cse.google.com плюс реклама

[AnotherOneVadim]

После установки программы, которую не стоило устанавливать, поиск в гугле заменился поиском cse.google.com и стала вылезать рекламаная страница. Остальные последствия необдуманных действий удалось ликвидировать Kaspersky Virus Removal Tool и Dr.Web CureIt, а вот эти две возвращаются.

CollectionLog-2017.02.27-19.49.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Video and Audio Plugin UBar

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\user\appdata\local\filterstart', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\WINDOWS\TEMP\gDEF6.tmp', '');
 QuarantineFile('C:\Users\User\AppData\Local\FilterStart\FilterStart.exe', '');
 QuarantineFile('C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll', '');
 ExecuteFile('schtasks.exe', '/delete /TN "System Account Manager" /F', 0, 15000, true);
 DeleteFile('C:\WINDOWS\TEMP\gDEF6.tmp', '32');
 DeleteFile('C:\Users\User\AppData\Local\FilterStart\FilterStart.exe', '32');
 DeleteFile('C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll');
 DeleteFileMask('c:\users\user\appdata\local\filterstart', '*', true);
 DeleteDirectory('c:\users\user\appdata\local\filterstart');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[AnotherOneVadim]

Извиняюсь, сейчас еще раз сделаю, неверно понял инструкцию.

Изменено 27 февраля, 2017 пользователем AnotherOneVadim

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[AnotherOneVadim]

Готово.

