Проблема с рекламой, поиск с google перенаправляет на mail.ru

**alfakiev** · 12.01.2016, 15:55

Здравствуйте.
На моем компе
64-разрядная операционная система,
следующие проблемы:

1.Постоянно вылазит реклама. В виде окон на страницах открытых сайтов, а так же самопроизвольно открываются новые окна с какими-то сайтами...
2.После того, как я в поисковую строку google вношу запрос и нажимаю энтер, меня перенаправляет на поиск mail.ru.

Работаю в google хроме.
Пробовал чистить комп при помощи Malwarebytes Anti-Malware, Microsoft Security Essentials.
Не помогло.

Как решить данную проблему?
Нужно ли, для решения данных проблем,
Устанавливать антивирус и утилиты из Инструкции и чистить с их помощью?
Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.01.2016, 15:56

Уважаемый(ая) alfakiev, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 13.01.2016, 20:51

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('D:\Users\User\AppData\Local\Hostinstaller\1724824406_installcube.exe','');
 QuarantineFile('D:\Users\User\AppData\Local\Bubble Kit\{A40AB118-754F-98F9-F6FC-A7A911A5F62B}\BubbleKit.dll','');
 QuarantineFile('D:\Users\User\AppData\Local\Bubble Kit\{A40AB118-754F-98F9-F6FC-A7A911A5F62B}\dyimrkj.dll','');
 SetServiceStart('netfilter2', 4);
 DeleteService('netfilter2');
 QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys','');
 DeleteFile('C:\Windows\system32\drivers\netfilter2.sys','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zbwfekkzpb');
 DeleteFile('D:\Users\User\AppData\Local\Bubble Kit\{A40AB118-754F-98F9-F6FC-A7A911A5F62B}\dyimrkj.dll','32');
 DeleteFile('D:\Users\User\AppData\Local\Bubble Kit\{A40AB118-754F-98F9-F6FC-A7A911A5F62B}\BubbleKit.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\Bubble Kit','64');
 DeleteFile('C:\Windows\system32\Tasks\Bubble Kit2','64');
 DeleteFile('D:\Users\User\AppData\Local\Hostinstaller\1724824406_installcube.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('D:\Users\User\AppData\Local\PPTAssist\utility\uninst.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{0B57F4E6-EF32-4004-A7A2-E4A16F17EAEF}','64');
 DeleteFile('C:\Windows\system32\Tasks\{458D60A8-EA31-4110-8D72-BE6EB54788B5}','64');
 DeleteFile('C:\Windows\system32\Tasks\{C2F4E8D8-06FA-4236-BA25-35FD1F0525BF}','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

**alfakiev** · 13.01.2016, 23:10

вот очередной скрипт и новые логи

**thyrex** · 14.01.2016, 21:33

Карантин как сказано было отправлять? Переделывайте

+ Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

**alfakiev** · 15.01.2016, 11:19

[QUOTE=thyrex;1349606]Карантин как сказано было отправлять? Переделывайте

если вы имеете ввиду это:
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин?
то у меня текст "Прислать запрошенный карантин" не активен, он никуда не перенаправляет.
Пришлите мне просто ссылку не замаскированную под текст.
Я туда отправлю файл c:\quarantine.zip.

Спасибо.

**thyrex** · 15.01.2016, 21:06

Сообщение от alfakiev

Пришлите мне просто ссылку не замаскированную под текст.

Написано, где искать ссылку

Сделайте лог CheckBrowsers' Lnk

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2967876060-2900688213-3505830012-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-2967876060-2900688213-3505830012-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://runkede.ru/?utm_content=d291eb5ebcba6e27c3241f28e1d10e01&utm_source=startpm&utm_term=6B6A67C5E3EB5A0FC5A92CE2DA4E01F7
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2967876060-2900688213-3505830012-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-2967876060-2900688213-3505830012-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Homepage: hxxp://runkede.ru/?utm_content=d291eb5ebcba6e27c3241f28e1d10e01&utm_source=startpm&utm_term=6B6A67C5E3EB5A0FC5A92CE2DA4E01F7
FF Extension: SuperMegaBest.com - D:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\gwnhtbud.default\Extensions\[email protected] [2015-07-28] [not signed]
CHR StartupUrls: Default -> "hxxp://webdoker.ru/kak-udalit-poisk-mail-ru-iz-google-chrome-i-guard-mail-ru/","hxxps://www.google.com.ua/?gws_rd=ssl"
CHR NewTab: Default -> "chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html"
CHR Extension: (Quick Searcher) - D:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\jldhpllghnbhlbpcmnajkpdmadaolakh [2015-10-26]
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vkplayerpro.ru/index.xml
OPR Extension: (Quick Searcher) - D:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\jldhpllghnbhlbpcmnajkpdmadaolakh [2015-10-26]
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe hxxp://www.istartpageing.com/?type=sc&ts=1449831307&z=8964b9e5c4424a88aa72f13g1z5zftcb0cce2b4c4z&from=cmi&uid=INTELXSSDSC2CW180A3_CVCV243200QV180EGN
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\D56D80E45C0A6F6B6AEB645E0F08990AD56D [2015-12-11] <==== ATTENTION
R1 netfilter2; C:\Windows\System32\drivers\netfilter2.sys [56296 2015-09-30] (Windows (R) Win 7 DDK provider)
2016-01-11 18:31 - 2016-01-15 09:52 - 00000000 ____D C:\netfilter2
2016-01-11 18:31 - 2016-01-11 18:31 - 00000000 ____D C:\Program Files (x86)\filter
2016-01-11 18:31 - 2015-09-30 09:38 - 00056296 _____ (Windows (R) Win 7 DDK provider) C:\Windows\system32\Drivers\netfilter2.sys
2016-01-11 18:29 - 2016-01-11 18:29 - 00000000 ____D D:\Users\User\AppData\Roaming\Calculator
2015-12-18 12:46 - 2015-12-20 15:21 - 00000639 _____ C:\istartpageing.xml
2015-12-18 11:04 - 2015-12-18 11:06 - 00000000 ____D D:\Users\User\AppData\Roaming\kingsoft
2015-12-18 10:56 - 2015-12-18 11:04 - 00000000 ____D D:\Users\Все пользователи\kingsoft
2015-12-18 10:56 - 2015-12-18 11:04 - 00000000 ____D D:\ProgramData\kingsoft
2015-10-26 12:44 - 2016-01-03 00:27 - 00000000 ____D D:\Users\Все пользователи\YNkOhPAjGYCwu
2015-10-26 12:44 - 2016-01-03 00:27 - 00000000 ____D D:\Users\Все пользователи\xxMDNrMKdu
2015-10-26 12:44 - 2016-01-03 00:27 - 00000000 ____D D:\ProgramData\YNkOhPAjGYCwu
2015-10-26 12:44 - 2016-01-03 00:27 - 00000000 ____D D:\ProgramData\xxMDNrMKdu
2015-10-26 12:44 - 2016-01-03 00:26 - 00000000 ____D D:\Users\Все пользователи\tMsNraectLVV
2015-10-26 12:44 - 2016-01-03 00:26 - 00000000 ____D D:\ProgramData\tMsNraectLVV
2015-10-26 12:44 - 2016-01-03 00:24 - 00000000 ____D D:\Users\Все пользователи\LYilaQaDbBjPJ
2015-10-26 12:44 - 2016-01-03 00:24 - 00000000 ____D D:\ProgramData\LYilaQaDbBjPJ
2015-10-26 12:44 - 2015-10-26 12:44 - 00000000 ____D D:\Users\User\AppData\Roaming\MyDesktop
2015-10-26 12:43 - 2015-12-22 14:08 - 00000000 ____D C:\Program Files (x86)\HP Defender
2013-09-14 00:39 - 2013-09-14 00:39 - 0000006 _____ () D:\Users\User\AppData\Roaming\smw_inst
CustomCLSID: HKU\S-1-5-21-2967876060-2900688213-3505830012-1000_Classes\CLSID\00480077-0038-002F-0048-003100590033\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-2967876060-2900688213-3505830012-1000_Classes\CLSID\{5FFE2085-E1F1-AD21-53D2-937F107AC67D}\InprocServer32 -> no filepath
Task: {09E7BCA9-5664-4878-983F-9A4936EE9B1F} - \Bubble Kit -> No File <==== ATTENTION
Task: {256C4FE1-A626-41F6-B067-9F59E906A61A} - \{C2F4E8D8-06FA-4236-BA25-35FD1F0525BF} -> No File <==== ATTENTION
Task: {2CE91EBF-4709-4375-9759-1198DAF9C003} - \Bubble Kit2 -> No File <==== ATTENTION
Task: {4889E5D0-53A0-4FA1-A0F0-C4B86D8F1CD9} - \{0B57F4E6-EF32-4004-A7A2-E4A16F17EAEF} -> No File <==== ATTENTION
Task: {8057FC24-2E91-4C34-A4CB-F245EAB757F1} - \{458D60A8-EA31-4110-8D72-BE6EB54788B5} -> No File <==== ATTENTION
Task: {CC08C95B-E0CD-436E-89FA-FF481F50CE4B} - \nethost task -> No File <==== ATTENTION
Task: {CDCE8D2A-A6D9-4806-B225-1794DB7B4A97} - \Internet Quick Access Updater -> No File <==== ATTENTION
Task: {D373C90C-32C7-4C3C-9E28-F33B570633A1} - \Soft installer -> No File <==== ATTENTION
Task: {E3227992-534D-4DDA-842B-C07C7DD01EC9} - \LaunchPreSignup -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

