поисковая система Getsearch

[TennisAddict]

Здравствуйте, 
по глупости нажала не туда и скачала себе вирус=(
Изначально полетел Хром, запускался не с закрепленного ярлыка на панели, во всех браузерах начальной страницей выходил gotut. ru. Поисковая система гугл тоже отказывалась работать, работал еще яндекс, но по умолчанию был установлен Getsearch, причем "параметр установлен администратором". Так же после появления вируса в программах панели управления висит Time Tasks, который никак не удаляется. 
Благо, через Оперу срочно скачала Касперский, он удалил какие-то вирусы, во время лечения доступ к каким-либо файлам был закрыт. Теперь всё открывается, но проблема с браузерами осталась.

CollectionLog-2015.07.31-22.08.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
TerminateProcessByName('c:\program files (x86)\237056eb-1438335353-e111-912c-dc0ea1fd8786\jnsqa999.tmp');
QuarantineFile('c:\program files (x86)\237056eb-1438335353-e111-912c-dc0ea1fd8786\jnsqa999.tmp','');
TerminateProcessByName('c:\program files (x86)\237056eb-1438335353-e111-912c-dc0ea1fd8786\hnsqd9bf.tmp');
QuarantineFile('c:\program files (x86)\237056eb-1438335353-e111-912c-dc0ea1fd8786\hnsqd9bf.tmp','');
DeleteFile('c:\program files (x86)\237056eb-1438335353-e111-912c-dc0ea1fd8786\hnsqd9bf.tmp','32');
DeleteFile('c:\program files (x86)\237056eb-1438335353-e111-912c-dc0ea1fd8786\jnsqa999.tmp','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[TennisAddict]

Здравствуйте,
[KLAN-3018090065]
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

hnsqd9bf.tmp,
jnsqa999.tmp

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского

CollectionLog-2015.07.31-23.46.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[TennisAddict]

Выполнила.

Addition.txt

FRST.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-841782390-3721898396-2722091799-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://spacesearch.ru/?ri=1&rsid=548c5b04b324de7df1a2338daf8273fe&q={searchTerms}
HKU\S-1-5-21-841782390-3721898396-2722091799-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://spacesearch.ru/?ri=1&rsid=548c5b04b324de7df1a2338daf8273fe&q={searchTerms}
SearchScopes: HKU\S-1-5-21-841782390-3721898396-2722091799-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://spacesearch.ru/?ri=1&rsid=548c5b04b324de7df1a2338daf8273fe&q={searchTerms}
SearchScopes: HKU\S-1-5-21-841782390-3721898396-2722091799-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://spacesearch.ru/?ri=1&rsid=548c5b04b324de7df1a2338daf8273fe&q={searchTerms}
SearchScopes: HKU\S-1-5-21-841782390-3721898396-2722091799-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://spacesearch.ru/?ri=1&rsid=548c5b04b324de7df1a2338daf8273fe&q=
BHO: scriptproxy -> {7DB2D5A0-7241-4E79-B68D-6309F01C5231} -> C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20120712123638.dll No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Tcpip\..\Interfaces\{2169606F-406D-429B-84AB-874FAA25EE50}: [DhcpNameServer] 0.0.0.0
CHR Extension: (promoskiki) - C:\Users\Асем\AppData\Local\Google\Chrome\User Data\Default\Extensions\fafceeakhmbanmolhficnpfaalkbffpc [2015-07-31]
CHR Extension: (ruspromocode) - C:\Users\Асем\AppData\Local\Google\Chrome\User Data\Default\Extensions\niaidlbfgnmndccckeilbhihankjfgmp [2015-07-31]
OPR Extension: (promoskiki) - C:\Users\Асем\AppData\Roaming\Opera Software\Opera Stable\Extensions\fafceeakhmbanmolhficnpfaalkbffpc [2015-07-31]
OPR Extension: (ruspromocode) - C:\Users\Асем\AppData\Roaming\Opera Software\Opera Stable\Extensions\niaidlbfgnmndccckeilbhihankjfgmp [2015-07-31]
2015-07-31 19:35 - 2015-07-31 19:35 - 00000101 ____H C:\launcher.bat
2015-07-31 19:35 - 2015-07-11 00:10 - 00908408 ____H (Opera Software) C:\lаunсhеr.bаt.exe
2015-07-31 19:35 - 2015-06-26 03:43 - 00815312 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2015-07-31 19:33 - 2015-07-31 20:24 - 00000000 ____D C:\Users\Асем\AppData\Local\promoskiki
2015-07-31 19:33 - 2015-07-31 20:23 - 00000000 ____D C:\Users\Асем\AppData\Local\Ruspromocode
2015-07-31 19:31 - 2015-07-31 19:39 - 00000000 ____D C:\Users\Асем\AppData\Roaming\eTranslator
C:\Users\Асем\AppData\Local\Temp\tmp2E10.exe
C:\Users\Асем\AppData\Local\Temp\tmpCE26.exe
C:\Users\Асем\AppData\Local\Temp\tmpFE1B.exe
C:\Users\Асем\AppData\Local\Temp\Uninstall.exe
C:\Users\Асем\AppData\Local\Temp\utt121B.tmp.exe
C:\Users\Асем\AppData\Local\Temp\utt9F4E.tmp.exe
C:\Users\Асем\AppData\Local\Temp\uttFB42.tmp.exe
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[TennisAddict]

Вот

Fixlog.txt

[thyrex]

Что с проблемой?

[TennisAddict]

Что с проблемой?

Здравствуйте, проблема исчезла до сегодняшнего дня. Сегодня только начальной страницей открывается gotut.ru, хотя в настройках стоит "новая вкладка", Time Tasks не удалился

[thyrex]

Новые логи делайте

[TennisAddict]

Помимо gotut, вместо начальной страницы открываются и другие сомнительные сайты теперь

[Mark D. Pearlstone]

@TennisAddict, вам же написали, чтобы вы сделали новые логи.

[TennisAddict]

не загрузилось почему-то в предыдущем(

CollectionLog-2015.08.06-03.23.zip

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

[TennisAddict]

.

ClearLNK-06.08.2015_11-30.log