Перейти к содержанию
Правила раздела

Вирус-редирект на поисковую систему mail.ru

Longcat

От Longcat
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Longcat Новичок

Longcat

Опубликовано
Опубликовано

Здравствуйте. Извиняюсь за сотую такую же тему на форуме, но мне нужна ваша помощь. В Опере и Хроме присутствует неудаляемый плагин Fast Search. Пойман через экзешник. Меняет поисковую систему google на мейл.ру или рамблер, точней редиректит на неё, даже если вводить запрос в Google.ru.
Система проверялась malware-утилитами, включая adwcleaner, dr web cureit, ccleaner. Ничего не помогло. После удаления экстеншна вручную после перезапуска браузера он появляется снова. Система Win10. Заранее благодарен.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Longcat Новичок

Longcat

Опубликовано
  • Автор
Опубликовано

Сделал. Что характерно, расширение для Оперы не исчезло, хоть вирус нашло среди расширений фаерфокса.
Ухожу на работу, дальнейшие действия могу проводить вечером.

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Extension: (Fast search) - C:\Users\Longcat\AppData\Roaming\Mozilla\Firefox\Profiles\a2nqdik2.default\Extensions\amcontextmenu@loucypher [2016-12-10]
CHR Extension: (Fast search) - C:\Users\Longcat\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-09]
OPR StartupUrls: "hxxp://mail.ru/cnt/10445"
OPR Extension: (Поиск по картинке) - C:\Users\Longcat\AppData\Roaming\Opera Software\Opera Stable\Extensions\kfdbajfanfndkjmjobpcnkjaljlipocb [2016-12-09]
OPR Extension: (Fast search) - C:\Users\Longcat\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-09]
S2 CppWindowsService; C:\Program Files (x86)\filter\2\CppWindowsService.exe [X]
2016-12-09 22:10 - 2016-12-09 22:10 - 00000008 __RSH C:\Users\Все пользователи\ntuser.pol
2016-12-09 22:10 - 2016-12-09 22:10 - 00000008 __RSH C:\Users\Longcat\ntuser.pol
2016-12-09 22:10 - 2016-12-09 22:10 - 00000008 __RSH C:\ProgramData\ntuser.pol
2016-11-15 20:53 - 2016-11-15 20:53 - 00000000 ____D C:\Users\Longcat\AppData\Local\Tempzxpsign02186bba1929e12d
2016-11-15 20:48 - 2016-11-15 20:48 - 00000000 ____D C:\Users\Longcat\AppData\Local\Tempzxpsign65e8bd3644fe5e2a
2016-11-15 20:40 - 2016-11-15 20:40 - 00000000 ____D C:\Users\Longcat\AppData\Local\Tempzxpsigne215ee4cd960836d
EmptyTemp:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

FF NetworkProxy: Mozilla\Firefox\Profiles\a2nqdik2.default -> ftp", "127.0.0.1"

FF NetworkProxy: Mozilla\Firefox\Profiles\a2nqdik2.default -> ftp_port", 4444

FF NetworkProxy: Mozilla\Firefox\Profiles\a2nqdik2.default -> http", "127.0.0.1"

FF NetworkProxy: Mozilla\Firefox\Profiles\a2nqdik2.default -> http_port", 4444

FF NetworkProxy: Mozilla\Firefox\Profiles\a2nqdik2.default -> socks", "127.0.0.1"

FF NetworkProxy: Mozilla\Firefox\Profiles\a2nqdik2.default -> socks_port", 4444

FF NetworkProxy: Mozilla\Firefox\Profiles\a2nqdik2.default -> ssl", "127.0.0.1"

FF NetworkProxy: Mozilla\Firefox\Profiles\a2nqdik2.default -> ssl_port", 4444

FF NetworkProxy: Mozilla\Firefox\Profiles\a2nqdik2.default -> type", 1

Это ваши сетевые настройки?
Ссылка на комментарий
Поделиться на другие сайты
Longcat Новичок

Longcat

Опубликовано
  • Автор
Опубликовано (изменено)

Помогло! После введения скрипта в фикслист злосчастное расширение хоть и осталось висеть в списке экстеншнов, но после удаления из списка больше не появлялось. Логи прикладываю к посту. Огромное человеческое спасибо!
P.S.: да, настройки прокси для фаерфокса мои собственные.

Fixlog.txt

Изменено пользователем Longcat
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

  • Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
  • Запустите DelFix

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  • В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
  • Нажмите на кнопку Run
Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Советы и рекомендации после лечения компьютера

Ссылка на комментарий
Поделиться на другие сайты
Longcat Новичок

Longcat

Опубликовано
  • Автор
Опубликовано (изменено)

AVZ после выполнения скрипта порекомендовал включить контроль учётных записей и всё.
После лечения возникла другая проблема: кружочек загрузки возле стрелки мыши не исчезает. Даже после перезагрузки. Из автозагрузки удалил всё - проблема всё равно осталась. Лампочка hdd led при этом не горит.
Проблема решилась добавлением Internet explorer в исключения DEP (ибо DEP ругался на эксплорер).

Изменено пользователем Longcat
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Freudis
      Вирусы под систем файлами
      От Freudis
      После недавно установленного zip файла компьютер начал тупить, нагреваться и шуметь. Данный файл не запрашивал права администратора да и сам файл я не запускал. Проверял компьютер куреитами, ничего не нашли. Один касперский обнаружил 1 файл, но этот файл был под именем систем файла, точный файл не знаю, но в процессе лечения после перезагрузки я решил открыть диспетчер задач, выявило ошибку "нет доступа или администратор запретил доступ". Решил запустить хоть гугл, та же ошибка. Перевзловнованный выдернул из розетки включатель компьютера, доступ ко всему вернулся, касперский ничего не сделал, но после этого компьютер начал нагреваться и в один момент очень сильно зашумел, я начал подозревать что есть вирусы под именем системных файлов, ведь зная касперский, лишь он нашёл 1 вирус и именно при его удалении с перезагрузкой доступ пропал к приложениям. Перерыл интернет, ноль информации. Но и заканчивать работу каких нибудь svchost.exe или подобное я очень боюсь. Решил обратиться за помощью к единственному кто нашёл этот вирус. Помогите, пожалуйста.
      У меня windows 10
       
    • civiero
      Вирус или нет?
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • lomosow
      NET:MALWARE.URL Вирус
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • Mr. Denp
      Вирусы: HEUR:Trojan.Multi.GenBadur.genw и HEUR:Trojan.Script.Generic
      От Mr. Denp
      Добрый день!
       
      Уже как несколько месяцев сижу с пойманными вирусами. Первый появился: HEUR:Trojan.Multi.GenBadur.genw - Касперский пытается устранить, но безуспешно.
      Процесс лечения заканчивается следующей ошибкой:

       
      Происходит перезагрузка компьютера, затем очередная автоматическая проверка компьютера Касперским, и троян снова появляется с предложением удаления.
      И так по кругу. 
      Вирус находится в системной памяти.
       
      Второй - HEUR:Trojan.Script.Generic появился сравнительно недавно, после удаления Касперским, он также появляется заново.
       
      Большая просьба помочь решить проблему. Насколько это опасно? Можно ли что-то сделать?
      Склонялся к варианту переустановки винды, но потеря файлов и головная боль с повторной установкой всего напрягает.
       
      Винда официальная. Единственная причины возникновения, которая приходит на ум - это торрент.
       
      Заранее благодарен!
       
×
×
  • Создать...