В браузере прописался поисковик snapdo.com и блокирует выход в Инет

**solarr** · 21.01.2016, 18:28

Здравствуйте!
Помогите побороть зловред от сервиса SnapDo.com, который прописался в настройках браузера в качестве поисковика и блокирует выход браузера в Интернет.
Замечу, что через командную строку сайты пингуются нормально.
Да, к тому же отчет virusinfo_syscure.zip утилита AVZ почему-то не делает, поэтому прикрепляю только два лога. Заранее благодарю!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 21.01.2016, 18:29

Уважаемый(ая) solarr, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 22.01.2016, 12:54

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\search extensions\client.exe');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viaair\Zerovesing.dll', '');
 QuarantineFile('C:\IEXPLORE.bat', '');
 QuarantineFile('C:\Documents and Settings\user-asu\Local Settings\Application Data\Google\chrome.bat', '');
 QuarantineFile('c:\program files\search extensions\client.exe', '');
 QuarantineFileF('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viaair', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
 DeleteFile('C:\IEXPLORE.bat', '32');
 DeleteFile('C:\WINDOWS\Tasks\RegClean Pro_UPDATES.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\RegClean Pro_DEFAULT.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\RocketTab.job', '32');
 DeleteFile('C:\Program Files\Search Extensions\Client.exe', '32');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viaair\Zerovesing.dll', '32');
 DeleteFileMask('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viaair', '*', true);
 DeleteFileMask('C:\Program Files\Search Extensions', '*', true);
 DeleteDirectory('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viaair');
 DeleteDirectory('C:\Program Files\Search Extensions')
BC_ImportDeletedList;
ExecuteSysClean;
 ExecuteRepair(4);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог Check Browsers' LNK.

**solarr** · 22.01.2016, 14:21

Вот сделал, загрузился ли карантин? У меня при загрузке выдает ошибку с сообщением, что карантин уже загружен.

**Vvvyg** · 22.01.2016, 15:42

Значит, карантин пуст.

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**solarr** · 22.01.2016, 18:24

Вадим, благодарю за оперативность!
Сканирование провел, отчеты прикрепил.

**Vvvyg** · 22.01.2016, 20:11

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8px41v2LYlisPSeaFDpP-vmGTytZxwOx9e9uM5ZCfsLg5hyDk6qe3MPlf32XhZ3z0VkoGA513kJag,,
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8bJ0TU3s5xiGQXpG5V0HM2PYwbt_rBUy3Bh1IkqzxmD9FRG1ANc3Lgj4L0RQr4QoT3EIesTz3PxCw,,&q={searchTerms}
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8bJ0TU3s5xiGQXpG5V0HM2PYwbt_rBUy3Bh1IkqzxmD9FRG1ANc3Lgj4L0RQr4QoT3EIesTz3PxCw,,&q={searchTerms}
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8bJ0TU3s5xiGQXpG5V0HM2PYwbt_rBUy3Bh1IkqzxmD9FRG1ANc3Lgj4L0RQr4QoT3EIesTz3PxCw,,&q={searchTerms}
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8px41v2LYlisPSeaFDpP-vmGTytZxwOx9e9uM5ZCfsLg5hyDk6qe3MPlf32XhZ3z0VkoGA513kJag,,
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8bJ0TU3s5xiGQXpG5V0HM2PYwbt_rBUy3Bh1IkqzxmD9FRG1ANc3Lgj4L0RQr4QoT3EIesTz3PxCw,,&q={searchTerms}
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8bJ0TU3s5xiGQXpG5V0HM2PYwbt_rBUy3Bh1IkqzxmD9FRG1ANc3Lgj4L0RQr4QoT3EIesTz3PxCw,,&q={searchTerms}
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8bJ0TU3s5xiGQXpG5V0HM2PYwbt_rBUy3Bh1IkqzxmD9FRG1ANc3Lgj4L0RQr4QoT3EIesTz3PxCw,,&q={searchTerms}
HKU\S-1-5-21-1060284298-1284227242-1606980848-1006\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8bJ0TU3s5xiGQXpG5V0HM2PYwbt_rBUy3Bh1IkqzxmD9FRG1ANc3Lgj4L0RQr4QoT3EIesTz3PxCw,,&q={searchTerms}
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKLM -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8bJ0TU3s5xiGQXpG5V0HM2PYwbt_rBUy3Bh1IkqzxmD9FRG1ANc3Lgj4L0RQr4QoT3EIesTz3PxCw,,&q={searchTerms}
SearchScopes: HKLM -> {F4137D40-259A-4FB3-B780-F8C39B303C41} URL = hxxp://yandex.ru/yandsearch?clid=2101082&text={searchTerms}
SearchScopes: HKU\S-1-5-19 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8bJ0TU3s5xiGQXpG5V0HM2PYwbt_rBUy3Bh1IkqzxmD9FRG1ANc3Lgj4L0RQr4QoT3EIesTz3PxCw,,&q={searchTerms}
hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8bJ0TU3s5xiGQXpG5V0HM2PYwbt_rBUy3Bh1IkqzxmD9FRG1ANc3Lgj4L0RQr4QoT3EIesTz3PxCw,,&q={searchTerms}
SearchScopes: HKU\S-1-5-20 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8bJ0TU3s5xiGQXpG5V0HM2PYwbt_rBUy3Bh1IkqzxmD9FRG1ANc3Lgj4L0RQr4QoT3EIesTz3PxCw,,&q={searchTerms}
SearchScopes: HKU\S-1-5-20 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8bJ0TU3s5xiGQXpG5V0HM2PYwbt_rBUy3Bh1IkqzxmD9FRG1ANc3Lgj4L0RQr4QoT3EIesTz3PxCw,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1060284298-1284227242-1606980848-1006 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8bJ0TU3s5xiGQXpG5V0HM2PYwbt_rBUy3Bh1IkqzxmD9FRG1ANc3Lgj4L0RQr4QoT3EIesTz3PxCw,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1060284298-1284227242-1606980848-1006 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8bJ0TU3s5xiGQXpG5V0HM2PYwbt_rBUy3Bh1IkqzxmD9FRG1ANc3Lgj4L0RQr4QoT3EIesTz3PxCw,,&q={searchTerms}
FF SearchPlugin: C:\Documents and Settings\user-asu\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\findit.xml [2015-12-10]
FF Extension: No Name - C:\Documents and Settings\user-asu\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-09-25] [not signed]
CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8bSLmonTHuxqaoKKB0gM2KLd5DIwO73HOGA5uiwReTjltFqfWhYiXeI1_ogzrU-bCz5PR8E2eJRVg,,
CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSlN_zld4Bewb56CxE2VJE-QYebND2OXZoKskSeNOVYJeAkewyn0Nyj9xrYBfNX9SgdkFJlpngywXmgnSsm23TkvdNnk4zG8be1PggnSrxF_fEitNl_bhruyTMe1k8U9Q11qJZ6FcAUduepIRfqTi97nehvMf0JlFzv7OjPVMK7w,,&q={searchTerms}
CHR DefaultSearchKeyword: Default -> feed.sonic-search.com
CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms}
S4 ApplicationHosting; C:\Documents and Settings\All Users\Application Data\\ApplicationHosting\\ApplicationHosting.exe -f "C:\Documents and Settings\All Users\Application Data\\ApplicationHosting\\ApplicationHosting.dat" -l -a
2014-08-08 13:41 - 2014-08-08 13:41 - 0000006 ____C () C:\Documents and Settings\user-asu\Application Data\smw_inst
Task: C:\WINDOWS\Tasks\RocketTab Update Task.job => C:\Program Files\Search Extensions\uninstall.exe <==== ATTENTION
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo" /f
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**solarr** · 25.01.2016, 11:08

Пофиксил, теперь настройки в браузере чистые, сайты загружаются нормально.
Отчет прилагаю. Еще раз огромная Вам благодарность!

**Vvvyg** · 25.01.2016, 11:22

Удалите Java(TM) 6 Update, это устаревшая версия со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр - установите Java 8 Update 71.

В Avast: Настойки -> Антивирусная защита -> Экран файловой системы -> чувствительность -> поставить галку на "Искать потенциально нежелательные программы (ПНП)".
Убедитесь также, что включены в разделе настройки -> Антивирус DeepScreen и Усиленный режим хотя бы как "Умеренный". Это хоть как-то оградит от запуска разных мусорных программ.

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**solarr** · 25.01.2016, 14:17

Сделал все, как Вы сказали!
Полет нормальный!

Еще раз благодарю!

В браузере прописался поисковик snapdo.com и блокирует выход в Инет (заявка № 196070)

Опции темы