В Opera и Mozilla прописывается go.mail.ru/search

[denisfox1971 0]

Доброго времени суток!

История вкратце.

По ссылке АшТТП://cheat-engine-rus.ru/cheat-engine-6-5.html скачал и запустил cheat_engine_6_3.exe (!ОСТОРОЖНО!, экзешник закачивает вирусы).

Через несколько секунд на компе у меня был установлен "добрый" десяток всякого мусора типа хранителей, мейлов и пр.

Пришлось оперативно погрохать всё с помощью "Uninstall Tool".

Но!  Главная проблема осталась.

В  Opera и Mozilla, если что-то набрать в любом поисковике, поисковик через сек. 5 меняется на go.mail.ru/search.

Пробовал множество утилит (Malwarebytes Anti-Malware, DrWeb, AVZ). Бесполезно. Утилиты нашли несколько других "шпионов".

Но проблема с go.mail.ru/search осталась.

 

Теперь adwcleaner_5.036. Он находит и уничтожает следующее:

[-] Папка Удалено : C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\vkncp5bt.default\extensions\helper@helper
[-] Папка Удалено : C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\ziift7t0.default-1456338773664\extensions\helper@helper
[-] Папка Удалено : C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe

Далее перегрузка ПК. Минут пять Opera и Mozilla после чистки и перегрузки работают нормально. Потом они самопроизвольно очень быстро закрываются и открываются. И....   go.mail.ru/search опять заменил собой все поисковики.

Запускаем снова adwcleaner_5.036. Снова находит три ветки.... и так можно бесконечно по кругу. Проблема остаётся. Что-то вносит изменения в браузеры.

 

Перерыл весь и-нет. Кроме примитивных советов ничего не нашёл.

Что делать?

Помогите пожалуйста.

БОЛЬШОЕ СПАСИБО!

Жду директив.

CollectionLog-2016.02.24-23.14.zip

Изменено 24 февраля, 2016 пользователем denisfox1971

[thyrex 1 468]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[denisfox1971 0]

Прошу прощения. Я исправился. Архив логов прикрепил. Спасибо.

[thyrex 1 468]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Video\mailtop.exe','');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Video\mailtop.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft Windows Video','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[denisfox1971 0]

Приветствую.

=========================================================================================

Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том,

какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   
mailtop.exe
Получен неизвестный файл, он будет передан в Вирусную Лабораторию.
С уважением, Лаборатория Касперского

KLAN-3818927742

=========================================================================================

Всё сделал, как доктор прописал.

Проблема вроде исчезла.

Благодарю!

CollectionLog-2016.02.25-19.24.zip

Изменено 25 февраля, 2016 пользователем denisfox1971

[thyrex 1 468]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[denisfox1971 0]

Выполнено.

FRST_Log.zip

[thyrex 1 468]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
 Toolbar: HKU\S-1-5-21-3255329751-522976669-3934168985-1000 -> No Name - {445451B9-BA49-4FB2-878B-F9448338E641} -  No File
Toolbar: HKU\S-1-5-21-3255329751-522976669-3934168985-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
2016-02-23 17:35 - 2016-02-23 17:35 - 00000000 ____D C:\Users\User\AppData\Local\Hostinstaller
2016-02-23 17:34 - 2016-02-23 17:34 - 00000191 _____ C:\Users\User\Desktop\Искать в Интернете.url
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
Task: {9B8BF885-623D-4C48-B19F-6A6F82E4080F} - \Microsoft Windows Video -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[denisfox1971 0]

Приношу извинения за задержку.

Fixlog.txt

[thyrex 1 468]

Проблема решена?

[denisfox1971 0]

Проблема решена?

Благодарю !

Проблема решена оперативно, профессионально.

Закрываю эту тему.

[denisfox1971 0]

Доброго времени суток!

Опять пришлось обратиться к Вам за помощью.

Прошу извинить за беспокойство.

Не стал плодить новую тему. Решил попытать счастья в этой, старой.

Итак.

Всё началось с того, что я не посмотрел на рассширение скаченного файла. Вместо торрент-файла оказался exe-шник.

Банально. Согласен. Торопился. И на старуху бывает проруха.

После этого и начались мои неприятности. Как говориться: "Что в этой ситуации могло пойти ТАК?".

На рабочий стол периодически высыпают всякие чужие ярлыки-ссылки.

Иногда браузеры сами-собой закрываются.

 

"Kaspersky Virus Removal Tool 2015" ничего подозрительного не обнаружил.

"Dr.Web CureIt!" - тоже, к сожалению, оказалась слепой.

"AVZ" тоже результатов не дал.

 

 

"adwcleaner_5.119" при каждом запуске находит и тщетно удаляет следующее: 

Задание Найдено : Microsoft\SafeBrowser

Задание Найдено : Microsoft\Windows\extsetup

Задание Найдено : Microsoft\Windows\SafeBrowser

Задание Найдено : Microsoft\extsetup

 

Ключ Найдено : HKCU\Software\Mobogenie3

Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ASPackage

Ключ Найдено : HKU\S-1-5-21-1191927197-678926858-1557366980-1000\Software\Mobogenie3

 

Новая закладка Opera теперь начинается с http://searchstart.ru/?utm_source=extension&utm_medium=ext

 

 

Компьютер стал заметно притормаживать в работе.

Помогите, пожалуйста, избавиться от инфекции.

Благодарю.

 

 

 

CollectionLog-2016.06.14-17.05.zip

[thyrex 1 468]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Agent 007\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Users\Agent 007\AppData\Local\Adobe\PPAPI\468C3988-5F87-48BD-915C-0F8D656D3E3E\E3A6EAB4-0059-456F-92CC-BD32B96AB76E.exe','');
 DeleteFile('C:\Users\Agent 007\AppData\Local\Adobe\PPAPI\468C3988-5F87-48BD-915C-0F8D656D3E3E\E3A6EAB4-0059-456F-92CC-BD32B96AB76E.exe','32');
 DeleteFile('C:\Users\Agent 007\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','468C3988-5F87-48BD-915C-0F8D656D3E3E');
 DeleteFile('C:\Users\Agent 007\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\desktop (1).ini','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A468C3988-5F87-48BD-915C-0F8D656D3E3E','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[denisfox1971 0]

Скрипты выполнил.

"adwcleaner_5.200" ничего не находит.

 

Re: newvirus [KLAN-4451437988]

-----------------------------------------------------------------------------------------------------------------

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   

 

extsetup.exe,

E3A6EAB4-0059-456F-92CC-BD32B96AB76E.exe

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

-----------------------------------------------------------------------------------------------------------------

 

В Opera стартовая "searchstartnow.ru" которая редиректится на "http://searchstart.ru/?utm_source=extension&utm_medium=ext".

Гугл не помог мне в ручную избавиться от этой проблемы. Все советы оказались бесполезны.

CollectionLog-2016.06.15-13.01.zip

Изменено 15 июня, 2016 пользователем denisfox1971

[thyrex 1 468]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.