searche-engine.ru не получается удалить из хрома

[Шерхан Мухамеджанов 0]

По нужде было необходимо скачать различный софт, ну, а тот в свою очередь в фоном процессе установил различный 'мусор', остальное удалять получилось самостоятельно, однако searche-engine.ru удалить не получилось. Он в свою очередь во время поиска в хроме (в IE  такого нет)автоматически перенаправляет на mail.ru что вызывает много проблем. Операционная система Windows 8.1

CollectionLog-2016.12.02-17.51.zip

[SQ 831]

Здравствуйте,

HiJackThis (из каталога автологгера) профиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=C632C6D7379D3BDFF00032D4AD732050&utm_d=20161130
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [wnbdjyrszk] explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=C632C6D7379D3BDFF00032D4AD732050&utm_d=20161130"
O18 - Protocol: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - (no file)
O18 - Protocol: mso-minsb.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)
O18 - Protocol: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)
O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('c:\users\123\appdata\local\syslog\syslog.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "syslog" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "RunUninstallTool_SkipUac" /F', 0, 15000, true);
 DeleteFile('c:\users\123\appdata\local\syslog\syslog.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wnbdjyrszk');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.

[Шерхан Мухамеджанов 0]

[KLAN-5442757904]

 

Thank you for sending a file for analysis to the Anti-Virus Lab.

Kaspersky Anti-Virus has scanned files.

The format of these files is safe:
quarantine.zip

We will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days.

This is an automatically generated message. Please, do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

--------------------------------------------------------------------------------
From:
Sent: 12/2/2016 11:42:00 PM
To: newvirus@kaspersky.com
Subject: Запрос на исследование вредоносного файла
Выполняется запрос хэлпера

 

Сообщение от модератора Mark D. Pearlstone

Почта пользователя удалена.

Цитирование предыдущего сообщения убрано.

CollectionLog-2016.12.03-00.11.zip

[SQ 831]

- Подготовьте лог AdwCleaner и приложите его в теме.

Где ранее запрошенный лог?

[Шерхан Мухамеджанов 0]

простите, что не скинул ранее

AdwCleanerC2.txt

[SQ 831]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Шерхан Мухамеджанов 0]

вот необходимые файлы

 

Addition.txt

FRST.txt

[SQ 831]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-1966841408-3164611507-1237466457-1002\...\Run: [AdobeBridge] => [X]
  BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
  BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
  Toolbar: HKU\S-1-5-21-1966841408-3164611507-1237466457-1002 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=C632C6D7379D3BDFF00032D4AD732050&utm_d=20161130
  CHR Extension: (Tampermonkey) - C:\Users\123\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-11-24]
  CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
  File:  C:\Windows\system32\SppExtComObjHook.dll
  2016-11-30 17:54 - 2016-12-02 20:52 - 00000000 ____D C:\Users\123\AppData\Local\syslog
  2015-07-16 12:16 - 2015-07-16 12:16 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[Шерхан Мухамеджанов 0]

готово

Fixlog.txt

[SQ 831]

Сообщите, что с проблемой?

[Шерхан Мухамеджанов 0]

все также перенаправляет 

[SQ 831]

Пробуйте отключить расширения похоже на подмену, начните со следующих:

CHR Extension: (Google Презентации) - C:\Users\123\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-10-12]
CHR Extension: (Google Таблицы) - C:\Users\123\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-10-12]

Сообщите результат.

[Шерхан Мухамеджанов 0]

перестало перенаправлять после того как отключил "Google Документы офлайн" большое спасибо за помощь 

Изменено 5 декабря, 2016 пользователем Шерхан Мухамеджанов

[SQ 831]

перестало перенаправлять после того как отключил "Google Документы офлайн" большое спасибо за помощь 

Удалите данное расширение. На этом всё! Удачи Вам!