile('C:\Windows\system32\Tasks\{C2F4E8D8-06FA-4236-BA25-35FD1F0525BF}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
31
вот очередной скрипт и новые логи
вот очередной скрипт и новые логи
Вложения
Последний раз редактировалось thyrex; 14.01.2016 в 21:33 .
Карантин как сказано было отправлять? Переделывайте
+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD , Driver MD5 и 90 Days Files .
3. Нажмите кнопку Scan .
4. После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt ).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив ) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
31
[QUOTE=thyrex;1349606]Карантин как сказано было отправлять? Переделывайте
если вы имеете ввиду это:
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин ?
то у меня текст "Прислать запрошенный карантин" не активен, он никуда не перенаправляет.
Пришлите мне просто ссылку не замаскированную под текст.
Я туда отправлю файл c:\quarantine.zip.
Спасибо.
Вложения
Последний раз редактировалось alfakiev; 15.01.2016 в 11:27 .
Сообщение от
alfakiev
Пришлите мне просто ссылку не замаскированную под текст.
Написано, где искать ссылку
Сделайте лог CheckBrowsers' Lnk
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2967876060-2900688213-3505830012-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-2967876060-2900688213-3505830012-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://runkede.ru/?utm_content=d291eb5ebcba6e27c3241f28e1d10e01&utm_source=startpm&utm_term=6B6A67C5E3EB5A0FC5A92CE2DA4E01F7
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-2967876060-2900688213-3505830012-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-2967876060-2900688213-3505830012-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Homepage: hxxp://runkede.ru/?utm_content=d291eb5ebcba6e27c3241f28e1d10e01&utm_source=startpm&utm_term=6B6A67C5E3EB5A0FC5A92CE2DA4E01F7
FF Extension: SuperMegaBest.com - D:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\gwnhtbud.default\Extensions\[email protected] [2015-07-28] [not signed]
CHR StartupUrls: Default -> "hxxp://webdoker.ru/kak-udalit-poisk-mail-ru-iz-google-chrome-i-guard-mail-ru/","hxxps://www.google.com.ua/?gws_rd=ssl"
CHR NewTab: Default -> "chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html"
CHR Extension: (Quick Searcher) - D:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\jldhpllghnbhlbpcmnajkpdmadaolakh [2015-10-26]
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vkplayerpro.ru/index.xml
OPR Extension: (Quick Searcher) - D:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\jldhpllghnbhlbpcmnajkpdmadaolakh [2015-10-26]
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe hxxp://www.istartpageing.com/?type=sc&ts=1449831307&z=8964b9e5c4424a88aa72f13g1z5zftcb0cce2b4c4z&from=cmi&uid=INTELXSSDSC2CW180A3_CVCV243200QV180EGN
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\D56D80E45C0A6F6B6AEB645E0F08990AD56D [2015-12-11] <==== ATTENTION
R1 netfilter2; C:\Windows\System32\drivers\netfilter2.sys [56296 2015-09-30] (Windows (R) Win 7 DDK provider)
2016-01-11 18:31 - 2016-01-15 09:52 - 00000000 ____D C:\netfilter2
2016-01-11 18:31 - 2016-01-11 18:31 - 00000000 ____D C:\Program Files (x86)\filter
2016-01-11 18:31 - 2015-09-30 09:38 - 00056296 _____ (Windows (R) Win 7 DDK provider) C:\Windows\system32\Drivers\netfilter2.sys
2016-01-11 18:29 - 2016-01-11 18:29 - 00000000 ____D D:\Users\User\AppData\Roaming\Calculator
2015-12-18 12:46 - 2015-12-20 15:21 - 00000639 _____ C:\istartpageing.xml
2015-12-18 11:04 - 2015-12-18 11:06 - 00000000 ____D D:\Users\User\AppData\Roaming\kingsoft
2015-12-18 10:56 - 2015-12-18 11:04 - 00000000 ____D D:\Users\Все пользователи\kingsoft
2015-12-18 10:56 - 2015-12-18 11:04 - 00000000 ____D D:\ProgramData\kingsoft
2015-10-26 12:44 - 2016-01-03 00:27 - 00000000 ____D D:\Users\Все пользователи\YNkOhPAjGYCwu
2015-10-26 12:44 - 2016-01-03 00:27 - 00000000 ____D D:\Users\Все пользователи\xxMDNrMKdu
