searche-engine.ru

[0xygen]

Доброго времени суток. Теперь все поисковые запросы ползут на любимый "mail.ru"

CollectionLog-2017.01.07-18.13.zip

 

 

FRST логи:

FRST.txt

Shortcut.txt

Addition.txt

 

Изменено 7 января, 2017 пользователем 0xygen

[Sandor]

Здравствуйте!

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
2017-01-06 12:38 - 2017-01-06 12:38 - 00000001 _RHOT C:\Users\Roman\AppData\Local\FilterStart
2017-01-06 12:38 - 2017-01-06 12:38 - 00000001 _RHOT C:\Program Files (x86)\ScreenUp
2017-01-06 12:38 - 2017-01-06 12:38 - 00000001 _RHOT C:\Program Files (x86)\Hiru
2017-01-06 12:36 - 2017-01-06 12:38 - 00000001 _RHOT C:\Users\Roman\AppData\LocalLow\SearchGo
2017-01-06 12:36 - 2017-01-06 12:36 - 00000001 _RHOT C:\Users\Roman\AppData\Roaming\PBot
2017-01-06 12:36 - 2017-01-06 12:36 - 00000001 _RHOT C:\Users\Roman\AppData\Local\svshost
2017-01-06 12:36 - 2017-01-06 12:36 - 00000001 _RHOT C:\Users\Roman\AppData\Local\SearchGo
2017-01-06 12:36 - 2017-01-06 12:36 - 00000001 _RHOT C:\Users\Roman\AppData\Local\fupdate
2017-01-06 12:36 - 2017-01-06 12:36 - 00000001 _RHOT C:\Program Files\UBar
2017-01-03 13:23 - 2017-01-03 13:23 - 00000000 ____D C:\Users\Roman\AppData\Local\Войны престолов
2017-01-03 13:21 - 2017-01-06 12:13 - 00000000 ____D C:\Users\Roman\AppData\LocalLow\Unity
2017-01-03 13:21 - 2017-01-06 12:13 - 00000000 ____D C:\Users\Roman\AppData\Local\Unity
2017-01-03 13:18 - 2017-01-03 13:18 - 00000322 _____ C:\Users\Roman\AppData\Local\expand.ini
FirewallRules: [{0D2273B3-FF70-486C-9405-B138646D3955}] => C:\Program Files\UBar\ubar.exe
FirewallRules: [{6A9647DF-CB06-4F97-BE81-22A16A9B49FF}] => C:\Users\Roman\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[0xygen]

Готово

Кстати, время от времени "обожаемый" вулкан грузится

Fixlog.txt

Изменено 7 января, 2017 пользователем 0xygen

[Sandor]

время от времени "обожаемый" вулкан грузится

В Хроме?

Отключите расширение

friGate Light - разблокировка сайтов

и проверьте.

Если не поможет, отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

[0xygen]

Отключил все расширения, вылетать гадость перестала. после этого включил все стандартные, опять не вылетает. прибил фригейт. поставил его заново. не вылетает

осталась проблема при запросе в поисковой строке грузится http://searche-engine.ru/?lr=213&msid=1483815090.20924.22879.24917&q=%D1%82%D0%B5%D1%81%D1%82&ref=aoy67&suggest_reqid=422749361148381312950992538698412&csg=1034%2C3448%2C4%2C5%2C0%2C0%2C0

и далее мыло.ру

Update: вчера вулкан больше не включался, а вот сегодня опять началась свистопляска. пришлось выключать фригейт

Изменено 8 января, 2017 пользователем 0xygen

[0xygen]

Хочу заметить, что проблема с подменой поисковой машины осталась

[Sandor]

пришлось выключать фригейт

Удалите его.

 

Если после этого проблема сохранится:

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробнее читайте в руководстве Как подготовить лог UVS.

[0xygen]

DESKTOP-QV7NESQ_2017-01-08_20-57-06.rar

готово

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v3.87.8 [http://dsrt.dyndns.org]
  ;Target OS: NTv10.0
  v388c
  BREG
  delref %SystemDrive%\USERS\ROMAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAPOCCLCGOGKMNCKOKDOPFMHONFMGOEK\0.9_0\GOOGLE ПРЕЗЕНТАЦИИ
  delref %SystemDrive%\USERS\ROMAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FELCAALDNBDNCCLMGDCNCOLPEBGIEJAP\1.1_0\GOOGLE ТАБЛИЦЫ
  delref %SystemDrive%\USERS\ROMAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_1\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
  delref %SystemDrive%\USERS\ROMAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AOHGHMIGHLIEIAINNEGKCIJNFILOKAKE\0.9_0\ДОКУМЕНТЫ GOOGLE
  restart
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• Подробнее читайте в этом руководстве.

[0xygen]

Спасибо, поисковая машина более не подменяется

Кстати остался вопрос по фригейту. Ставить его имеет смысл или загрузка страниц вулкана с фригейтом возобновится?

[Sandor]

Попробуйте поставить и понаблюдайте.

 

В завершение:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[0xygen]

SecurityCheck.txt

готово

[Sandor]

------------------------------- [ Windows ] -------------------------------

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления

WinRAR 5.20 (32-разрядная) v.5.20.0 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

BitTorrent v.7.9.9.43086 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО