Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

не могу избавиться от поисковика smartsputnik в браузерах

Arman

Автор Arman
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Arman Новичок

Arman

Опубликовано
Опубликовано

Здравствуйте. При открытии браузеров кидает на разные сайты.

поиск по умолчанию стоит smartsputnik.ru , поменять его невозможно.

вот все архивы и логи.

CollectionLog-2015.09.21-17.45.zip

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\АЙК\AppData\Local\Browsers\browser1.bat','');
QuarantineFile('C:\ProgramData\Browsers\browser6.bat','');
QuarantineFile('C:\ProgramData\Browsers\browser0.bat','');
QuarantineFile('C:\Users\АЙК\AppData\Local\likecoupon\config.json','');
QuarantineFile('C:\Users\АЙК\AppData\Local\likecoupon\stub.exe','');
TerminateProcessByName('c:\users\АЙК\appdata\roaming\acewebextension\updater\ace_web_extension.exe');
QuarantineFile('c:\users\АЙК\appdata\roaming\acewebextension\updater\ace_web_extension.exe','');
DeleteFile('c:\users\АЙК\appdata\roaming\acewebextension\updater\ace_web_extension.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AceWebException');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
DeleteFile('C:\Users\АЙК\AppData\Local\likecoupon\stub.exe','32');
DeleteFile('C:\Users\АЙК\AppData\Local\likecoupon\config.json','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','likecoupon');
DeleteFile('C:\ProgramData\Browsers\browser0.bat','32');
DeleteFile('C:\ProgramData\Browsers\browser6.bat','32');
DeleteFile('C:\Users\АЙК\AppData\Local\Browsers\browser1.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
Arman Новичок

Arman

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

browser1.bat,
browser6.bat,
config.json,
stub.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

ace_web_extension.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

browser1.bat,
browser6.bat,
config.json,
stub.exe

A set of unknown files has been received. They will be sent to the Virus Lab.

ace_web_extension.exe

No malicious code was found in this file.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

 

[KLAN-3156074571]

 

а где искать  Check_Browsers_LNK.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
HKU\S-1-5-21-1985829256-100141234-4175201082-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://smartsputnik.ru/?ri=1&uid=86a11025fa79006d44841192d8d88d45&q={searchTerms}
HKU\S-1-5-21-1985829256-100141234-4175201082-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://smartsputnik.ru/?ri=1&uid=86a11025fa79006d44841192d8d88d45&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1985829256-100141234-4175201082-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?ri=1&uid=86a11025fa79006d44841192d8d88d45&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1985829256-100141234-4175201082-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?ri=1&uid=86a11025fa79006d44841192d8d88d45&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1985829256-100141234-4175201082-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://smartsputnik.ru/?ri=1&uid=86a11025fa79006d44841192d8d88d45&q=
Filter: application/octet-stream - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll No File
Filter: application/x-complus - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll No File
Filter: application/x-msdownload - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll No File
CHR Extension: (likecoupon) - C:\Users\АЙК\AppData\Local\Google\Chrome\User Data\Default\Extensions\pangpkjidggjmengcapmllojloahmgek [2015-09-20]
OPR Extension: (likecoupon) - C:\Users\АЙК\AppData\Roaming\Opera Software\Opera Stable\Extensions\pangpkjidggjmengcapmllojloahmgek [2015-09-20]
2015-09-19 01:47 - 2015-09-19 01:47 - 00000000 ____D C:\Program Files (x86)\Application Assistance
2015-09-19 01:45 - 2015-09-21 18:38 - 00000000 ____D C:\Users\АЙК\AppData\Local\likecoupon
2015-09-19 01:45 - 2015-09-19 01:45 - 00000000 ____D C:\Users\АЙК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\likecoupon
2015-09-19 01:45 - 2015-09-19 01:45 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\application extension
2015-09-19 01:44 - 2015-09-21 18:38 - 00000000 ____D C:\Users\Все пользователи\Browsers
2015-09-19 01:44 - 2015-09-21 18:38 - 00000000 ____D C:\Users\АЙК\AppData\Local\Browsers
2015-09-19 01:44 - 2015-09-21 18:38 - 00000000 ____D C:\ProgramData\Browsers
2015-09-19 01:44 - 2015-09-21 13:19 - 00000000 ____D C:\Program Files (x86)\HP Defender
2015-05-28 01:09 - 2015-05-28 01:09 - 0000042 _____ () C:\Users\АЙК\AppData\Roaming\460C1537A91C41B5C695
2011-06-12 16:09 - 2011-06-12 16:09 - 00038400 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\lib\_socket.pyd
2011-06-12 16:09 - 2011-06-12 16:09 - 00720896 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\lib\_ssl.pyd
2011-07-15 22:37 - 2011-07-15 22:37 - 00981504 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\lib\wx._core_.pyd
2011-07-15 22:38 - 2011-07-15 22:38 - 00746496 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\lib\wx._gdi_.pyd
2011-07-15 22:38 - 2011-07-15 22:38 - 00670720 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\lib\wx._windows_.pyd
2011-07-15 22:38 - 2011-07-15 22:38 - 00966144 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\lib\wx._controls_.pyd
2011-07-15 22:38 - 2011-07-15 22:38 - 00674816 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\lib\wx._misc_.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00287232 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\lib\_hashlib.pyd
2011-01-19 00:56 - 2011-01-19 00:56 - 00334336 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\lib\M2Crypto.__m2crypto.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00011776 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\lib\select.pyd
2011-06-12 16:06 - 2011-06-12 16:06 - 00152576 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\lib\pyexpat.pyd
2012-02-07 19:37 - 2012-02-07 19:37 - 00098816 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\lib\win32api.pyd
2012-02-07 19:35 - 2012-02-07 19:35 - 00110080 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\lib\pywintypes27.dll
2012-02-07 19:38 - 2012-02-07 19:38 - 00358912 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\lib\pythoncom27.dll
2012-02-07 19:36 - 2012-02-07 19:36 - 00111616 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\lib\win32file.pyd
2012-02-07 19:36 - 2012-02-07 19:36 - 00024064 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\lib\win32pdh.pyd
2014-10-01 19:37 - 2014-10-01 19:37 - 00022824 _____ () C:\Users\АЙК\AppData\Roaming\ACEStream\updater\ace_update.exe
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ipmansan67
      Зелёный значок в поисковиках
      Автор ipmansan67
      ребята привет, подскажите где получить зеленый значок касперского, который в поисковике светится напротив ссылки моего сайта? 

