При открытии любой новой вкладки открывается ютуб

[Sanche-ZZ]

  Добрый вечер!

с домашним компом мне уже помогли тут, (большое спасибо), дошла очередь и до рабочего.
завелся какой то зверёк, который при нажатии на любую ссылку или открытие новой вкладки- автоматом открывает ютуб с ютубовским поиском.
комп старенький, всё на доном диске одним разделом, форматировать категорически не вариант.
пожалуйста помогите!!

CollectionLog-2016.12.14-18.01.zip

Изменено 14 декабря, 2016 пользователем Sanche-ZZ

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\documents and settings\user\application data\pbot', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Documents and Settings\user\Application Data\PBot\launchall.py', '');
 DeleteFile('C:\Documents and Settings\user\Application Data\PBot\launchall.py', '32');
 DeleteFileMask('c:\documents and settings\user\application data\pbot', '*', true);
 DeleteDirectory('c:\documents and settings\user\application data\pbot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kjxcxrsqmx');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 14 декабря, 2016 пользователем Sandor

[Sanche-ZZ]

пожалуйста

 

ответ от касперского:
 

 

 

помощь в удалении вирусов [KLAN-5521648834]

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
localconfig.json
ext_filter.js.sha1
iframe.js
iframe.js.sha1
inject_li.js
inject_li.js.sha1
replace_referer.js
replace_referer.js.sha1
ret.js.sha1
python.exe
python34.dll
pythonw.exe
fetch_macholib.bat

В файлах найдены вредоносные программы
ext_filter.js - Trojan.JS.PBot.a
launchall.py - Trojan.Python.PBot.a

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

 

ClearLNK-15.12.2016_11-59.log

CollectionLog-2016.12.15-12.06.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Sanche-ZZ]

готово

FRST.txt

Shortcut.txt

Addition.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
FF DefaultSearchEngine: C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=818407
FF Keyword.URL: C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B7BE3377C-4B8C-4D6B-A256-0BFC5E6C0461%7D&gp=811014
FF Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-12-01]
FF Extension: (Поиск@Mail.Ru) - C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-12-01]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-01]
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=818406","hxxp://www.drive2.ru/","hxxp://mail.ru/cnt/7993/"
OPR StartupUrls: "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=5AD0CD3F3F0D12C54458247D85253655&utm_d=20161201"
OPR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Documents and Settings\user\Application Data\Opera Software\Opera Stable\Extensions\khmiehpkiedpkpifcpeplghoibfhhigo [2016-12-01]
2016-12-01 11:16 - 2016-12-01 11:16 - 00000000 ____D C:\Documents and Settings\user\Local Settings\Application Data\Войны престолов
2016-12-01 11:12 - 2016-12-15 11:40 - 00000000 ____D C:\Documents and Settings\user\Application Data\PBot
2016-12-01 11:12 - 2016-12-01 11:12 - 00000000 ____D C:\Documents and Settings\user\Local Settings\Application Data\Вoйти в Интeрнет
2016-12-01 11:11 - 2016-12-06 11:12 - 00000000 ____D C:\Program Files\Youtube AdBlock
2016-12-01 11:11 - 2016-12-01 15:35 - 00000000 ____D C:\Documents and Settings\user\Local Settings\Application Data\Unity
2016-12-01 11:10 - 2016-12-02 14:38 - 00000000 ____D C:\Documents and Settings\user\Local Settings\Application Data\fupdate
2016-12-01 11:10 - 2016-12-01 15:34 - 00000000 ____D C:\Documents and Settings\user\Local Settings\Application Data\Host Service
2016-12-01 11:09 - 2016-12-02 14:39 - 00000000 ____D C:\Documents and Settings\user\Local Settings\Application Data\SearchGo
2016-12-01 11:08 - 2016-12-02 14:37 - 00000000 ____D C:\Documents and Settings\user\Local Settings\Application Data\FileSystemDriver
2016-12-01 11:06 - 2016-12-01 11:06 - 00000000 ____D C:\Documents and Settings\user\Local Settings\Application Data\Поиcк в Интeрнете
2016-12-01 11:04 - 2016-12-01 11:04 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Mail.Ru
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Sanche-ZZ]

done

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[Sanche-ZZ]

Что сейчас с проблемой?

 

пока всё отлично, проблема исчезла!

мониторю. если что то изменится опять в худшую сторону - сразу напишу

спасибо за помощь!

[Sandor]

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Sanche-ZZ]

готово

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз

Internet Explorer 7.0.5730.13 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Автоматическое обновление отключено

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.01 (32-разрядная) v.4.01 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.8.42576 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AppleProduction ] ---------------------------

QuickTime v.7.69.80.9 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 20 ActiveX v.20.0.0.306 Внимание! Скачать обновления

Adobe Flash Player 20 PPAPI v.20.0.0.306 Внимание! Скачать обновления

Adobe Reader X (10.1.6) - Russian v.10.1.6 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.

------------------------------- [ Browser ] -------------------------------

Google Chrome v.49.0.2623.112 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

Opera Stable 36.0.2130.80 v.36.0.2130.80 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

---------------------------- [ UnwantedApps ] -----------------------------

NetworkSafety App version 2.18 v.2.18 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

VKMusic 4 v.4.57 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

Youtube AdBlock v.2.0.0.79 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

 

 

Программы из секции [ UnwantedApps ] пробуйте удалить стандартно, через Панель управления. Результат сообщите.

[Sanche-ZZ]

всё сделал как написано
полёт нормальный !

[Sandor]

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[Sanche-ZZ]

хорошо