Проблема с запуском Chrome. Подмена поисковика. Переадресация страниц.

[Steel Rain 2]

Доброго всем времени суток.

 

Возникла следующая проблема: Chrome либо не запускается, либо вместо обычной стартовой страницы пытается открыть http://www.trotux.com/и на этом зависает. В остальных браузерах поисковая система по умолчанию сменилась на mail.ru. Вместо ytube открывается http://androidmafia.ru...

В общем беда, печаль и огорчение.

DrWEB ничего не обнаружил. KVRT что то нашел, скрин во вложении.

Помогите пожалуйста вернуть систему в начальное состояние. Заранее признателен.

 

P.S. на прошлой неделе уже обращался по аналогичному поводу, но, к сожалению, не нашлось ни у кого возможности помочь. https://forum.kasperskyclub.ru/index.php?showtopic=52587

CollectionLog-2016.11.04-11.20.zip

[Sandor 1 253]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

trotux - Uninstall

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Steel Rain\AppData\Local\Temp\new-super-ext.exe', '');
 QuarantineFile('C:\Program Files (x86)\Ludshphrack\prrcmm.dll','');
 DeleteFile('C:\Users\Steel Rain\AppData\Local\Temp\new-super-ext.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','001dae8c');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве. Изменено 4 ноября, 2016 пользователем Sandor

[Steel Rain 2]

Сделал. Chrome стал запускаться, на trotux не выкидывает.

На письмо пока ответа нет.

AdwCleanerS0.txt

[Sandor 1 253]

1.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Steel Rain 2]

AdwCleaner   почистил.

С FRST64 возникла проблемка. После запуска пишет, что обнаружена новая версия, потом выдает сообщение, что приложение обновлено и готово к использованию и снова обнаруживает обновление и т.д. по кругу.

AdwCleanerC0.txt

Изменено 4 ноября, 2016 пользователем Steel Rain

[Sandor 1 253]

На время сканирования отключите сеть.

[Steel Rain 2]

гм, вариант...

 

P.S. кстати, все сегодня началось после запроса Каспера на разрешение запуска exe-шника из 2016-11-04 09:42 - 2016-11-04 09:52 - 00000000 ____D C:\Users\Steel Rain\AppData\Local\GeoLocator, я подумал, что это обновление 2Gis...

Пришел первый ответ на письмо KLAN-5289147800

"Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 
prrcmm.dll
Получен неизвестный файл, он будет передан в Вирусную Лабораторию."

Почему то нет упоминания о new-super-ext.exe, видимо он не был добавлен в карантин.

Addition.txt

FRST.txt

Shortcut.txt

Изменено 4 ноября, 2016 пользователем Steel Rain

[Sandor 1 253]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
ShellExecuteHooks:  - {E0CB95D8-9E93-11E6-B290-64006A5CFC23} - C:\Users\Steel Rain\AppData\Roaming\Zernaiedckfering\Qonphcbat.dll No File [ ]
2016-11-04 09:44 - 2016-11-04 09:44 - 00000000 ____D C:\Users\Все пользователи\Avira
2016-11-04 09:44 - 2016-11-04 09:44 - 00000000 ____D C:\Users\Все пользователи\Avg
2016-11-04 09:44 - 2016-11-04 09:44 - 00000000 ____D C:\Users\Все пользователи\AVAST Software
2016-11-04 09:44 - 2016-11-04 09:44 - 00000000 ____D C:\ProgramData\Avira
2016-11-04 09:44 - 2016-11-04 09:44 - 00000000 ____D C:\ProgramData\Avg
2016-11-04 09:44 - 2016-11-04 09:44 - 00000000 ____D C:\ProgramData\AVAST Software
2016-11-04 09:43 - 2016-11-04 13:08 - 00000000 ____D C:\Users\Steel Rain\AppData\Roaming\Zernaiedckfering
2016-11-04 09:43 - 2016-11-04 13:08 - 00000000 ____D C:\Program Files (x86)\Ludshphrack
2016-11-04 09:43 - 2016-11-04 09:43 - 00000000 ____D C:\Users\Steel Rain\AppData\Local\Reulainggulgh
2016-11-04 09:42 - 2016-11-04 09:52 - 00000000 ____D C:\Users\Steel Rain\AppData\Local\GeoLocator
2016-10-29 12:26 - 2016-10-29 12:26 - 00000000 ____D C:\Users\Steel Rain\AppData\Roaming\ProductData
2016-10-29 12:25 - 2016-10-29 12:25 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2016-10-29 12:25 - 2016-10-29 12:25 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-10-29 12:25 - 2016-10-29 12:25 - 00000000 ____D C:\Users\Steel Rain\AppData\Roaming\Apple Computer
2016-10-29 12:25 - 2016-10-29 12:25 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-10-29 12:24 - 2016-11-04 09:43 - 00000000 ____D C:\Program Files (x86)\IObit
2016-10-29 12:24 - 2016-11-04 09:43 - 00000000 ____D C:\Program Files (x86)\adBanner
2016-10-29 12:24 - 2016-11-04 09:42 - 00000000 ____D C:\Users\Steel Rain\SoundProvider
2016-10-29 12:24 - 2016-10-29 12:49 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-10-29 12:24 - 2016-10-29 12:49 - 00000000 ____D C:\ProgramData\ProductData
2016-10-29 12:24 - 2016-10-29 12:39 - 00000000 ____D C:\Users\Steel Rain\AppData\Roaming\IObit
2016-10-29 12:24 - 2016-10-29 12:31 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-10-29 12:24 - 2016-10-29 12:31 - 00000000 ____D C:\ProgramData\IObit
2016-10-29 12:24 - 2016-10-29 12:25 - 00000000 ____D C:\Users\Steel Rain\AppData\LocalLow\IObit
2016-10-29 12:24 - 2016-10-29 12:24 - 00027552 _____ (REALiX(tm)) C:\Windows\SysWOW64\Drivers\HWiNFO64A.SYS
2016-10-29 12:24 - 2016-10-29 12:24 - 00002890 _____ C:\Windows\System32\Tasks\Driver Booster SkipUAC (Steel Rain)
2016-10-29 12:24 - 2016-10-29 12:24 - 00000000 ____D C:\Windows\IObit
Task: {0964E40B-0638-46C1-9B30-A8DE49246238} - System32\Tasks\Driver Booster SkipUAC (Steel Rain) => C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DriverBooster.exe
Task: {3919CE2C-4D6F-42E4-99F7-8DDD83401D32} - System32\Tasks\Microsoft\Windows\Multimedia\SoundProvider => C:\Users\Steel Rain\SoundProvider\SoundProvider.exe [2016-10-28] ()
AlternateDataStreams: C:\Windows\win.ini:s1 [4]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Steel Rain 2]

готово

Fixlog.txt

[Sandor 1 253]

Что сейчас с запуском?

[Steel Rain 2]

Все браузеры запускаются, вроде, без проблем.

Смущает наличие в настройках поисковых систем "@mail.ru" и "Поиск@mail.ru". Что то из этого явно лишнее...

На всякий случай новые логи, не осталось ли каких хвостов? Заранее признателен.

CollectionLog-2016.11.04-16.23.zip

[Sandor 1 253]

Смущает наличие в настройках поисковых систем "@mail.ru" и "Поиск@mail.ru"

Если можете вручную изменить, измените.

 

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Steel Rain 2]

Сделал

SecurityCheck.txt

[Sandor 1 253]

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.28 v.7.28.101 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.42606 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 111 v.8.0.1110.14 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 12 ActiveX v.12.0.0.77 Внимание! Скачать обновления

Adobe Flash Player 23 NPAPI v.23.0.0.162 Внимание! Скачать обновления

Adobe Acrobat XI Pro v.11.0.17 Внимание! Скачать обновления

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО