Не могу удалить/изменить поиск по умолчанию с yamdex.net в google chrome?

[DoctorFel]

Здравствуйте достал этот yamdex.net(пишет, что этот параметр установлен администратором). Второй день мучаюсь, реестр почистил, ярлыки настроил, удалил в безопасном режиме поиск по умолчанию yamdex.net, но после перезагрузки он снова устанавливается - ничего не помогает. Прилагаю логи.

Addition.txt

FRST.txt

hijackthis.log

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[DoctorFel]

Извиняюсь не добавил логи!

CollectionLog-2015.03.04-19.14.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\Admin\AppData\Local\SysHlp\25.exe','');
QuarantineFile('C:\Program Files (x86)\punto.bat','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('C:\Program Files (x86)\punto.bat','32');
DeleteFile('C:\Users\Admin\AppData\Local\SysHlp\25.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','25');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','25');
DeleteFile('C:\iexplore.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  
• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
   
  
   
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Сделайте новые логи по правилам

 

Сделайте новые логи FRST

[DoctorFel]

KLAN-2566125259

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

25.exe,
chrome.bat,
iexplore.bat,
punto.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

Ответ на запрос

Отчет и новые логи

KLAN-2566125259

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

25.exe,
chrome.bat,
iexplore.bat,
punto.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

