Перейти к содержанию

В Opera и Mozilla прописывается go.mail.ru/search


denisfox1971

Рекомендуемые сообщения

Доброго времени суток!

История вкратце.

По ссылке АшТТП://cheat-engine-rus.ru/cheat-engine-6-5.html скачал и запустил cheat_engine_6_3.exe (!ОСТОРОЖНО!, экзешник закачивает вирусы).

Через несколько секунд на компе у меня был установлен "добрый" десяток всякого мусора типа хранителей, мейлов и пр.

Пришлось оперативно погрохать всё с помощью "Uninstall Tool".

Но!  Главная проблема осталась.

В  Opera и Mozilla, если что-то набрать в любом поисковике, поисковик через сек. 5 меняется на go.mail.ru/search.

Пробовал множество утилит (Malwarebytes Anti-Malware, DrWeb, AVZ). Бесполезно. Утилиты нашли несколько других "шпионов".

Но проблема с go.mail.ru/search осталась.

 

Теперь adwcleaner_5.036. Он находит и уничтожает следующее:

[-] Папка Удалено : C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\vkncp5bt.default\extensions\helper@helper
[-] Папка Удалено : C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\ziift7t0.default-1456338773664\extensions\helper@helper
[-] Папка Удалено : C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe

Далее перегрузка ПК. Минут пять Opera и Mozilla после чистки и перегрузки работают нормально. Потом они самопроизвольно очень быстро закрываются и открываются. И....   go.mail.ru/search опять заменил собой все поисковики.

Запускаем снова adwcleaner_5.036. Снова находит три ветки.... и так можно бесконечно по кругу. Проблема остаётся. Что-то вносит изменения в браузеры.

 

Перерыл весь и-нет. Кроме примитивных советов ничего не нашёл.

Что делать?

Помогите пожалуйста.

БОЛЬШОЕ СПАСИБО!

Жду директив.

CollectionLog-2016.02.24-23.14.zip

Изменено пользователем denisfox1971
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Video\mailtop.exe','');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Video\mailtop.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft Windows Video','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Приветствую.

=========================================================================================

Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том,

какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   
mailtop.exe
Получен неизвестный файл, он будет передан в Вирусную Лабораторию.
С уважением, Лаборатория Касперского

KLAN-3818927742

=========================================================================================

Всё сделал, как доктор прописал.

Проблема вроде исчезла.

Благодарю!

CollectionLog-2016.02.25-19.24.zip

Изменено пользователем denisfox1971
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
 Toolbar: HKU\S-1-5-21-3255329751-522976669-3934168985-1000 -> No Name - {445451B9-BA49-4FB2-878B-F9448338E641} -  No File
Toolbar: HKU\S-1-5-21-3255329751-522976669-3934168985-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
2016-02-23 17:35 - 2016-02-23 17:35 - 00000000 ____D C:\Users\User\AppData\Local\Hostinstaller
2016-02-23 17:34 - 2016-02-23 17:34 - 00000191 _____ C:\Users\User\Desktop\Искать в Интернете.url
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
Task: {9B8BF885-623D-4C48-B19F-6A6F82E4080F} - \Microsoft Windows Video -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...
  • 3 months later...
Доброго времени суток!

Опять пришлось обратиться к Вам за помощью.

Прошу извинить за беспокойство.

Не стал плодить новую тему. Решил попытать счастья в этой, старой.

Итак.

Всё началось с того, что я не посмотрел на рассширение скаченного файла. Вместо торрент-файла оказался exe-шник.

Банально. Согласен. Торопился. И на старуху бывает проруха.

После этого и начались мои неприятности. Как говориться: "Что в этой ситуации могло пойти ТАК?".

На рабочий стол периодически высыпают всякие чужие ярлыки-ссылки.

Иногда браузеры сами-собой закрываются.

 

"Kaspersky Virus Removal Tool 2015" ничего подозрительного не обнаружил.

"Dr.Web CureIt!" - тоже, к сожалению, оказалась слепой.

"AVZ" тоже результатов не дал.

 

 

"adwcleaner_5.119" при каждом запуске находит и тщетно удаляет следующее: 

Задание Найдено : Microsoft\SafeBrowser

Задание Найдено : Microsoft\Windows\extsetup

Задание Найдено : Microsoft\Windows\SafeBrowser

Задание Найдено : Microsoft\extsetup

 

Ключ Найдено : HKCU\Software\Mobogenie3

Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ASPackage

Ключ Найдено : HKU\S-1-5-21-1191927197-678926858-1557366980-1000\Software\Mobogenie3

 

Новая закладка Opera теперь начинается с http://searchstart.ru/?utm_source=extension&utm_medium=ext

 

 

Компьютер стал заметно притормаживать в работе.

Помогите, пожалуйста, избавиться от инфекции.

Благодарю.

