Не могу сменить поисковую систему в браузере Chrome

[kostyan2008 0]

Не получается сменить поисковую систему в браузере Chrome,и при запуске браузера всплывает стартовая страница рекламных сайтов с игровыми автоматами. 

CollectionLog-2015.11.16-20.57.zip

[thyrex 1 468]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('D:\Users\Константин\appdata\roaming\daemon.exe','');
QuarantineFile('D:\Users\Константин\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('D:\Program Files (x86)\Torrent Search\aH8A6wF.exe','');
DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
QuarantineFile('D:\Program Files (x86)\Torrent Search\IEEF\ojUkrz57aC.dll','');
QuarantineFile('D:\iexplore.bat','');
QuarantineFile('D:\Program Files (x86)\Google\chrome.bat','');
QuarantineFile('D:\Users\Константин\AppData\Roaming\ASPackage\ASPackage.exe','');
QuarantineFile('D:\Users\Константин\AppData\Local\Mail.ru\Sputnik\ptls\PwwYQ11fs1oP.exe','');
SetServiceStart('birudujy', 4);
SetServiceStart('bykesute', 4);
SetServiceStart('myfejozi', 4);
SetServiceStart('xowijysy', 4);
DeleteService('xowijysy');
DeleteService('myfejozi');
DeleteService('bykesute');
DeleteService('birudujy');
TerminateProcessByName('d:\users\Константин\appdata\local\15c6e840-1447703640-11dd-9293-f079596c8180\snspc391.tmp');
QuarantineFile('d:\users\Константин\appdata\local\15c6e840-1447703640-11dd-9293-f079596c8180\snspc391.tmp','');
TerminateProcessByName('d:\windows\syswow64\searchprotectservice.exe');
QuarantineFile('d:\windows\syswow64\searchprotectservice.exe','');
TerminateProcessByName('d:\program files (x86)\torrent search\ieef\letmrn8175.exe');
QuarantineFile('d:\program files (x86)\torrent search\ieef\letmrn8175.exe','');
TerminateProcessByName('d:\program files (x86)\15c6e840-1447692800-11dd-9293-f079596c8180\knsp34b3.tmpfs');
QuarantineFile('d:\program files (x86)\15c6e840-1447692800-11dd-9293-f079596c8180\knsp34b3.tmpfs','');
TerminateProcessByName('d:\program files (x86)\15c6e840-1447692800-11dd-9293-f079596c8180\jnsf4f4b.tmp');
QuarantineFile('d:\program files (x86)\15c6e840-1447692800-11dd-9293-f079596c8180\jnsf4f4b.tmp','');
TerminateProcessByName('d:\program files (x86)\15c6e840-1447692800-11dd-9293-f079596c8180\hnsp6665.tmp');
QuarantineFile('d:\program files (x86)\15c6e840-1447692800-11dd-9293-f079596c8180\hnsp6665.tmp','');
DeleteFile('d:\program files (x86)\15c6e840-1447692800-11dd-9293-f079596c8180\hnsp6665.tmp','32');
DeleteFile('d:\program files (x86)\15c6e840-1447692800-11dd-9293-f079596c8180\jnsf4f4b.tmp','32');
DeleteFile('d:\program files (x86)\15c6e840-1447692800-11dd-9293-f079596c8180\knsp34b3.tmpfs','32');
DeleteFile('d:\program files (x86)\torrent search\ieef\letmrn8175.exe','32');
DeleteFile('d:\windows\syswow64\searchprotectservice.exe','32');
DeleteFile('d:\users\Константин\appdata\local\15c6e840-1447703640-11dd-9293-f079596c8180\snspc391.tmp','32');
DeleteFile('D:\Users\Константин\AppData\Local\Mail.ru\Sputnik\ptls\PwwYQ11fs1oP.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PwwYQ11fs1oP');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
DeleteFile('D:\Users\Константин\AppData\Roaming\ASPackage\ASPackage.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Update');
DeleteFile('D:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('D:\iexplore.bat','32');
DeleteFile('D:\Program Files (x86)\Torrent Search\IEEF\ojUkrz57aC.dll','32');
DeleteFile('D:\Program Files (x86)\Torrent Search\aH8A6wF.exe','32');
DeleteFile('D:\Windows\Tasks\Update Service for Torrent Search.job','32');
DeleteFile('D:\Windows\Tasks\Update Service for Torrent Search2.job','32');
DeleteFile('D:\Users\Константин\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('D:\Windows\system32\Tasks\nethost task','64');
DeleteFile('D:\Windows\system32\Tasks\Update Service for Torrent Search','64');
DeleteFile('D:\Windows\system32\Tasks\Update Service for Torrent Search2','64');
DeleteFile('D:\Users\Константин\appdata\roaming\daemon.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[kostyan2008 0]

KLAN-3355710444

CollectionLog-2015.11.16-22.04.zip

ClearLNK-16.11.2015_21-59.log

[thyrex 1 468]

Сделайте лог полного сканирования МВАМ

[kostyan2008 0]

Вот

MBAM LOG.txt

[thyrex 1 468]

Найденную МВАМ запись удалите.

 

+ Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[kostyan2008 0]

Сделано

Addition.txt

FRST.txt

[thyrex 1 468]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
Task: {C1F83A96-BDB0-4864-8AAE-1DE7B987416F} - \nethost task -> No File <==== ATTENTION
HKU\S-1-5-21-738836878-6502167-828899579-1000\...\Winlogon: [Shell] D:\Windows\Explorer.exe [2871808 2011-02-25] (Microsoft Corporation) <==== ATTENTION
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (SurfEarner) - D:\Users\Константин\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjaibhjmfjjhbifincjcecomobflhdjf [2015-07-21]
CHR Extension: (Поделиться ВКонтакте) - D:\Users\Константин\AppData\Local\Google\Chrome\User Data\Default\Extensions\fcimjkehglmijlhnpbmjbpoiamjiegod [2015-11-16]
2015-11-16 19:53 - 2009-06-11 00:00 - 00000824 _____ D:\Windows\system32\Drivers\etc\hp.bak
2015-11-16 19:52 - 2015-04-02 02:49 - 00815288 ____H (Microsoft Corporation) D:\iехplоrе.bаt.exe
2015-11-16 19:53 - 2015-11-16 19:58 - 00000000 ____D D:\Users\Константин\AppData\Local\hostskidki
2015-11-16 19:58 - 2015-11-16 21:48 - 00000000 ____D D:\Users\Константин\AppData\Local\SystemDir
D:\Users\Константин\AppData\Local\Temp\condefclean.exe
D:\Users\Константин\AppData\Local\Temp\J5ZNjy0QR8Lc.exe
D:\Users\Константин\AppData\Local\Temp\PwwYQ11fs1oP.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.
  

[kostyan2008 0]

Сделал

Fixlog.txt

[thyrex 1 468]

Проблема решена?

[kostyan2008 0]

Да,большое спасибо