Шерхан Мухамеджанов 0 Опубликовано 2 декабря, 2016 Share Опубликовано 2 декабря, 2016 По нужде было необходимо скачать различный софт, ну, а тот в свою очередь в фоном процессе установил различный 'мусор', остальное удалять получилось самостоятельно, однако searche-engine.ru удалить не получилось. Он в свою очередь во время поиска в хроме (в IE такого нет)автоматически перенаправляет на mail.ru что вызывает много проблем. Операционная система Windows 8.1 CollectionLog-2016.12.02-17.51.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 2 декабря, 2016 Share Опубликовано 2 декабря, 2016 Здравствуйте,HiJackThis (из каталога автологгера) профиксить R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=C632C6D7379D3BDFF00032D4AD732050&utm_d=20161130 O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) O4 - HKCU\..\Run: [wnbdjyrszk] explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=C632C6D7379D3BDFF00032D4AD732050&utm_d=20161130" O18 - Protocol: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - (no file) O18 - Protocol: mso-minsb.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - (no file) O18 - Protocol: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - (no file) O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('c:\users\123\appdata\local\syslog\syslog.exe',''); ExecuteFile('schtasks.exe', '/delete /TN "syslog" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "RunUninstallTool_SkipUac" /F', 0, 15000, true); DeleteFile('c:\users\123\appdata\local\syslog\syslog.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wnbdjyrszk'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)- Подготовьте лог AdwCleaner и приложите его в теме. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Шерхан Мухамеджанов 0 Опубликовано 2 декабря, 2016 Автор Share Опубликовано 2 декабря, 2016 [KLAN-5442757904] Thank you for sending a file for analysis to the Anti-Virus Lab. Kaspersky Anti-Virus has scanned files.The format of these files is safe:quarantine.zipWe will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days.This is an automatically generated message. Please, do not reply to it.Anti-Virus Lab, Kaspersky Lab HQ"39A/3 Leningradskoe Shosse, Moscow, 125212, RussiaTel./Fax: + 7 (495) 797 8700http://www.kaspersky.com http://www.viruslist.com"--------------------------------------------------------------------------------From:Sent: 12/2/2016 11:42:00 PMTo: newvirus@kaspersky.comSubject: Запрос на исследование вредоносного файлаВыполняется запрос хэлпера Сообщение от модератора Mark D. Pearlstone Почта пользователя удалена.Цитирование предыдущего сообщения убрано. CollectionLog-2016.12.03-00.11.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 3 декабря, 2016 Share Опубликовано 3 декабря, 2016 - Подготовьте лог AdwCleaner и приложите его в теме. Где ранее запрошенный лог? Цитата Ссылка на сообщение Поделиться на другие сайты
Шерхан Мухамеджанов 0 Опубликовано 3 декабря, 2016 Автор Share Опубликовано 3 декабря, 2016 простите, что не скинул ранее AdwCleanerC2.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 3 декабря, 2016 Share Опубликовано 3 декабря, 2016 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Шерхан Мухамеджанов 0 Опубликовано 4 декабря, 2016 Автор Share Опубликовано 4 декабря, 2016 вот необходимые файлы Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 4 декабря, 2016 Share Опубликовано 4 декабря, 2016 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-1966841408-3164611507-1237466457-1002\...\Run: [AdobeBridge] => [X] BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-1966841408-3164611507-1237466457-1002 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=C632C6D7379D3BDFF00032D4AD732050&utm_d=20161130 CHR Extension: (Tampermonkey) - C:\Users\123\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-11-24] CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx File: C:\Windows\system32\SppExtComObjHook.dll 2016-11-30 17:54 - 2016-12-02 20:52 - 00000000 ____D C:\Users\123\AppData\Local\syslog 2015-07-16 12:16 - 2015-07-16 12:16 - 0000000 ____H () C:\ProgramData\DP45977C.lfl Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Шерхан Мухамеджанов 0 Опубликовано 5 декабря, 2016 Автор Share Опубликовано 5 декабря, 2016 готово Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 5 декабря, 2016 Share Опубликовано 5 декабря, 2016 Сообщите, что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Шерхан Мухамеджанов 0 Опубликовано 5 декабря, 2016 Автор Share Опубликовано 5 декабря, 2016 все также перенаправляет Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 5 декабря, 2016 Share Опубликовано 5 декабря, 2016 Пробуйте отключить расширения похоже на подмену, начните со следующих: CHR Extension: (Google Презентации) - C:\Users\123\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-10-12] CHR Extension: (Google Таблицы) - C:\Users\123\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-10-12]Сообщите результат. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Шерхан Мухамеджанов 0 Опубликовано 5 декабря, 2016 Автор Share Опубликовано 5 декабря, 2016 (изменено) перестало перенаправлять после того как отключил "Google Документы офлайн" большое спасибо за помощь Изменено 5 декабря, 2016 пользователем Шерхан Мухамеджанов 1 Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 5 декабря, 2016 Share Опубликовано 5 декабря, 2016 перестало перенаправлять после того как отключил "Google Документы офлайн" большое спасибо за помощь Удалите данное расширение. На этом всё! Удачи Вам! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.