**alfakiev** · 15.01.2016, 21:49

thyrex,

Сообщение от thyrex

Написано, где искать ссылку

где написано?
Вам так трудно ссылку дать?

Сделайте лог CheckBrowsers' Lnk

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2967876060-2900688213-3505830012-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-2967876060-2900688213-3505830012-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://runkede.ru/?utm_content=d291eb5ebcba6e27c3241f28e1d10e01&utm_source=startpm&utm_term=6B6A67C5E3EB5A0FC5A92CE2DA4E01F7
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2967876060-2900688213-3505830012-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-2967876060-2900688213-3505830012-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Homepage: hxxp://runkede.ru/?utm_content=d291eb5ebcba6e27c3241f28e1d10e01&utm_source=startpm&utm_term=6B6A67C5E3EB5A0FC5A92CE2DA4E01F7
FF Extension: SuperMegaBest.com - D:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\gwnhtbud.default\Extensions\[email protected] [2015-07-28] [not signed]
CHR StartupUrls: Default -> "hxxp://webdoker.ru/kak-udalit-poisk-mail-ru-iz-google-chrome-i-guard-mail-ru/","hxxps://www.google.com.ua/?gws_rd=ssl"
CHR NewTab: Default -> "chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html"
CHR Extension: (Quick Searcher) - D:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\jldhpllghnbhlbpcmnajkpdmadaolakh [2015-10-26]
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vkplayerpro.ru/index.xml
OPR Extension: (Quick Searcher) - D:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\jldhpllghnbhlbpcmnajkpdmadaolakh [2015-10-26]
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe hxxp://www.istartpageing.com/?type=sc&ts=1449831307&z=8964b9e5c4424a88aa72f13g1z5zftcb0cce2b4c4z&from=cmi&uid=INTELXSSDSC2CW180A3_CVCV243200QV180EGN
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\D56D80E45C0A6F6B6AEB645E0F08990AD56D [2015-12-11] <==== ATTENTION
R1 netfilter2; C:\Windows\System32\drivers\netfilter2.sys [56296 2015-09-30] (Windows (R) Win 7 DDK provider)
2016-01-11 18:31 - 2016-01-15 09:52 - 00000000 ____D C:\netfilter2
2016-01-11 18:31 - 2016-01-11 18:31 - 00000000 ____D C:\Program Files (x86)\filter
2016-01-11 18:31 - 2015-09-30 09:38 - 00056296 _____ (Windows (R) Win 7 DDK provider) C:\Windows\system32\Drivers\netfilter2.sys
2016-01-11 18:29 - 2016-01-11 18:29 - 00000000 ____D D:\Users\User\AppData\Roaming\Calculator
2015-12-18 12:46 - 2015-12-20 15:21 - 00000639 _____ C:\istartpageing.xml
2015-12-18 11:04 - 2015-12-18 11:06 - 00000000 ____D D:\Users\User\AppData\Roaming\kingsoft
2015-12-18 10:56 - 2015-12-18 11:04 - 00000000 ____D D:\Users\Все пользователи\kingsoft
2015-12-18 10:56 - 2015-12-18 11:04 - 00000000 ____D D:\ProgramData\kingsoft
2015-10-26 12:44 - 2016-01-03 00:27 - 00000000 ____D D:\Users\Все пользователи\YNkOhPAjGYCwu