Ответ на запрос

Отчет и новые логи

ClearLNK-04.03.2015_22-15.log

FRST.txt

Addition.txt

[thyrex]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
  CHR HKU\S-1-5-21-999526375-61512094-3084258392-1002\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
  HKU\S-1-5-21-999526375-61512094-3084258392-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://hptds6.ru/
  FF Extension: AS Magic Player - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\wpipdfr2.default\Extensions\magicplayer@acestream.org [2014-09-17]
  CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim [2014-10-02]
  OPR Extension: (AS Magic Player) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim [2014-09-28]
  2015-03-03 23:27 - 2015-03-03 23:27 - 00000000 ____D () C:\Users\Все пользователи\Babylon
  2015-03-03 23:27 - 2015-03-03 23:27 - 00000000 ____D () C:\Users\Admin\AppData\Local\Babylon
  2015-03-03 23:27 - 2015-03-03 23:27 - 00000000 ____D () C:\ProgramData\Babylon
  2015-03-03 00:04 - 2015-03-03 00:04 - 00000687 _____ () C:\awh5A2E.tmp
  2015-03-02 23:43 - 2015-03-03 12:39 - 00000000 ____D () C:\WINDOWS\SysWOW64\GroupPolicy
  2015-03-02 23:43 - 2015-03-02 23:43 - 00000119 ____H () C:\Program Files (x86)\WelcomeToPunto.bat
  2015-03-02 23:43 - 2015-03-02 23:43 - 00000118 ____H () C:\Program Files (x86)\layouts.bat
  2015-03-02 23:43 - 2015-03-02 23:43 - 00000118 ____H () C:\launcher.bat
  2015-03-02 23:43 - 2015-03-02 23:43 - 00000116 ____H () C:\Program Files (x86)\diary.bat
  2015-03-02 23:43 - 2015-03-02 23:43 - 00000113 ____H () C:\Program Files (x86)\ps.bat
  2015-03-02 23:43 - 2015-03-02 23:43 - 00000110 ____H () C:\Program Files (x86)\LauncherLoader.bat
  2015-03-02 23:43 - 2015-03-02 23:43 - 00000101 ____H () C:\firefox.bat
  2015-03-02 23:43 - 2014-10-31 13:32 - 00815248 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
  2015-03-02 23:43 - 2014-09-12 18:57 - 00275568 ____H (Mozilla Corporation) C:\firеfох.bаt.exe
  2015-03-02 23:43 - 2013-07-09 12:32 - 01570640 ____H (ООО Яндекс) C:\Program Files (x86)\puntо.bаt.exe
  2015-03-02 23:43 - 2013-07-09 12:32 - 00291152 ____H (ООО Яндекс) C:\Program Files (x86)\diаry.bаt.exe
  2015-03-02 23:43 - 2013-07-09 12:32 - 00034128 ____H (ООО Яндекс) C:\Program Files (x86)\lаyоuts.bаt.exe
  2015-03-02 23:43 - 2010-06-01 13:29 - 00367872 ____H (NTI Corporation.) C:\Program Files (x86)\LаunсhеrLоаdеr.bаt.exe
  2015-03-02 23:42 - 2015-03-02 23:59 - 00000258 __RSH () C:\Users\Все пользователи\ntuser.pol
  2015-03-02 23:42 - 2015-03-02 23:59 - 00000258 __RSH () C:\ProgramData\ntuser.pol
  2015-03-02 19:06 - 2015-03-02 19:06 - 00000687 _____ () C:\awh58C6.tmp
  2015-03-02 12:11 - 2015-03-02 12:11 - 00000687 _____ () C:\awh8D05.tmp
  2015-03-01 22:43 - 2015-03-01 22:43 - 00000687 _____ () C:\awh57CC.tmp
  2015-02-28 12:00 - 2015-02-28 12:00 - 00000687 _____ () C:\awh5904.tmp
  2015-02-27 15:04 - 2015-02-27 15:04 - 00000687 _____ () C:\awh652A.tmp
  2015-02-26 09:32 - 2015-02-26 09:32 - 00000687 _____ () C:\awh5D2B.tmp
  2015-02-25 17:30 - 2015-02-25 17:30 - 00000687 _____ () C:\awh558A.tmp
  2015-02-24 13:47 - 2015-02-24 13:47 - 00000687 _____ () C:\awh5357.tmp
  2015-02-24 10:39 - 2015-02-24 10:39 - 00000687 _____ () C:\awh6345.tmp
  2015-02-23 23:12 - 2015-02-23 23:12 - 00000687 _____ () C:\awh6549.tmp
  2015-02-22 12:43 - 2015-02-22 12:43 - 00000687 _____ () C:\awh63D2.tmp
  2015-02-22 12:32 - 2015-02-22 12:32 - 00000687 _____ () C:\awh6DC5.tmp
  2015-02-22 11:15 - 2015-02-22 11:15 - 00000687 _____ () C:\awh7CD8.tmp
  2015-02-22 11:07 - 2015-02-22 11:07 - 00000687 _____ () C:\awh90AE.tmp
  2015-02-20 21:43 - 2015-02-20 21:43 - 00000687 _____ () C:\awh816C.tmp
  2015-02-19 11:21 - 2015-02-19 11:21 - 00000687 _____ () C:\awhB03C.tmp
  2015-02-19 10:50 - 2015-02-19 10:50 - 00000687 _____ () C:\awh7259.tmp
  2015-02-18 16:06 - 2015-02-18 16:06 - 00000687 _____ () C:\awh77D7.tmp
