GetSearch, go.mail.ru.spacesearch

[andreev88]

Здравствуйте, после установки с непроверенного сайта ломанной программки появилась проблема: поиском по умолчанию в хроме стал поиск mail.ru.  Изменить не получается. "Этот параметр включен администратором". Комьпютер работает плохо, виснет, некоторые программы сами закрываются, некоторые зависают. 

Лог прикреплен.

Заранее, огромное спасибо за помощь. 

CollectionLog-2015.08.09-16.16.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}');
QuarantineFile('C:\Program Files (x86)\punto.bat','');
DeleteService('QMUdisk');
SetServiceStart('BdSandBox', 4);
DeleteService('BdSandBox');
SetServiceStart('BDFileDefend', 4);
DeleteService('BDFileDefend');
SetServiceStart('BDArKit', 4);
DeleteService('BDArKit');
SetServiceStart('bd0003', 4);
DeleteService('bd0003');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUdisk64.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BdSandBox.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDFileDefend.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','baidusdTray');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDShellExt64.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDShellExt.dll','32');
DeleteFile('C:\Program Files (x86)\punto.bat','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\websafe\WebMonBHO.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[andreev88]

Лог с логгера и clearlnk прилагаю. Архив карантин создался пустым. Вот ответ:

 

virus [KLAN-3038183989]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

CollectionLog-2015.08.09-17.42.zip

ClearLNK-09.08.2015_17-35.log

Изменено 9 августа, 2015 пользователем andreev88

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[andreev88]

Готово. Отчеты прикреплены.

Addition.txt

FRST.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
FirewallRules: [{F2B4CE71-7B4B-43D8-AEB3-4335DAB2047A}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{0BB26E15-8293-4F6C-BAEF-9062CDBBFF76}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{B06EDF36-3643-4EC2-A350-8174A37B16F7}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe
FirewallRules: [{BFEC0DC4-5967-4FD3-BD21-086BBD6E4115}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe
FirewallRules: [{B67F351C-126C-4521-8D42-3891DA025F9C}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe
FirewallRules: [{957306C1-651B-4325-9956-D04F6185D382}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe
FirewallRules: [{DA9F9CF1-7915-4810-8A97-AB4A688F08A2}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSd.exe
FirewallRules: [{207E3EAB-48C6-4831-A47B-F0234AD3EFBA}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSd.exe
FirewallRules: [{B075E4D9-599B-4E0E-8CDF-E4DCC8CEAC94}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSd.exe
FirewallRules: [{0B65C1F7-4626-40F7-A447-B8AF4BD4F5DF}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSd.exe
FirewallRules: [{9484F98D-32A5-44D1-ABD0-5BB26A1F8D42}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe
FirewallRules: [{FA524776-2A63-4038-8735-57C24679D249}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe
FirewallRules: [{89D2A25E-52F6-4244-8CA2-ACE356E9F771}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe
FirewallRules: [{64F9C9CE-D32B-4744-9121-8AA3F19781C8}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe
FirewallRules: [{0DDFB4C8-70D5-49F4-96D8-D04088C43A5C}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdUpdate.exe
FirewallRules: [{D519E799-1F72-4EB1-86D2-B632148EEDE9}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdUpdate.exe
FirewallRules: [{490E8494-B126-4320-B031-8BE844D6FA24}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdUpdate.exe
FirewallRules: [{EF3DA1FF-FC2B-40A2-90B2-610995D83912}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdUpdate.exe
FirewallRules: [{66CCBEA2-7430-41BD-A48B-B88429DE7C48}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdBugRpt.exe
FirewallRules: [{CE9C09A5-6D9E-43D1-BD03-5FAFC9ECEF9B}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdBugRpt.exe
FirewallRules: [{165ACED0-88EE-43EC-A76D-5A77A24A322C}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdBugRpt.exe
FirewallRules: [{935108E8-9D65-492E-9E6A-21A8E307795F}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdBugRpt.exe
FirewallRules: [{DB17BE35-7434-47A1-9575-196BDB2D96A5}] => (Allow) C:\program files (x86)\common files\baidu\bddownload\109\bddownloader.exe
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=98115343_hao_pg
HKU\S-1-5-21-4228400079-2330000673-956078862-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://spacesearch.ru/?ri=1&rsid=253c9e3e47788d177c2f6ea656453fb5&q={searchTerms}
HKU\S-1-5-21-4228400079-2330000673-956078862-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://spacesearch.ru/?ri=1&rsid=253c9e3e47788d177c2f6ea656453fb5&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4228400079-2330000673-956078862-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://spacesearch.ru/?ri=1&rsid=253c9e3e47788d177c2f6ea656453fb5&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4228400079-2330000673-956078862-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://spacesearch.ru/?ri=1&rsid=253c9e3e47788d177c2f6ea656453fb5&q=
DefaultPrefix-x32: => http://spacesearch.ru/?ri=1&rsid=253c9e3e47788d177c2f6ea656453fb5&q= <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx <not found>
S1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [56136 2015-06-02] (Baidu)
S2 BDKVRTP; "C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe" -r [X]
2015-07-16 23:10 - 2015-07-16 23:10 - 00000000 ____D C:\Device
2015-06-13 18:56 - 2015-02-04 13:35 - 0291128 ____H (ООО Яндекс) C:\Program Files (x86)\diаry.bаt.exe
2015-06-13 18:56 - 2015-02-04 13:35 - 0034104 ____H (ООО Яндекс) C:\Program Files (x86)\lаyоuts.bаt.exe
2015-06-13 18:56 - 2015-02-04 13:35 - 1626424 ____H (ООО Яндекс) C:\Program Files (x86)\puntо.bаt.exe
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[andreev88]

Сделал, но компьютер сам не перезагрузился. Перезагрузил вручную. Лог прикреплен.

Fixlog.txt

[thyrex]

Ничего не сделали. Внимательно прочтите, что нужно было сделать, и переделывайте

[andreev88]

Прошу прощения, что-то делал не так. Сделал все по инструкции, компьютер перезагрузился. Появилась возмлжность выбора поисковой системы. Огромнейшее спасибо. Лог прикреплен. 

Fixlog.txt

[thyrex]

Порядок

[andreev88]

Понял. Еще раз огромное спасибо. Всего доброго.