назойливый поисковик в Браузере

[psiflyfire]

Добрый Вечер!

исцелил  всякую "нечесть" доктор вебом, только с третьего раза, в раскладке клавиатуры EN был добавлена еще одна раскладка.было наставлена куча разных программ, что знал удалил,что не знал оставил.

AdwCleanerR0.txt

CollectionLog-2014.10.31-13.51.zip

FixerBro_20141031.txt

hijackthis.log

[Roman_Five]

удаляйте всё в AdwCleaner и исправляйте ярлыки в FixerBro

 

новые логи приложите

+

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('{4627de76-5659-4dbc-90a4-d42cd39f6fc8}Gt', 4);
 SetServiceStart('{6ccfd995-07be-49cf-8ad6-1422dc08761a}Gt', 4);
 SetServiceStart('{8bd5de4a-87f9-4d99-8167-28300dd65d35}Gt', 4);
 QuarantineFile('C:\Program Files\suptab\windowssupportdll32.dll','');
 QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\{4627de76-5659-4dbc-90a4-d42cd39f6fc8}Gt.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{6ccfd995-07be-49cf-8ad6-1422dc08761a}Gt.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{8bd5de4a-87f9-4d99-8167-28300dd65d35}Gt.sys','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Program Files\suptab\windowssupportdll32.dll','32');
 DeleteService('{4627de76-5659-4dbc-90a4-d42cd39f6fc8}Gt');
 DeleteService('{6ccfd995-07be-49cf-8ad6-1422dc08761a}Gt');
 DeleteService('{8bd5de4a-87f9-4d99-8167-28300dd65d35}Gt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

 

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1413706933&from=obw&uid=WDCXWD5000AAKX-00ERMA0_WD-WMC2E375661356613
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1413706933&from=obw&uid=WDCXWD5000AAKX-00ERMA0_WD-WMC2E375661356613&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1413706933&from=obw&uid=WDCXWD5000AAKX-00ERMA0_WD-WMC2E375661356613&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1413706933&from=obw&uid=WDCXWD5000AAKX-00ERMA0_WD-WMC2E375661356613
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1413706933&from=obw&uid=WDCXWD5000AAKX-00ERMA0_WD-WMC2E375661356613&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1413706933&from=obw&uid=WDCXWD5000AAKX-00ERMA0_WD-WMC2E375661356613&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1413706933&from=obw&uid=WDCXWD5000AAKX-00ERMA0_WD-WMC2E375661356613
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://istart.webssearches.com/web/?type=ds&ts=1413706933&from=obw&uid=WDCXWD5000AAKX-00ERMA0_WD-WMC2E375661356613&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://istart.webssearches.com/web/?type=ds&ts=1413706933&from=obw&uid=WDCXWD5000AAKX-00ERMA0_WD-WMC2E375661356613&q={searchTerms}

 

Удалите папки:

2014-10-19 11:24:17 ----SHD---- C:\Documents and Settings\1\Application Data\AnyProtectEx
2014-10-19 11:22:16 ----D---- C:\Documents and Settings\1\Application Data\webssearches
2014-10-19 11:20:03 ----D---- C:\Program Files\ver3BlockAndSurf
2014-10-19 11:18:53 ----D---- C:\Documents and Settings\1\Application Data\WebExtend
2014-10-19 11:08:15 ----D---- C:\Documents and Settings\All Users\Application Data\IePluginServices
2014-10-19 11:08:14 ----D---- C:\Program Files\SupTab
2014-10-19 11:07:54 ----D---- C:\Documents and Settings\1\Application Data\mystartsearch

 

Сделайте новые логи по правилам (только пункт 3).

[psiflyfire]

+

 

CollectionLog-2014.11.05-13.14.zip

FixerBro_20141105 (2).txt

AdwCleanerS0.txt

[psiflyfire]

ответ портал My Kaspersky  .

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки.   Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

С уважением, Лаборатория Касперского

 

1.непонятно - пароль нужно ставить на архив лично мне или как ? , в  другой теме это делал, и приходил ответ с найденым вирусом. но в этом архиве,  были файлы только формата *.ini как в этом (проясните пожалуйста как должно быть)

 

2.поисковик исчез, теперь иногда вылезает контекстная реклама snipsmart ads

3. удалял программу,опять появилась mystartsearch uninstal

лог MBAM.txt

Изменено 6 ноября, 2014 пользователем psiflyfire

[thyrex]

Сделайте лог ComboFix

[psiflyfire]

Здравствуйте,

 

В присланных Вами файлах не найдено ничего вредоносного.

Архив не содержал исполняемых файлов, - только текстовые файлы с описанием.

 

С уважением,

Вирусный аналитик | ЗАО "Лаборатория Касперского"

[psiflyfire]

+

ComboFix.txt

[thyrex]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

KillAll::

 

Folder::

c:\documents and settings\1\Application Data\mystartsearch

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[psiflyfire]

вот

ComboFix.txt

[Roman_Five]

что с проблемой?

[psiflyfire]

программы не стало, но вылезает контекстная реклама snipsmart ads

[thyrex]

Список установленных расширений для браузеров напишите

[psiflyfire]

расширения были, удалил  не помогло, конкретно в хроме- в настройках удалил разные подозрительные поисковики, плюс был гугл  и гугл не оригинальный.поставил яндекс,  не помогло, вылезал поисковик левый, сделал сброс всех настроек в браузере, пока вроде все ок. Спасибо!

+ обновил до SP3 XP  и поставил лицовый KIS 15 

Изменено 12 ноября, 2014 пользователем psiflyfire