Mail.ru в браузере

@Dimec · Регистрация: 21.12.2015

Author24 — интернет-сервис помощи студентам

В браузере установился mail.ru, одновременно удалились все установленные расширения, и не получается переустановить их.Помогите, пожалуйста.Логи во вложении.

@thyrex · 02.08.2016, 00:40

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Windows\csrss.exe');
 TerminateProcessByName('C:\Windows\svchost.exe');
 QuarantineFile('C:\ProgramData\RenewalService\Renewal.exe','');
 QuarantineFile('C:\Windows\svchost.exe','');
 QuarantineFile('C:\Windows\csrss.exe','');
 DeleteFile('C:\Windows\csrss.exe','32');
 DeleteFile('C:\Windows\svchost.exe','32');
 DeleteFile('C:\ProgramData\RenewalService\Renewal.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Application Experience\RenewalService','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

@Dimec · 02.08.2016, 06:56 **[ТС]**

Сделано.

@thyrex · 02.08.2016, 11:13

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

@Dimec · 02.08.2016, 19:12 **[ТС]**

Сделано.

@thyrex · 03.08.2016, 10:34

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
2016-08-01 20:34 - 2016-08-02 06:45 - 00000000 ____D C:\Users\Все пользователи\RenewalService
2016-08-01 20:34 - 2016-08-02 06:45 - 00000000 ____D C:\ProgramData\RenewalService
2016-08-01 20:34 - 2016-08-01 20:34 - 00073216 _____ C:\Windows\taskmgr.exe
C:\Users\Best\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Best\AppData\Local\Temp\B3B4.tmp.exe
C:\Users\Best\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
C:\Users\Best\AppData\Local\Temp\hcv_mailruhomesearch (2).exe
C:\Users\Best\AppData\Local\Temp\hcv_mailruhomesearch.exe
C:\Users\Best\AppData\Local\Temp\iobitdownloader_123.exe
C:\Users\Best\AppData\Local\Temp\mailruhomesearch.exe
C:\Users\Best\AppData\Local\Temp\MailRuUpdater.exe
Task: {6F1CE559-25F0-4FD7-B634-2E851A971DDA} - \Microsoft\Windows\Application Experience\RenewalService -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

@Dimec · 03.08.2016, 21:06 **[ТС]**

Готово.

@thyrex · 04.08.2016, 00:27

Что с проблемой?

@Dimec · 04.08.2016, 06:42 **[ТС]**

Проблема осталась, mail.ru по умолчанию выполняет поиск, и настроить расширения не получается.

@severnyj · 04.08.2016, 09:04

Удалите старые и подготовьте новые логи FRST

@Dimec · 04.08.2016, 21:23 **[ТС]**

Готово.

@thyrex · 05.08.2016, 12:15

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
Tcpip\..\Interfaces\{01016069-27EA-41CE-9359-02399996B065}: [NameServer] 98.158.96.96,91.109.206.194
Tcpip\..\Interfaces\{2032BBAD-FCC6-449E-9BBB-0ABC887D012D}: [NameServer] 98.158.96.96,91.109.206.194
Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 98.158.96.96,91.109.206.194
HKU\S-1-5-21-4134515060-1924757506-268802772-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811040
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811036"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BD1D1F496-8F3E-4ABB-9D91-A73E37A148CA%7D&gp=811037
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fcoadmpfijfcmokecmkgolhbaeclfage] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
2016-08-01 20:37 - 2016-08-01 20:40 - 00003072 _____ C:\Windows\System32\Tasks\MailRuUpdater
C:\Users\Best\AppData\Local\Temp\KB7337205667787DB3.exe
C:\Users\Best\AppData\Local\Temp\KB81EC32AA41152957.exe
C:\Users\Best\AppData\Local\Temp\KBB141FC6CC7DA2221.exe
C:\Users\Best\AppData\Local\Temp\KBB17A7CEEFF47ACAB.exe
C:\Users\Best\AppData\Local\Temp\KBB3CB44849E74EA99.exe
C:\Users\Best\AppData\Local\Temp\KBB6CF0F5CB8DF40D1.exe
C:\Users\Best\AppData\Local\Temp\KBD048BA448B9F3759.exe
C:\Users\Best\AppData\Local\Temp\libeay32.dll
C:\Users\Best\AppData\Local\Temp\msvcr120.dll
C:\Users\Best\AppData\Local\Temp\BooksDownloader.exe
Task: {6DA3CF5C-108A-4B17-A7C1-C31EFD84322B} - System32\Tasks\MailRuUpdater => C:\Users\Best\AppData\Local\Mail.Ru\MailRuUpdater.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

@Dimec · 05.08.2016, 13:20 **[ТС]**

Готово.