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=820326
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=820326"
2017-02-27 13:29 - 2017-02-27 13:29 - 00016814 _____ C:\WINDOWS\System32\Tasks\notepad++
2017-02-27 12:43 - 2017-02-27 12:43 - 00016824 _____ C:\WINDOWS\System32\Tasks\systemsettings
2017-02-27 12:10 - 2017-02-27 12:10 - 00016804 _____ C:\WINDOWS\System32\Tasks\~nsu
2017-02-27 12:09 - 2017-02-27 12:09 - 00016814 _____ C:\WINDOWS\System32\Tasks\g4817-tmp
2017-02-27 12:09 - 2017-02-27 12:09 - 00016812 _____ C:\WINDOWS\System32\Tasks\is-fjp49
2017-02-27 12:09 - 2017-02-27 12:09 - 00016812 _____ C:\WINDOWS\System32\Tasks\_iu14d2n
2017-02-27 12:09 - 2017-02-27 12:09 - 00000000 ____D C:\WINDOWS\System32\Tasks\is-fjp49-tmp
2017-02-27 12:09 - 2017-02-27 12:09 - 00000000 ____D C:\WINDOWS\System32\Tasks\~nsu-tmp
2017-02-27 12:08 - 2017-02-27 12:09 - 00000000 ____D C:\Users\Все пользователи\ProductData
2017-02-27 12:08 - 2017-02-27 12:09 - 00000000 ____D C:\ProgramData\ProductData
2017-02-27 12:08 - 2017-02-27 12:08 - 00027552 _____ (REALiX(tm)) C:\WINDOWS\SysWOW64\Drivers\HWiNFO64A.SYS
2017-02-27 12:08 - 2017-02-27 12:08 - 00016836 _____ C:\WINDOWS\System32\Tasks\55f9163w4315G813-dll
2017-02-27 12:08 - 2017-02-27 12:08 - 00003018 _____ C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (User)
2017-02-27 12:08 - 2017-02-27 12:08 - 00000000 ____D C:\WINDOWS\IObit
2017-02-27 12:08 - 2017-02-27 12:08 - 00000000 ____D C:\Users\Все пользователи\IObit
2017-02-27 12:08 - 2017-02-27 12:08 - 00000000 ____D C:\Users\User\AppData\LocalLow\IObit
2017-02-27 12:08 - 2017-02-27 12:08 - 00000000 ____D C:\ProgramData\IObit
2017-02-27 12:07 - 2017-02-27 20:55 - 00000000 ___HD C:\Users\Все пользователи\55f9163w4315G813
2017-02-27 12:07 - 2017-02-27 20:55 - 00000000 ___HD C:\ProgramData\55f9163w4315G813
Task: {05EF4C2E-1AB0-46C0-8DA0-E3ECCF50C609} - System32\Tasks\55f9163w4315G813-dll => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {06635D1B-2B17-4A1D-B1B1-DE08DECFB977} - System32\Tasks\notepad++ => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {197AE0E1-DB8D-4220-AC34-2E60E6D174A6} - System32\Tasks\_iu14d2n => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {2B29C193-15B4-43D5-A061-531CD9D360EE} - System32\Tasks\checkbrowserslnk\check browsers lnk => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {32A3C49F-D588-4958-8B47-D634ECBC078B} - System32\Tasks\systemsettings => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {38E89B8B-4FDA-4D5E-B946-5082F80594F1} - System32\Tasks\gum6731-tmp\googleupdate => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs <==== ATTENTION
Task: {3E8DB372-E58A-48FA-8667-85CF9DCCED8E} - System32\Tasks\avz\avz => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {4356A89D-E5B1-4054-9D55-6B608FEDEDB1} - System32\Tasks\is-fjp49-tmp\setuphlp => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {43C0F6E8-FFD7-468D-92A9-F95239653914} - System32\Tasks\gum6731 => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {467CDD6D-AC1E-4B42-B2B5-24F8C0C5FF04} - System32\Tasks\rsit\user_rsitx64 => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {55704877-2F9A-4720-B20F-21AE40AC45BB} - System32\Tasks\~nsu-tmp\au_ => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {5A341C06-B391-4669-BC8E-BA5A629DDCB0} - System32\Tasks\hijackthis\hijackthis => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {5B50D05D-7D29-471B-8633-E5C75938C4DC} - System32\Tasks\is-fjp49 => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {5E245F10-2FFB-4182-961A-BA9FD549EBE8} - System32\Tasks\g4817-tmp => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {7818E9FC-D7CE-4AE0-8862-12E6F36E355F} - System32\Tasks\887df65e-88ed-4cd0-9477-d9e09e434f97\mpsigstub => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {785457E2-D12B-4305-ADFA-152F90C2C2B2} - System32\Tasks\54562bbf-40651e6c-3ed3e446-a0ffb65a\akw5qwdtqmtg7k => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {78A82123-AB61-499E-9947-6492E00FB268} - System32\Tasks\gum6731-tmp\googleupdatesetup => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs <==== ATTENTION
Task: {8E909D1B-238C-4916-A183-557F00364C13} - System32\Tasks\installer => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {9CCFF38E-F88D-4C40-A412-7A1E100BB556} - System32\Tasks\gastproffite => C:\Users\User\AppData\Roaming\gastproffite\python\pythonw.exe [2017-01-25] ()
Task: {B1421970-E689-4461-9DE1-ED5125349FF8} - System32\Tasks\55f9163w4315G813 => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs <==== ATTENTION
Task: {C3766222-8931-441C-A69C-73F66E0CE036} - System32\Tasks\~nsu => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {D13C45B0-513F-4DB7-836C-5E9E9F269790} - System32\Tasks\Driver Booster SkipUAC (User) => C:\Program Files (x86)\IObit\Driver Booster\4.2.0\DriverBooster.exe 
Task: {D7A50A40-8656-4E01-8D7C-0C47B00F7580} - System32\Tasks\radeonsettings => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {D8D21D7A-8F48-40AE-B712-D70E26A4FCD5} - System32\Tasks\cr_04602-tmp\setup => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {DCEAD7E8-692C-41A3-83CD-264166A7500B} - System32\Tasks\adguard\setup => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs
Task: {F22BB5FA-CDA6-4E65-8DC9-EE2A294E884D} - System32\Tasks\gastproffite2 => C:\Users\User\AppData\Roaming\gastproffite\python\pythonw.exe [2017-01-25] ()
AlternateDataStreams: C:\Users\User\Cookies:AQ27bFhFljOFytJ8iSIvOygv [2044]
AlternateDataStreams: C:\Users\User\Local Settings:m2wBFuesedwJRrgVe1xySpGy [2506]
AlternateDataStreams: C:\Users\User\AppData\Local:m2wBFuesedwJRrgVe1xySpGy [2506]
AlternateDataStreams: C:\Users\User\AppData\Local\Application Data:m2wBFuesedwJRrgVe1xySpGy [2506]
FirewallRules: [{35CE7EDF-16ED-4BFE-ACFA-ECB0D44513B6}] => (Allow) C:\Users\User\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 27 февраля, 2017 пользователем Sandor

[AnotherOneVadim]

Готово

Fixlog.txt

[Sandor]

Что с проблемой?

[AnotherOneVadim]

При запуске компа вылезает окно эксплорера с рекламой. раньше она вылезала в хроме, основном моем браузере. А проблема с поиском решена, спасибо.

[AnotherOneVadim]

Получится победить рекламу?

[Sandor]

Соберите и прикрепите свежий CollectionLog Автологером.

[AnotherOneVadim]

Вот

CollectionLog-2017.02.28-14.23.zip

[Sandor]

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [gastproffite] "C:\Users\User\AppData\Roaming\gastproffite\python\pythonw.exe" "C:\Users\User\AppData\Roaming\gastproffite\ml.py" --APPNAME="gastproffite"
O4 - HKCU\..\StartupApproved\Run: [mailruhomesearch] "C:\Users\User\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred (2016/09/08)

[AnotherOneVadim]

Блин... все равно вылезает.

[Sandor]

В других браузерах не вылезает? Например, в IE?