Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Как удалить поиск yamdex.net в гугл хроме?

robixl

Автор robixl
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

robixl Новичок

robixl

Опубликовано
Опубликовано

Скачал на свою беду вредоносный файл, после чего в гугл хроме поиск по умолчанию изменился на "yamdex.net".
Через настройки не меняется никак, т.к. поставлен якобы "от администратора". Ничего уже не могу поделать, пару часов мучаюсь. Удалил все похожие записи с реестра, не помогло. Помогите пожалуйста =)

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] - правила оказания помощи.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
robixl Новичок

robixl

Опубликовано
  • Автор
Опубликовано

Прошу прощения. Сделал как всё написано в топике. Прикрепляю логи 

CollectionLog-2015.02.21-03.41.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

C:\Documents and Settings\Admin\Рабочий стол\экзорцизм\AutoLogger\
:lol:  :lol:

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
 
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('newdriver', 4);
 SetServiceStart('iSafeKrnlR3', 4);
 SetServiceStart('iSafeKrnlMon', 4);
 SetServiceStart('iSafeKrnlKit', 4);
 SetServiceStart('iSafeKrnlBoot', 4);
 SetServiceStart('iSafeKrnl', 4);
 StopService('iSafeKrnl');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Google\chrome.bat','');
 QuarantineFile('C:\WINDOWS\dkgol.sys','');
 QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys','');
 QuarantineFile('C:\WINDOWS\SystemRoot\System32\Drivers\sptd.sys','');
 QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys','');
 QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys','');
 QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\B9127067.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\72365112.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\iSafeNetFilter.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\iSafeKrnlBoot.sys','');
 QuarantineFile('C:\Program Files\Elex-tech\*','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Elex-tech\*','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\eCyber\*','');
 QuarantineFile('C:\IEXPLORE.bat','');
 QuarantineFile('C:\Program Files\unins000.bat.exe','');
 QuarantineFile('C:\Program Files\unins000.bat','');
 QuarantineFile('C:\opera.bat','');
 QuarantineFile('C:\firefox.bat','');
 QuarantineFile('C:\Program Files\Launcher.bat.exe','');
 QuarantineFile('C:\Program Files\Launcher.bat','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\ProductData\*','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\ProductData\*','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}\*','');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\iSafeNetFilter.sys','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys','32');
 DeleteFile('C:\WINDOWS\SystemRoot\System32\Drivers\sptd.sys','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\iSafeKrnlBoot.sys','32');
 DeleteFile('C:\WINDOWS\dkgol.sys','32');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Google\chrome.bat','32');
 DeleteFile('C:\IEXPLORE.bat','32');
 DeleteFile('C:\firefox.bat','32');
 DeleteFile('C:\opera.bat','32');
 DeleteFile(' C:\WINDOWS\system32\drivers\iSafeNetFilter.sys','32');
 DeleteFile(' C:\WINDOWS\system32\drivers\iSafeKrnlBoot.sys','32');
 DeleteFile(' C:\Program Files\unins000.bat.exe','32');
 DeleteFile(' C:\Program Files\unins000.bat','32');
 DeleteFile(' C:\Program Files\Launcher.bat.exe','32');
 DeleteFile(' C:\Program Files\Launcher.bat','32');
 DeleteService('newdriver');
 DeleteService('iSafeKrnlR3');
 DeleteService('iSafeKrnlMon');
 DeleteService('iSafeKrnlKit');
 DeleteService('iSafeKrnlBoot');
 DeleteService('iSafeKrnl');
 DeleteFileMask(' C:\Program Files\Elex-tech\','*', true, '');
 DeleteFileMask(' C:\Documents and Settings\Admin\Application Data\Elex-tech\','*', true, '');
 DeleteFileMask(' C:\Documents and Settings\Admin\Application Data\eCyber\','*', true, '');
 DeleteDirectory('C:\Program Files\Elex-tech\ ',' ');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\Elex-tech\',' ');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\eCyber\',' ');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('iSafeKrnl');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O13 - DefaultPrefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{104433FB-FAB3-41DE-AA21-B231EB9FF2ED}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{104433FB-FAB3-41DE-AA21-B231EB9FF2ED}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
O17 - HKLM\System\CS4\Services\Tcpip\..\{104433FB-FAB3-41DE-AA21-B231EB9FF2ED}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
O20 - Winlogon Notify: RWLN - RWLN.dll (file missing)
 
Сделайте новые логи по правилам (только пункт 3).
 
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Ссылка на комментарий
Поделиться на другие сайты
robixl Новичок

robixl

Опубликовано
  • Автор
Опубликовано

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

 

отчет с AutoLogger или с AdwCleaner ?

вот лог , который вылез после очистки и перезапуска ПК

Поиск всё ещё стоит по умолчанию , назначенный администратором.

AdwCleanerS1.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

Поиск всё ещё стоит по умолчанию , назначенный администратором.

Да, я знаю. Это пока я еще не правил.

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
B92LqRQ.png
 
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

  • Сохраните файл fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 

fixlist.txt

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Shooky27
      [РЕШЕНО] CHROMIUM.PAGE.MALWARE.URL? Хром закрывается сам по себе
      Автор Shooky27
      Заметил что при запуске Google Chrome он грузится ~ 10-15 секунд и закрывается, после повторного запуска браузер открывается без расширений (с предустановленным расширением PDF Viewer?) и из-за синхронизации расширения устанавливаются обратно.
      При сканировании антивирусом PRO32 ничего не выскакивает, сканировал все диски в том числе все папки на рабочем столе и ничего не нашло, Dr.Web Cureit находит упомянутый в заголовке CHROMIUM.PAGE.MALWARE.URL, но при попытке вылечить выскакивает "Ошибка при лечении".
      Пробовал исправить данную проблему с помощью AvBr, ADWcleaner, FRST. Пробовал даже скопировать скрипты с различных тем с такой же проблемой, но ничего не помогло. Также пробовал отключать синхронизацию, поскольку некоторые пользователи сталкивавшиеся с такой же проблемой ссылались на проблему синхронизации, но это тоже не помогло. 
      Логи прикрепляю.
      CollectionLog-2025.06.28-22.48.zip
    • GlibZabiv
      Не работает поиск Unity AssetStore
      Автор GlibZabiv
      Здравствуйте, При попытке искать что-либо в Unity Asset Store результаты не прогружаются, видно только то, что на фото ниже. Все функции сайта, кроме поиска, работают. VPN, прокси отсутствуют. Проблем с интернет-соединением нет. По 2ip.ru входящая скорость ~60 мбит/c. Проблема есть как в Яндекс браузере, так и в Chrome. Очистка кеша не помогла.

    • rancol347
      [РЕШЕНО] Появляются рекламные вирусы по мнению КВРТ в файлах расширений для хрома и называются bg.js. Хром не использую
      Автор rancol347
      Иногда проверяю компьютер КВРТ и он выдал 2 рекламных вируса/расширения. После лечения с перезагрузкой всё вроде нормально, но если через 2-3 дня проверить снова появляется 1-2 расширения (not-a-virus:HEUR:AdWare.js.extredirect.gen и ещё какой-то, но по названию самый обычный адварь). И могу ли запустить автологгер вместе с защитником виндовс? (я не понял как выгрузить) и компьютер теоретически должен выдержать.
    • Nickopol
      Удалить вирус
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
    • Ruslan10202
      Антивирусу не удаётся удалить вирус
      Автор Ruslan10202
×
×
  • Создать...