@thyrex · 05.08.2016, 13:23

Сделайте лог AdwCleaner

@Dimec · 05.08.2016, 18:29 **[ТС]**

Сделано.

@thyrex · 06.08.2016, 07:43

Что теперь с проблемой?

@Dimec · 06.08.2016, 08:23 **[ТС]**

mail.ru удалился, браузер работает нормально.Но расширения не восстановились,и заново установить их не получается.

@thyrex · 06.08.2016, 09:48

Переустановите браузер

@Dimec · 06.08.2016, 14:51 **[ТС]**

Помогло, проблема решена. Огромное спасибо за помощь!

@thyrex · 06.08.2016, 15:33

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

@thyrex 13104 / 7254 / 1536 Регистрация: 06.09.2009 Сообщений: 26,488
	02.08.2016, 11:13	4
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении. 6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив**) и прикрепите к сообщению. 0

@thyrex 13104 / 7254 / 1536 Регистрация: 06.09.2009 Сообщений: 26,488
	03.08.2016, 10:34	6
	1. Откройте Блокнот и скопируйте в него приведенный ниже текст Код CreateRestorePoint: 2016-08-01 20:34 - 2016-08-02 06:45 - 00000000 ____D C:\Users\Все пользователи\RenewalService 2016-08-01 20:34 - 2016-08-02 06:45 - 00000000 ____D C:\ProgramData\RenewalService 2016-08-01 20:34 - 2016-08-01 20:34 - 00073216 _____ C:\Windows\taskmgr.exe C:\Users\Best\AppData\Local\Temp\AmigoDistrib.exe C:\Users\Best\AppData\Local\Temp\B3B4.tmp.exe C:\Users\Best\AppData\Local\Temp\hcv_mailruhomesearch (1).exe C:\Users\Best\AppData\Local\Temp\hcv_mailruhomesearch (2).exe C:\Users\Best\AppData\Local\Temp\hcv_mailruhomesearch.exe C:\Users\Best\AppData\Local\Temp\iobitdownloader_123.exe C:\Users\Best\AppData\Local\Temp\mailruhomesearch.exe C:\Users\Best\AppData\Local\Temp\MailRuUpdater.exe Task: {6F1CE559-25F0-4FD7-B634-2E851A971DDA} - \Microsoft\Windows\Application Experience\RenewalService -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как 3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – *Все файлы (.)* 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. 0

@thyrex 13104 / 7254 / 1536 Регистрация: 06.09.2009 Сообщений: 26,488
	04.08.2016, 00:27	8
	Что с проблемой? 0

@Dimec 1 / 1 / 0 Регистрация: 21.12.2015 Сообщений: 70
	04.08.2016, 06:42 [ТС]	9
	Проблема осталась, mail.ru по умолчанию выполняет поиск, и настроить расширения не получается. 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	04.08.2016, 09:04	10
	Удалите старые и подготовьте новые логи FRST 0

@thyrex 13104 / 7254 / 1536 Регистрация: 06.09.2009 Сообщений: 26,488
	05.08.2016, 13:23	14
	Сделайте лог AdwCleaner 0

@thyrex 13104 / 7254 / 1536 Регистрация: 06.09.2009 Сообщений: 26,488
	06.08.2016, 07:43	16
	Что теперь с проблемой? 0

@Dimec 1 / 1 / 0 Регистрация: 21.12.2015 Сообщений: 70
	06.08.2016, 08:23 [ТС]	17
	mail.ru удалился, браузер работает нормально.Но расширения не восстановились,и заново установить их не получается. 0

@thyrex 13104 / 7254 / 1536 Регистрация: 06.09.2009 Сообщений: 26,488
	06.08.2016, 09:48	18
	Переустановите браузер 0

@Dimec 1 / 1 / 0 Регистрация: 21.12.2015 Сообщений: 70
	06.08.2016, 14:51 [ТС]	19
	Помогло, проблема решена. Огромное спасибо за помощь! 0

@thyrex 13104 / 7254 / 1536 Регистрация: 06.09.2009 Сообщений: 26,488
	06.08.2016, 15:33	20
	Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. 0