2015-10-26 12:44 - 2016-01-03 00:27 - 00000000 ____D D:\ProgramData\YNkOhPAjGYCwu
2015-10-26 12:44 - 2016-01-03 00:27 - 00000000 ____D D:\ProgramData\xxMDNrMKdu
2015-10-26 12:44 - 2016-01-03 00:26 - 00000000 ____D D:\Users\Все пользователи\tMsNraectLVV
2015-10-26 12:44 - 2016-01-03 00:26 - 00000000 ____D D:\ProgramData\tMsNraectLVV
2015-10-26 12:44 - 2016-01-03 00:24 - 00000000 ____D D:\Users\Все пользователи\LYilaQaDbBjPJ
2015-10-26 12:44 - 2016-01-03 00:24 - 00000000 ____D D:\ProgramData\LYilaQaDbBjPJ
2015-10-26 12:44 - 2015-10-26 12:44 - 00000000 ____D D:\Users\User\AppData\Roaming\MyDesktop
2015-10-26 12:43 - 2015-12-22 14:08 - 00000000 ____D C:\Program Files (x86)\HP Defender
2013-09-14 00:39 - 2013-09-14 00:39 - 0000006 _____ () D:\Users\User\AppData\Roaming\smw_inst
CustomCLSID: HKU\S-1-5-21-2967876060-2900688213-3505830012-1000_Classes\CLSID\00480077-0038-002F-0048-003100590033\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-2967876060-2900688213-3505830012-1000_Classes\CLSID\{5FFE2085-E1F1-AD21-53D2-937F107AC67D}\InprocServer32 -> no filepath
Task: {09E7BCA9-5664-4878-983F-9A4936EE9B1F} - \Bubble Kit -> No File <==== ATTENTION
Task: {256C4FE1-A626-41F6-B067-9F59E906A61A} - \{C2F4E8D8-06FA-4236-BA25-35FD1F0525BF} -> No File <==== ATTENTION
Task: {2CE91EBF-4709-4375-9759-1198DAF9C003} - \Bubble Kit2 -> No File <==== ATTENTION
Task: {4889E5D0-53A0-4FA1-A0F0-C4B86D8F1CD9} - \{0B57F4E6-EF32-4004-A7A2-E4A16F17EAEF} -> No File <==== ATTENTION
Task: {8057FC24-2E91-4C34-A4CB-F245EAB757F1} - \{458D60A8-EA31-4110-8D72-BE6EB54788B5} -> No File <==== ATTENTION
Task: {CC08C95B-E0CD-436E-89FA-FF481F50CE4B} - \nethost task -> No File <==== ATTENTION
Task: {CDCE8D2A-A6D9-4806-B225-1794DB7B4A97} - \Internet Quick Access Updater -> No File <==== ATTENTION
Task: {D373C90C-32C7-4C3C-9E28-F33B570633A1} - \Soft installer -> No File <==== ATTENTION
Task: {E3227992-534D-4DDA-842B-C07C7DD01EC9} - \LaunchPreSignup -> No File <==== ATTENTION
Reboot:
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
31
thyrex ,
Сообщение от
thyrex
Написано, где искать ссылку
где написано?
Вам так трудно ссылку дать?
Сделайте лог
CheckBrowsers' Lnk
1. Откройте
Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2967876060-2900688213-3505830012-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-2967876060-2900688213-3505830012-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://runkede.ru/?utm_content=d291eb5ebcba6e27c3241f28e1d10e01&utm_source=startpm&utm_term=6B6A67C5E3EB5A0FC5A92CE2DA4E01F7
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-2967876060-2900688213-3505830012-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-2967876060-2900688213-3505830012-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Homepage: hxxp://runkede.ru/?utm_content=d291eb5ebcba6e27c3241f28e1d10e01&utm_source=startpm&utm_term=6B6A67C5E3EB5A0FC5A92CE2DA4E01F7
FF Extension: SuperMegaBest.com - D:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\gwnhtbud.default\Extensions\[email protected] [2015-07-28] [not signed]
CHR StartupUrls: Default -> "hxxp://webdoker.ru/kak-udalit-poisk-mail-ru-iz-google-chrome-i-guard-mail-ru/","hxxps://www.google.com.ua/?gws_rd=ssl"
CHR NewTab: Default -> "chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html"
CHR Extension: (Quick Searcher) - D:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\jldhpllghnbhlbpcmnajkpdmadaolakh [2015-10-26]
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vkplayerpro.ru/index.xml
OPR Extension: (Quick Searcher) - D:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\jldhpllghnbhlbpcmnajkpdmadaolakh [2015-10-26]
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe hxxp://www.istartpageing.com/?type=sc&ts=1449831307&z=8964b9e5c4424a88aa72f13g1z5zftcb0cce2b4c4z&from=cmi&uid=INTELXSSDSC2CW180A3_CVCV243200QV180EGN
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\D56D80E45C0A6F6B6AEB645E0F08990AD56D [2015-12-11] <==== ATTENTION