2015-10-26 12:44 - 2016-01-03 00:27 - 00000000 ____D D:\Users\Все пользователи\xxMDNrMKdu
2015-10-26 12:44 - 2016-01-03 00:27 - 00000000 ____D D:\ProgramData\YNkOhPAjGYCwu
2015-10-26 12:44 - 2016-01-03 00:27 - 00000000 ____D D:\ProgramData\xxMDNrMKdu
2015-10-26 12:44 - 2016-01-03 00:26 - 00000000 ____D D:\Users\Все пользователи\tMsNraectLVV
2015-10-26 12:44 - 2016-01-03 00:26 - 00000000 ____D D:\ProgramData\tMsNraectLVV
2015-10-26 12:44 - 2016-01-03 00:24 - 00000000 ____D D:\Users\Все пользователи\LYilaQaDbBjPJ
2015-10-26 12:44 - 2016-01-03 00:24 - 00000000 ____D D:\ProgramData\LYilaQaDbBjPJ
2015-10-26 12:44 - 2015-10-26 12:44 - 00000000 ____D D:\Users\User\AppData\Roaming\MyDesktop
2015-10-26 12:43 - 2015-12-22 14:08 - 00000000 ____D C:\Program Files (x86)\HP Defender
2013-09-14 00:39 - 2013-09-14 00:39 - 0000006 _____ () D:\Users\User\AppData\Roaming\smw_inst
CustomCLSID: HKU\S-1-5-21-2967876060-2900688213-3505830012-1000_Classes\CLSID\00480077-0038-002F-0048-003100590033\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-2967876060-2900688213-3505830012-1000_Classes\CLSID\{5FFE2085-E1F1-AD21-53D2-937F107AC67D}\InprocServer32 -> no filepath
Task: {09E7BCA9-5664-4878-983F-9A4936EE9B1F} - \Bubble Kit -> No File <==== ATTENTION
Task: {256C4FE1-A626-41F6-B067-9F59E906A61A} - \{C2F4E8D8-06FA-4236-BA25-35FD1F0525BF} -> No File <==== ATTENTION
Task: {2CE91EBF-4709-4375-9759-1198DAF9C003} - \Bubble Kit2 -> No File <==== ATTENTION
Task: {4889E5D0-53A0-4FA1-A0F0-C4B86D8F1CD9} - \{0B57F4E6-EF32-4004-A7A2-E4A16F17EAEF} -> No File <==== ATTENTION
Task: {8057FC24-2E91-4C34-A4CB-F245EAB757F1} - \{458D60A8-EA31-4110-8D72-BE6EB54788B5} -> No File <==== ATTENTION
Task: {CC08C95B-E0CD-436E-89FA-FF481F50CE4B} - \nethost task -> No File <==== ATTENTION
Task: {CDCE8D2A-A6D9-4806-B225-1794DB7B4A97} - \Internet Quick Access Updater -> No File <==== ATTENTION
Task: {D373C90C-32C7-4C3C-9E28-F33B570633A1} - \Soft installer -> No File <==== ATTENTION
Task: {E3227992-534D-4DDA-842B-C07C7DD01EC9} - \LaunchPreSignup -> No File <==== ATTENTION
Reboot:

Какой блокнот открыть???
Новый создать???

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Как создать "следующее сообщение"?

Обратите внимание, что компьютер будет перезагружен.

**thyrex** · 15.01.2016, 21:56

У Вас проблемы с ориентацией в пространстве?

Сообщение от thyrex

над первым сообщением в Вашей теме

Сообщение от alfakiev

Какой блокнот открыть???

На компьютере есть только одна программа с таким названием

**alfakiev** · 16.01.2016, 15:18

следующее сообщение

**thyrex** · 16.01.2016, 16:41

Что с проблемой?

**alfakiev** · 19.01.2016, 01:24

Спасибо.
Проблема вроде решена.
Не ожидал...
У меня такое периодически повторяется.
А нет ли у вас программки которую можно было бы скачать и она решала бы данную проблему?

Спасибо.

Проблема с рекламой, поиск с google перенаправляет на mail.ru (заявка № 195636)

Опции темы