  2015-02-17 20:18 - 2015-02-17 20:18 - 00000687 _____ () C:\awh69FC.tmp
  2015-02-17 16:57 - 2015-02-17 16:57 - 00000687 _____ () C:\awh845A.tmp
  2015-02-17 14:36 - 2015-02-17 14:36 - 00000687 _____ () C:\awh83DD.tmp
  2015-02-16 17:30 - 2015-02-16 17:30 - 00000687 _____ () C:\awh8DFF.tmp
  2015-02-15 00:44 - 2015-02-15 00:44 - 00000687 _____ () C:\awh6837.tmp
  2015-02-14 21:06 - 2015-02-14 21:06 - 00000687 _____ () C:\awh98DC.tmp
  2015-02-14 20:35 - 2015-02-14 20:35 - 00000687 _____ () C:\awh98AD.tmp
  2015-02-14 12:27 - 2015-02-14 12:27 - 00000687 _____ () C:\awhD604.tmp
  2015-02-13 23:05 - 2015-02-13 23:05 - 00000687 _____ () C:\awhFD11.tmp
  2015-02-11 16:28 - 2015-02-11 16:28 - 00000687 _____ () C:\awh7815.tmp
  2015-02-11 15:33 - 2015-02-11 15:33 - 00000687 _____ () C:\awh79EA.tmp
  2015-02-10 21:22 - 2015-02-10 21:22 - 00000687 _____ () C:\awh866D.tmp
  2015-02-10 14:19 - 2015-02-10 14:19 - 00000687 _____ () C:\awh910C.tmp
  2015-02-08 19:59 - 2015-02-08 19:59 - 00000687 _____ () C:\awh8FC4.tmp
  2015-02-08 14:50 - 2015-02-08 14:50 - 00000687 _____ () C:\awh9AC0.tmp
  2015-02-08 13:55 - 2015-02-08 13:55 - 00000687 _____ () C:\awhBE46.tmp
  2015-02-07 20:58 - 2015-02-07 20:58 - 00000687 _____ () C:\awh8573.tmp
  2015-02-07 10:38 - 2015-02-07 10:38 - 00000687 _____ () C:\awh76BE.tmp
  2015-02-06 23:34 - 2015-02-06 23:34 - 00000687 _____ () C:\awh97D2.tmp
  2015-02-06 13:02 - 2015-02-06 13:02 - 00000687 _____ () C:\awh8E5D.tmp
  2015-02-06 10:46 - 2015-02-06 10:46 - 00000687 _____ () C:\awh7E6E.tmp
  2015-02-05 17:29 - 2015-02-05 17:29 - 00000687 _____ () C:\awh7FF5.tmp
  2015-02-05 08:55 - 2015-02-05 08:55 - 00000687 _____ () C:\awh8516.tmp
  2015-02-05 08:40 - 2015-02-05 08:40 - 00000687 _____ () C:\awhA928.tmp
  2015-02-04 19:39 - 2015-02-04 19:39 - 00000687 _____ () C:\awh6B35.tmp
  2015-02-03 18:32 - 2015-02-03 18:32 - 00000687 _____ () C:\awh7343.tmp
  2015-02-03 16:54 - 2015-02-03 16:54 - 00000687 _____ () C:\awh749B.tmp
  2015-02-03 15:15 - 2015-02-03 15:15 - 00000687 _____ () C:\awh6E23.tmp
  2015-02-03 07:58 - 2015-02-03 07:58 - 00000687 _____ () C:\awh94F4.tmp
  2015-02-02 10:34 - 2015-02-02 10:34 - 00000687 _____ () C:\awh72E6.tmp
  2015-03-04 11:27 - 2013-12-24 21:58 - 00000000 ____D () C:\Users\Admin\AppData\Local\genienext
  2015-03-04 11:27 - 2013-12-24 21:57 - 00000000 ____D () C:\Program Files (x86)\Mobogenie
  2015-03-03 12:39 - 2014-01-19 12:35 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\.ACEStream
  2015-03-01 14:24 - 2014-01-19 12:38 - 00000000 ___HD () C:\_acestream_cache_
  2015-03-02 23:43 - 2015-03-02 23:43 - 0000116 ____H () C:\Program Files (x86)\diary.bat
  2015-03-02 23:43 - 2013-07-09 12:32 - 0291152 ____H (ООО Яндекс) C:\Program Files (x86)\diаry.bаt.exe
  2015-03-02 23:43 - 2015-03-02 23:43 - 0000110 ____H () C:\Program Files (x86)\LauncherLoader.bat
  2015-03-02 23:43 - 2015-03-02 23:43 - 0000118 ____H () C:\Program Files (x86)\layouts.bat
  2015-03-02 23:43 - 2010-06-01 13:29 - 0367872 ____H (NTI Corporation.) C:\Program Files (x86)\LаunсhеrLоаdеr.bаt.exe
  2015-03-02 23:43 - 2013-07-09 12:32 - 0034128 ____H (ООО Яндекс) C:\Program Files (x86)\lаyоuts.bаt.exe
  2015-03-02 23:43 - 2015-03-02 23:43 - 0000113 ____H () C:\Program Files (x86)\ps.bat
  2015-03-02 23:43 - 2013-07-09 12:32 - 1570640 ____H (ООО Яндекс) C:\Program Files (x86)\puntо.bаt.exe
  2015-03-02 23:43 - 2015-03-02 23:43 - 0000119 ____H () C:\Program Files (x86)\WelcomeToPunto.bat
  2012-09-02 09:59 - 2012-09-02 09:59 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
  C:\Users\Admin\AppData\Local\Temp\DeltaTB.exe
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

   

   

[DoctorFel]

Готово

Fixlog.txt

[thyrex]

Что с проблемой?

[DoctorFel]

Получилось удалить из поиска по умолчанию yamdex.net в Chrome! Огромное спасибо!!!

[mike 1]

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt