Searchreap в свойствах и реклама в хроме

@streetsummit · Регистрация: 24.05.2015

Author24 — интернет-сервис помощи студентам

Хром самостоятельно открывает вкладки с рекламой, загружаются браузерные дополнения, в свойствах ярлыка гугл-хром поселилось ...Roaming\Browsers\exe.emorhc.bat "http://searchreap.ru"
Помогите, пожалуйста, избавиться.
Спасибо.

@Sandor · 25.05.2015, 16:24

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя streetsummit. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\Алексей\appdata\roaming\0005e2e5-1431377624-2a09-ffff-04e6760c6ef3\jnsx37ce.tmp');
 StopService('nugilevu');
 QuarantineFile('C:\Users\Алексей\appdata\local\smartweb\swhk.dll','');
 QuarantineFile('C:\Users\Алексей\appdata\local\smartweb\smartwebapp.exe','');
 QuarantineFile('C:\Users\Алексей\AppData\Local\Host installer\1477854399_installcube.exe','');
 QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','');
 QuarantineFile('c:\users\Алексей\appdata\roaming\0005e2e5-1431377624-2a09-ffff-04e6760c6ef3\jnsx37ce.tmp', '');
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
 DeleteFile('C:\Users\Алексей\AppData\Local\Host installer\1477854399_installcube.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
 DeleteFile('C:\Users\Алексей\appdata\local\smartweb\smartwebapp.exe','32');
 DeleteFile('C:\Users\Алексей\appdata\local\smartweb\swhk.dll','32');
 DeleteFile('c:\users\Алексей\appdata\roaming\0005e2e5-1431377624-2a09-ffff-04e6760c6ef3\jnsx37ce.tmp', '32');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
 DeleteService('innfd_1_10_0_14');
 DeleteService('nugilevu');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteSvc('nugilevu');
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@streetsummit · 25.05.2015, 17:10 **[ТС]**

Логи прикрепляю, zip отправила.

@severnyj · 25.05.2015, 18:03

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

@streetsummit · 25.05.2015, 18:13 **[ТС]**

Готово, спасибо.

@severnyj · 25.05.2015, 18:15

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Подробнее читайте в этом руководстве.

@streetsummit · 25.05.2015, 21:03 **[ТС]**

Готово, frst+addition

@streetsummit · 25.05.2015, 21:12 **[ТС]**

вложения

@severnyj · 25.05.2015, 21:19

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код

start
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1938336350-1919727113-3431004152-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR Extension: (Avast Online Security) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2015-05-22]
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-14]
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-04-13]
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-19]
CHR HKLM\...\Chrome\Extension: [hiinilempllbgnaohllfdpnmeioogkng] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1938336350-1919727113-3431004152-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hiinilempllbgnaohllfdpnmeioogkng] - https://clients2.google.com/service/update2/crx
R2 gekoxyto; C:\Users\Алексей\AppData\Roaming\0005E2E5-1431377624-2A09-FFFF-04E6760C6EF3\nsaF475.tmpfs [X]
C:\Users\Алексей\AppData\Roaming\0005E2E5-1431377624-2A09-FFFF-04E6760C6EF3\
2015-05-22 19:12 - 2015-05-22 19:12 - 00613255 _____ (CMI Limited) C:\Users\Алексей\AppData\Local\nsi87A.tmp
2015-05-11 23:55 - 2015-05-11 23:55 - 00000000 ____D () C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-05-11 23:53 - 2015-05-25 16:47 - 00000000 ____D () C:\Users\Алексей\AppData\Roaming\0005E2E5-1431377624-2A09-FFFF-04E6760C6EF3
2015-05-11 23:53 - 2015-05-11 23:53 - 00000000 ____D () C:\Users\Алексей\AppData\Roaming\SPI
2015-05-22 19:32 - 2015-03-22 15:42 - 00000000 ____D () C:\Program Files\Microsoft Data
2015-05-15 18:44 - 2015-03-22 19:17 - 00000258 __RSH () C:\Users\Алексей\ntuser.pol
2015-05-15 18:44 - 2015-03-22 15:43 - 00000258 __RSH () C:\ProgramData\ntuser.pol
2015-05-22 19:12 - 2015-05-22 19:12 - 0613255 _____ (CMI Limited) C:\Users\Алексей\AppData\Local\nsi87A.tmp
2014-05-30 21:46 - 2012-07-30 09:03 - 0000217 _____ () C:\ProgramData\SetStretch.cmd
2014-05-30 21:46 - 2009-07-22 13:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2014-05-30 21:46 - 2012-09-07 14:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
Task: {42F3C592-4306-4C13-A582-A2A220733D65} - \Soft installer No Task File <==== ATTENTION

cmd: ipconfig /flushdns
cmd: ipconfig /release
cmd: ipconfig /renew
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@streetsummit · 25.05.2015, 21:56 **[ТС]**

Запускаю FRST, сразу пишет New version found, please wait..., зависает. Update complete. Появилась папка FRST OlderVersion, а новая версия не запускается (Чтобы найти версию для вашего компьютера обратитесь к поставщику приложения)

@severnyj · 25.05.2015, 22:02

Запустите старую с отключенным интернетом

@streetsummit · 25.05.2015, 22:12 **[ТС]**

Готово

@severnyj · 25.05.2015, 22:14

Что с проблемами?