 

 

 

CollectionLog-2016.06.14-17.05.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Agent 007\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Users\Agent 007\AppData\Local\Adobe\PPAPI\468C3988-5F87-48BD-915C-0F8D656D3E3E\E3A6EAB4-0059-456F-92CC-BD32B96AB76E.exe','');
 DeleteFile('C:\Users\Agent 007\AppData\Local\Adobe\PPAPI\468C3988-5F87-48BD-915C-0F8D656D3E3E\E3A6EAB4-0059-456F-92CC-BD32B96AB76E.exe','32');
 DeleteFile('C:\Users\Agent 007\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','468C3988-5F87-48BD-915C-0F8D656D3E3E');
 DeleteFile('C:\Users\Agent 007\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\desktop (1).ini','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A468C3988-5F87-48BD-915C-0F8D656D3E3E','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Скрипты выполнил.

"adwcleaner_5.200" ничего не находит.

 

Re: newvirus [KLAN-4451437988]

-----------------------------------------------------------------------------------------------------------------
Здравствуйте,
 
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   
 
extsetup.exe,
E3A6EAB4-0059-456F-92CC-BD32B96AB76E.exe
 
Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.
 
С уважением, Лаборатория Касперского
-----------------------------------------------------------------------------------------------------------------

 

В Opera стартовая "searchstartnow.ru" которая редиректится на "http://searchstart.ru/?utm_source=extension&utm_medium=ext".

Гугл не помог мне в ручную избавиться от этой проблемы. Все советы оказались бесполезны.

CollectionLog-2016.06.15-13.01.zip

Изменено пользователем denisfox1971
Ссылка на комментарий
Поделиться на другие сайты

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Kaspersky User
      От Kaspersky User
      Привет всем! Сегодня Download Master показал новость, что вышел Firefox 4 (релиз). Я скачал, установил и лиса заявляет, что работа Анти-Баннера и модуль проверки ссылок Касперского не совместимы с ней и заявила, что она не согласна с ними дружить. Это как понимать? Зачем разработчики мозиллы так сделали то а?

      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • KL FC Bot
      От KL FC Bot
      В июле 2024 года Mozilla вместе с новой версией своего браузера Firefox представила технологию, которая называется Privacy-preserving attribution (атрибуция с сохранением приватности) и предназначена для отслеживания эффективности интернет-рекламы. Она включена по умолчанию в Firefox 128.
      Это довольно быстро привлекло внимание поборников онлайн-приватности и привело к появлению в новостях заголовков вроде «Теперь и Mozilla начинает продавать данные пользователей». Шумиха поднялась настолько серьезная, что техническому директору Firefox Бобби Холли пришлось объясняться с пользователями Reddit, что же на самом деле Mozilla сделала и зачем.
      Самое время разобраться более подробно, в чем суть технологии Privacy-preserving attribution, зачем она вообще нужна и почему в Mozilla решили представить ее именно сейчас.
      Google Ad Topics и «История ссылок» в Facebook*
      Начну с предыстории. Как вы, возможно, помните, разработчики самого популярного в мире браузера — Google Chrome — еще с 2019 года вынашивают планы по полному отключению поддержки сторонних cookies.
      Эта технология уже третье десятилетие повсеместно используется для отслеживания действий пользователей в Интернете. Так что, с одной стороны, она является основой индустрии онлайн-рекламы, а с другой — главным инструментом нарушения приватности пользователей.
      В качестве замены сторонних cookies некоторое время назад Google представила собственную разработку под названием Ad Topics. В рамках этой технологии отслеживание пользователя происходит на основе истории браузера Chrome и истории взаимодействия пользователя с приложениями в Android. Предполагалось, что благодаря внедрению Ad Topics поддержку сторонних cookies в браузере отключат уже во второй половине 2024 года.
      Другой крупнейший игрок индустрии цифровой рекламы, компания Meta**, которая также полагается на сторонние куки, придумала собственный вариант слежки за пользователями. Это так называемая История ссылок: все внешние ссылки в мобильных приложениях Facebook* теперь открываются во встроенном в приложение браузере, где компания все еще может следить за действиями пользователя.
      Что в итоге получается: в результате отключения поддержки сторонних cookies преимущество получают те участники рынка интернет-рекламы, у которых есть какое-либо крупное, полностью контролируемое ими цифровое пространство: самые популярные в мире браузер и ОС в случае Google, самая популярная соцсеть в случае Meta**. Более мелкие игроки при этом оказываются в зависимом положении.
      При этом данные пользователей все равно продолжают собирать в промышленных масштабах. И делают это все те же компании, к которым обычно и предъявляют основные претензии с точки зрения нарушения приватности, — Google и Facebook*.
      Возникает вопрос: а нельзя ли разработать какой-то механизм, который одновременно позволит рекламодателям отслеживать эффективность рекламы и при этом не предполагает массовый сбор данных пользователей? Ответом именно на этот вопрос и является технология Privacy-preserving attribution.
       
      View the full article
    • REDAREW
      От REDAREW
      Я то расширения удалил, но осадочек остался.

      Дополню, в браузере оперы gx ничего такого нету
    • Богдан Крапко
      От Богдан Крапко
      DNS адрес при перезагрузке ПК прописывается статический 127.0.0.1 сам по себе
    • apq
      От apq
      Итак новогодний подарок от разработчиков Opera вышел в свет. браузер теперь имеет переносную версию, настройки инсталятора и еще множество улучшений.
      подробная статья об этом на Хабре
      кстати, инсталлятор теперь весит всего 6.9 мб
      скачать Opera 11
×
×
  • Создать...