       
      Безопасный сайт (по данным Kaspersky Security Network) вот этот....   Сообщение от модератора Mark D. Pearlstone Перемещено из раздела "Технический раздел"
    • Ig0r
      Индексация сайта в поисковиках
      Автор Ig0r
      Уже 112 страниц проиндексировал. Я его привел.
    • Namido
      Помогите избавиться от майнера
      Автор Namido
      Уже два года как меня терроризирует непонятный майнер, никакие средства очистки не находят абсолютно ничего. Признаки: периодически как будто бы удаленный доступ к ноуту, открываются вкладки, курсор живет своей жизнью, нагружается процессор, иногда при заходе на любой сайт вылезает окно всплывающее "пароль" и "логин" с сылкой на сайт с казино(zagent?что-то такое). Сегодня совершенно случайно чистила ноут и увидела в логе строку"проверка пользователя John", загуглила, увидела, что проблема не новая.

      CollectionLog-2025.04.20-20.12.zip
    • Dad Paul
      [РЕШЕНО] Не могу избавиться от троянов
      Автор Dad Paul
      Вопреки всем предупреждениям и блокировкам, решил скачать читы на PUBG. В итоге-читы так и не получилось поставить,а вирусы получил. Видимых изменений в системе не наблюдаю, но каждые 5-15 минут находит вирусы трояна(разные),лечит\удаляет и всё по новой. Помогите избавиться


      avz_log.txt Addition.txt FRST.txt
    • Мала
      Не могу понять, что за вредоносное ПО
      Автор Мала
      После установки пиратского ПО (google sketch up) нанятым «помощником» сначала скорость интернета просела до двух мегабит в секунду на пару дней. Сканирование компа kaspersky internet security угроз не обнаружило. 
      Через еще пару дней нечто заблокировало браузер и возможность скачивания. Интернет был, но страницы гугл хлома не загружались. Клик по диагностике сети выдавал «удаленное устройство или ресурс не принимает подключение». При этом десктопный востап обновлялся. Но посланную через него антивир утилиту скачать не удавалось.
      Следом поступил звонок с номера «из Молдовы», который я брать не стала. и поняла, что видимо щас «сотрудники фсб» будут взламывать мои госуслуги. Похоже, что это было нечто, что скачало с компа все данные и логины пароли. 
      Нанятый лечитель вирусов с youdo удаленно помог снять странные установленные каким-то патчем ограничения с браузера и почистил шесть каких-то вирусов разными утилитами.
      В финале я в безопасном режиме еще раз проверила утилитой cureit др веба. И он нашел один какой-то файл и удалил. 
       
      4 дня всё поработало бесперебойно. Сегодня снова появился симптом про браузер. То есть нечто управляющее браузером все еще сидит на компе.  Пирасткое ПО правда так и осталось не снесённым. Но есть ощущение что снос ПО не поможет и надо что-то хитрее предпринять. 
       
      Да, впн стоял и исправно без странных симптомов работал более полутора лет без обновлений. Приложения hiddify, сервер от papervpn. 

      Я очень неопытный женщина-юзер. Помогите, пожалуйста, понять что можно сделать. 
       
×
×
  • Создать...