AnotherOneVadim 0 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 После установки программы, которую не стоило устанавливать, поиск в гугле заменился поиском cse.google.com и стала вылезать рекламаная страница. Остальные последствия необдуманных действий удалось ликвидировать Kaspersky Virus Removal Tool и Dr.Web CureIt, а вот эти две возвращаются. CollectionLog-2017.02.27-19.49.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Video and Audio Plugin UBar Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFileF('c:\users\user\appdata\local\filterstart', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\WINDOWS\TEMP\gDEF6.tmp', ''); QuarantineFile('C:\Users\User\AppData\Local\FilterStart\FilterStart.exe', ''); QuarantineFile('C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll', ''); ExecuteFile('schtasks.exe', '/delete /TN "System Account Manager" /F', 0, 15000, true); DeleteFile('C:\WINDOWS\TEMP\gDEF6.tmp', '32'); DeleteFile('C:\Users\User\AppData\Local\FilterStart\FilterStart.exe', '32'); DeleteFile('C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll'); DeleteFileMask('c:\users\user\appdata\local\filterstart', '*', true); DeleteDirectory('c:\users\user\appdata\local\filterstart'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
AnotherOneVadim 0 Опубликовано 27 февраля, 2017 Автор Share Опубликовано 27 февраля, 2017 (изменено) Извиняюсь, сейчас еще раз сделаю, неверно понял инструкцию. Изменено 27 февраля, 2017 пользователем AnotherOneVadim Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
AnotherOneVadim 0 Опубликовано 27 февраля, 2017 Автор Share Опубликовано 27 февраля, 2017 Готово. Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 (изменено) Включите Восстановление системы. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION GroupPolicyScripts\User: Restriction <======= ATTENTION CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=820326 CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=820326" 2017-02-27 13:29 - 2017-02-27 13:29 - 00016814 _____ C:\WINDOWS\System32\Tasks\notepad++ 2017-02-27 12:43 - 2017-02-27 12:43 - 00016824 _____ C:\WINDOWS\System32\Tasks\systemsettings 2017-02-27 12:10 - 2017-02-27 12:10 - 00016804 _____ C:\WINDOWS\System32\Tasks\~nsu 2017-02-27 12:09 - 2017-02-27 12:09 - 00016814 _____ C:\WINDOWS\System32\Tasks\g4817-tmp 2017-02-27 12:09 - 2017-02-27 12:09 - 00016812 _____ C:\WINDOWS\System32\Tasks\is-fjp49 2017-02-27 12:09 - 2017-02-27 12:09 - 00016812 _____ C:\WINDOWS\System32\Tasks\_iu14d2n 2017-02-27 12:09 - 2017-02-27 12:09 - 00000000 ____D C:\WINDOWS\System32\Tasks\is-fjp49-tmp 2017-02-27 12:09 - 2017-02-27 12:09 - 00000000 ____D C:\WINDOWS\System32\Tasks\~nsu-tmp 2017-02-27 12:08 - 2017-02-27 12:09 - 00000000 ____D C:\Users\Все пользователи\ProductData 2017-02-27 12:08 - 2017-02-27 12:09 - 00000000 ____D C:\ProgramData\ProductData 2017-02-27 12:08 - 2017-02-27 12:08 - 00027552 _____ (REALiX(tm)) C:\WINDOWS\SysWOW64\Drivers\HWiNFO64A.SYS 2017-02-27 12:08 - 2017-02-27 12:08 - 00016836 _____ C:\WINDOWS\System32\Tasks\55f9163w4315G813-dll 2017-02-27 12:08 - 2017-02-27 12:08 - 00003018 _____ C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (User) 2017-02-27 12:08 - 2017-02-27 12:08 - 00000000 ____D C:\WINDOWS\IObit 2017-02-27 12:08 - 2017-02-27 12:08 - 00000000 ____D C:\Users\Все пользователи\IObit 2017-02-27 12:08 - 2017-02-27 12:08 - 00000000 ____D C:\Users\User\AppData\LocalLow\IObit 2017-02-27 12:08 - 2017-02-27 12:08 - 00000000 ____D C:\ProgramData\IObit 2017-02-27 12:07 - 2017-02-27 20:55 - 00000000 ___HD C:\Users\Все пользователи\55f9163w4315G813 2017-02-27 12:07 - 2017-02-27 20:55 - 00000000 ___HD C:\ProgramData\55f9163w4315G813 Task: {05EF4C2E-1AB0-46C0-8DA0-E3ECCF50C609} - System32\Tasks\55f9163w4315G813-dll => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {06635D1B-2B17-4A1D-B1B1-DE08DECFB977} - System32\Tasks\notepad++ => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {197AE0E1-DB8D-4220-AC34-2E60E6D174A6} - System32\Tasks\_iu14d2n => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {2B29C193-15B4-43D5-A061-531CD9D360EE} - System32\Tasks\checkbrowserslnk\check browsers lnk => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {32A3C49F-D588-4958-8B47-D634ECBC078B} - System32\Tasks\systemsettings => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {38E89B8B-4FDA-4D5E-B946-5082F80594F1} - System32\Tasks\gum6731-tmp\googleupdate => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs <==== ATTENTION Task: {3E8DB372-E58A-48FA-8667-85CF9DCCED8E} - System32\Tasks\avz\avz => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {4356A89D-E5B1-4054-9D55-6B608FEDEDB1} - System32\Tasks\is-fjp49-tmp\setuphlp => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {43C0F6E8-FFD7-468D-92A9-F95239653914} - System32\Tasks\gum6731 => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {467CDD6D-AC1E-4B42-B2B5-24F8C0C5FF04} - System32\Tasks\rsit\user_rsitx64 => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {55704877-2F9A-4720-B20F-21AE40AC45BB} - System32\Tasks\~nsu-tmp\au_ => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {5A341C06-B391-4669-BC8E-BA5A629DDCB0} - System32\Tasks\hijackthis\hijackthis => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {5B50D05D-7D29-471B-8633-E5C75938C4DC} - System32\Tasks\is-fjp49 => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {5E245F10-2FFB-4182-961A-BA9FD549EBE8} - System32\Tasks\g4817-tmp => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {7818E9FC-D7CE-4AE0-8862-12E6F36E355F} - System32\Tasks\887df65e-88ed-4cd0-9477-d9e09e434f97\mpsigstub => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {785457E2-D12B-4305-ADFA-152F90C2C2B2} - System32\Tasks\54562bbf-40651e6c-3ed3e446-a0ffb65a\akw5qwdtqmtg7k => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {78A82123-AB61-499E-9947-6492E00FB268} - System32\Tasks\gum6731-tmp\googleupdatesetup => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs <==== ATTENTION Task: {8E909D1B-238C-4916-A183-557F00364C13} - System32\Tasks\installer => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {9CCFF38E-F88D-4C40-A412-7A1E100BB556} - System32\Tasks\gastproffite => C:\Users\User\AppData\Roaming\gastproffite\python\pythonw.exe [2017-01-25] () Task: {B1421970-E689-4461-9DE1-ED5125349FF8} - System32\Tasks\55f9163w4315G813 => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs <==== ATTENTION Task: {C3766222-8931-441C-A69C-73F66E0CE036} - System32\Tasks\~nsu => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {D13C45B0-513F-4DB7-836C-5E9E9F269790} - System32\Tasks\Driver Booster SkipUAC (User) => C:\Program Files (x86)\IObit\Driver Booster\4.2.0\DriverBooster.exe Task: {D7A50A40-8656-4E01-8D7C-0C47B00F7580} - System32\Tasks\radeonsettings => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {D8D21D7A-8F48-40AE-B712-D70E26A4FCD5} - System32\Tasks\cr_04602-tmp\setup => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {DCEAD7E8-692C-41A3-83CD-264166A7500B} - System32\Tasks\adguard\setup => Rundll32.exe "C:\ProgramData\55f9163w4315G813\55f9163w4315G813.dll",fwGVURDKs Task: {F22BB5FA-CDA6-4E65-8DC9-EE2A294E884D} - System32\Tasks\gastproffite2 => C:\Users\User\AppData\Roaming\gastproffite\python\pythonw.exe [2017-01-25] () AlternateDataStreams: C:\Users\User\Cookies:AQ27bFhFljOFytJ8iSIvOygv [2044] AlternateDataStreams: C:\Users\User\Local Settings:m2wBFuesedwJRrgVe1xySpGy [2506] AlternateDataStreams: C:\Users\User\AppData\Local:m2wBFuesedwJRrgVe1xySpGy [2506] AlternateDataStreams: C:\Users\User\AppData\Local\Application Data:m2wBFuesedwJRrgVe1xySpGy [2506] FirewallRules: [{35CE7EDF-16ED-4BFE-ACFA-ECB0D44513B6}] => (Allow) C:\Users\User\AppData\Local\Amigo\Application\amigo.exe EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Изменено 27 февраля, 2017 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
AnotherOneVadim 0 Опубликовано 27 февраля, 2017 Автор Share Опубликовано 27 февраля, 2017 Готово Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
AnotherOneVadim 0 Опубликовано 27 февраля, 2017 Автор Share Опубликовано 27 февраля, 2017 При запуске компа вылезает окно эксплорера с рекламой. раньше она вылезала в хроме, основном моем браузере. А проблема с поиском решена, спасибо. Цитата Ссылка на сообщение Поделиться на другие сайты
AnotherOneVadim 0 Опубликовано 28 февраля, 2017 Автор Share Опубликовано 28 февраля, 2017 Получится победить рекламу? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 февраля, 2017 Share Опубликовано 28 февраля, 2017 Соберите и прикрепите свежий CollectionLog Автологером. Цитата Ссылка на сообщение Поделиться на другие сайты
AnotherOneVadim 0 Опубликовано 28 февраля, 2017 Автор Share Опубликовано 28 февраля, 2017 Вот CollectionLog-2017.02.28-14.23.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 февраля, 2017 Share Опубликовано 28 февраля, 2017 "Пофиксите" в HijackThis: O4 - HKCU\..\Run: [gastproffite] "C:\Users\User\AppData\Roaming\gastproffite\python\pythonw.exe" "C:\Users\User\AppData\Roaming\gastproffite\ml.py" --APPNAME="gastproffite" O4 - HKCU\..\StartupApproved\Run: [mailruhomesearch] "C:\Users\User\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred (2016/09/08) Цитата Ссылка на сообщение Поделиться на другие сайты
AnotherOneVadim 0 Опубликовано 28 февраля, 2017 Автор Share Опубликовано 28 февраля, 2017 Блин... все равно вылезает. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 февраля, 2017 Share Опубликовано 28 февраля, 2017 В других браузерах не вылезает? Например, в IE? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.