@streetsummit · 25.05.2015, 22:17 **[ТС]**

Нет проблем, все чистенько) огромное спасибо Вам за помощь)

@severnyj · 25.05.2015, 22:18

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

@streetsummit · 25.05.2015, 22:23 **[ТС]**

SecurityCheck by glax24 v.1.3.0.15 [23.05.15]
WebSite: www.safezone.cc
DateLog: 25.05.2015 22:20:44
Path starting: C:\Users\Алексей\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Алексей
VersionXML: 0.9
___________________________________________________________________________

Windows 8.1(6.3.9600) (x86) CoreConnected Lang: Russian(0419)
Дата установки ОС: 20.02.2015 03:02:06
Статус лицензии: Windows(R), CoreConnected edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: Internet Explorer (C:\Program Files\Internet Explorer\iexplore.exe)
Системный диск: C: ФС: [NTFS] Емкость: [20.9 Гб] Занято: [10.5 Гб] Свободно: [10.4 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17801
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2015-05-24 20:53:39
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Восстановление системы отключено
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (выключен и обновлен)
avast! Antivirus (выключен и обновлен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и обновлен)
avast! Antivirus (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avast Free Antivirus v.10.2.2214
--------------------------- [ OtherUtilities ] ----------------------------
CCleaner v.5.03
Foxit Reader v.7.0.8.1216 [+]
------------------------------- [ Browser ] -------------------------------
Google Chrome v.43.0.2357.65
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.43.0.2357.65
----------------------------- [ End of Log ] ------------------------------

@severnyj · 25.05.2015, 22:26

Отлично, ознакомьтесь: Рекомендации после удаления вредоносного ПО

@streetsummit · 26.05.2015, 00:10 **[ТС]**

Огромнейшее спасибо, справилась)

@severnyj · 26.05.2015, 00:22

Удачи

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	25.05.2015, 18:03	4
	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 1

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	25.05.2015, 18:15	6
	Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Подробнее читайте в этом руководстве. 0

@streetsummit 0 / 0 / 0 Регистрация: 24.05.2015 Сообщений: 16
	25.05.2015, 21:03 [ТС]	7
	Готово, frst+addition 0

@streetsummit 0 / 0 / 0 Регистрация: 24.05.2015 Сообщений: 16
	25.05.2015, 21:56 [ТС]	10
	Запускаю FRST, сразу пишет New version found, please wait..., зависает. Update complete. Появилась папка FRST OlderVersion, а новая версия не запускается (Чтобы найти версию для вашего компьютера обратитесь к поставщику приложения) 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	25.05.2015, 22:02	11
	Запустите старую с отключенным интернетом 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	25.05.2015, 22:14	13
	Что с проблемами? 0

@streetsummit 0 / 0 / 0 Регистрация: 24.05.2015 Сообщений: 16
	25.05.2015, 22:17 [ТС]	14
	Нет проблем, все чистенько) огромное спасибо Вам за помощь) 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	25.05.2015, 22:18	15
	Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. 0

@streetsummit 0 / 0 / 0 Регистрация: 24.05.2015 Сообщений: 16
	25.05.2015, 22:23 [ТС]	16
	SecurityCheck by glax24 v.1.3.0.15 [23.05.15] WebSite: www.safezone.cc DateLog: 25.05.2015 22:20:44 Path starting: C:\Users\Алексей\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Алексей VersionXML: 0.9 ___________________________________________________________________________ Windows 8.1(6.3.9600) (x86) CoreConnected Lang: Russian(0419) Дата установки ОС: 20.02.2015 03:02:06 Статус лицензии: Windows(R), CoreConnected edition Постоянная активация прошла успешно. Режим загрузки: Normal Браузер по умолчанию: Internet Explorer (C:\Program Files\Internet Explorer\iexplore.exe) Системный диск: C: ФС: [NTFS] Емкость: [20.9 Гб] Занято: [10.5 Гб] Свободно: [10.4 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.17801 Контроль учётных записей пользователя включен Загружать автоматически обновления и устанавливать по заданному расписанию Дата установки обновлений: 2015-05-24 20:53:39 Центр обновления Windows (wuauserv) - Служба остановлена Центр обеспечения безопасности (wscsvc) - Служба работает Восстановление системы отключено ---------------------------- [ Antivirus_WMI ] ---------------------------- Windows Defender (выключен и обновлен) avast! Antivirus (выключен и обновлен) --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (выключен и обновлен) avast! Antivirus (выключен и обновлен) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Avast Free Antivirus v.10.2.2214 --------------------------- [ OtherUtilities ] ---------------------------- CCleaner v.5.03 Foxit Reader v.7.0.8.1216 [+] ------------------------------- [ Browser ] ------------------------------- Google Chrome v.43.0.2357.65 --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files\Google\Chrome\Application\chrome.exe v.43.0.2357.65 ----------------------------- [ End of Log ] ------------------------------ 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	25.05.2015, 22:26	17
	Сообщение было отмечено streetsummit как решение Решение Отлично, ознакомьтесь: Рекомендации после удаления вредоносного ПО 0

	26.05.2015, 00:22

@streetsummit 0 / 0 / 0 Регистрация: 24.05.2015 Сообщений: 16
	26.05.2015, 00:10 [ТС]	18
	Огромнейшее спасибо, справилась) 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	26.05.2015, 00:22	19
	Удачи 0

Searchreap в свойствах и реклама в хроме

Решение