R1 netfilter2; C:\Windows\System32\drivers\netfilter2.sys [56296 2015-09-30] (Windows (R) Win 7 DDK provider)
2016-01-11 18:31 - 2016-01-15 09:52 - 00000000 ____D C:\netfilter2
2016-01-11 18:31 - 2016-01-11 18:31 - 00000000 ____D C:\Program Files (x86)\filter
2016-01-11 18:31 - 2015-09-30 09:38 - 00056296 _____ (Windows (R) Win 7 DDK provider) C:\Windows\system32\Drivers\netfilter2.sys
2016-01-11 18:29 - 2016-01-11 18:29 - 00000000 ____D D:\Users\User\AppData\Roaming\Calculator
2015-12-18 12:46 - 2015-12-20 15:21 - 00000639 _____ C:\istartpageing.xml
2015-12-18 11:04 - 2015-12-18 11:06 - 00000000 ____D D:\Users\User\AppData\Roaming\kingsoft
2015-12-18 10:56 - 2015-12-18 11:04 - 00000000 ____D D:\Users\Все пользователи\kingsoft
2015-12-18 10:56 - 2015-12-18 11:04 - 00000000 ____D D:\ProgramData\kingsoft
2015-10-26 12:44 - 2016-01-03 00:27 - 00000000 ____D D:\Users\Все пользователи\YNkOhPAjGYCwu
2015-10-26 12:44 - 2016-01-03 00:27 - 00000000 ____D D:\Users\Все пользователи\xxMDNrMKdu
2015-10-26 12:44 - 2016-01-03 00:27 - 00000000 ____D D:\ProgramData\YNkOhPAjGYCwu
2015-10-26 12:44 - 2016-01-03 00:27 - 00000000 ____D D:\ProgramData\xxMDNrMKdu
2015-10-26 12:44 - 2016-01-03 00:26 - 00000000 ____D D:\Users\Все пользователи\tMsNraectLVV
2015-10-26 12:44 - 2016-01-03 00:26 - 00000000 ____D D:\ProgramData\tMsNraectLVV
2015-10-26 12:44 - 2016-01-03 00:24 - 00000000 ____D D:\Users\Все пользователи\LYilaQaDbBjPJ
2015-10-26 12:44 - 2016-01-03 00:24 - 00000000 ____D D:\ProgramData\LYilaQaDbBjPJ
2015-10-26 12:44 - 2015-10-26 12:44 - 00000000 ____D D:\Users\User\AppData\Roaming\MyDesktop
2015-10-26 12:43 - 2015-12-22 14:08 - 00000000 ____D C:\Program Files (x86)\HP Defender
2013-09-14 00:39 - 2013-09-14 00:39 - 0000006 _____ () D:\Users\User\AppData\Roaming\smw_inst
CustomCLSID: HKU\S-1-5-21-2967876060-2900688213-3505830012-1000_Classes\CLSID\00480077-0038-002F-0048-003100590033\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-2967876060-2900688213-3505830012-1000_Classes\CLSID\{5FFE2085-E1F1-AD21-53D2-937F107AC67D}\InprocServer32 -> no filepath
Task: {09E7BCA9-5664-4878-983F-9A4936EE9B1F} - \Bubble Kit -> No File <==== ATTENTION
Task: {256C4FE1-A626-41F6-B067-9F59E906A61A} - \{C2F4E8D8-06FA-4236-BA25-35FD1F0525BF} -> No File <==== ATTENTION
Task: {2CE91EBF-4709-4375-9759-1198DAF9C003} - \Bubble Kit2 -> No File <==== ATTENTION
Task: {4889E5D0-53A0-4FA1-A0F0-C4B86D8F1CD9} - \{0B57F4E6-EF32-4004-A7A2-E4A16F17EAEF} -> No File <==== ATTENTION
Task: {8057FC24-2E91-4C34-A4CB-F245EAB757F1} - \{458D60A8-EA31-4110-8D72-BE6EB54788B5} -> No File <==== ATTENTION
Task: {CC08C95B-E0CD-436E-89FA-FF481F50CE4B} - \nethost task -> No File <==== ATTENTION
Task: {CDCE8D2A-A6D9-4806-B225-1794DB7B4A97} - \Internet Quick Access Updater -> No File <==== ATTENTION
Task: {D373C90C-32C7-4C3C-9E28-F33B570633A1} - \Soft installer -> No File <==== ATTENTION
Task: {E3227992-534D-4DDA-842B-C07C7DD01EC9} - \LaunchPreSignup -> No File <==== ATTENTION
Reboot:
Какой блокнот открыть???
Новый создать???
2. Нажмите
Файл –
Сохранить как
3. Выберите папку, откуда была запущена утилита
Farbar Recovery Scan Tool
4. Укажите
Тип файла –
Все файлы (*.*)
5. Введите имя файла
fixlist.txt и нажмите кнопку
Сохранить
6. Запустите FRST, нажмите один раз на кнопку
Fix и подождите. Программа создаст лог-файл (
Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении!
Как создать "следующее сообщение"?
Обратите внимание, что компьютер будет перезагружен .
У Вас проблемы с ориентацией в пространстве?
Сообщение от
thyrex
над первым сообщением в Вашей теме
Сообщение от
alfakiev
Какой блокнот открыть???
На компьютере есть только одна программа с таким названием
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
31
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
31
Спасибо.
Проблема вроде решена.
Не ожидал...
У меня такое периодически повторяется.
А нет ли у вас программки которую можно было бы скачать и она решала бы данную проблему?
Спасибо.