GetSearch администратор в Chrom?!

@Николай80 · Регистрация: 19.07.2015

Author24 — интернет-сервис помощи студентам

Здравствуйте! Нуждаюсь в Вашей помощи! Качал клиента уТорент и вместе с ним закачался вирус. Установились Амиго
Комета и др. , но это пол беды, установился в IE и Гугл GetSearch поисковик. Прошу помощи! Спасибо!

@Николай80 · 19.07.2015, 17:07 **[ТС]**

CollectionLog-2015.07.19-16.38.zip

@thyrex · 19.07.2015, 17:50

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
[img]http://i.**********/B92LqRQ.png[/img]
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

@Николай80 · 19.07.2015, 18:28 **[ТС]**

FRST.zip
Addition.zip

@thyrex · 19.07.2015, 22:07

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код

CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
DefaultPrefix-x32: => http://spacesearch.ru/?ri=1&rsid=be95122903b1f602fed9ff4073230a30&q= <==== ATTENTION
Reboot:

Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

@Николай80 · 20.07.2015, 00:07 **[ТС]**

Fixlog.txt

@Николай80 · 20.07.2015, 01:02 **[ТС]**

SecurityCheck by glax24 v.1.4.0.23 [04.07.15]
WebSite: www.safezone.cc
DateLog: 20.07.2015 00:25:22
Path starting: C:\Users\User\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: User
VersionXML: 1.57is
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 31.07.2012 16:15:40
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [50 Гб] Занято: [37.8 Гб] Свободно: [12.2 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17501 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен
Автоматическое обновление отключено
Дата установки обновлений: 2015-01-15 11:43:11
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
---------------------------- [ Antivirus_WMI ] ----------------------------
avast! Antivirus (выключен и обновлен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и устарел)
avast! Antivirus (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avast Free Antivirus v.10.2.2218
--------------------------- [ OtherUtilities ] ----------------------------
CCleaner v.5.04
Microsoft Silverlight v.5.1.30514.0 Внимание! Скачать обновления
Skype™ 6.14 v.6.14.104 Внимание! Скачать обновления
Необязательное обновление.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 18 ActiveX v.18.0.0.209
Adobe Flash Player 18 NPAPI v.18.0.0.203 Внимание! Скачать обновления
Adobe Reader XI (11.0.12) - Russian v.11.0.12
------------------------------- [ Browser ] -------------------------------
Google Chrome v.43.0.2357.134
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.43.0.2357.134
----------------------------- [ End of Log ] ------------------------------

Добавлено через 35 минут
Администратор с GetSearch снят
я его тут же удалил
как быть чтоб он вновь не появился ведь его следы наверняка в компьютере остались

@thyrex · 20.07.2015, 09:24

Сообщение от Николай80

как быть чтоб он вновь не появился

Закачивать программы нужно с официального сайта, а не с файлопомоек

Выполните рекомендованное + Рекомендации после удаления вредоносного ПО

@Николай80 · 23.07.2015, 21:33 **[ТС]**

Огромное спасибо!
я не знал что уже и делать!
Еще раз большое спасибо!

Добавлено через 3 минуты
появилась проблема в гугл (и в мне кажется в IE) поиск по умолчанию:
{google:baseURL}search?q=%s&{google:RLZ}{google:originalQueryForSuggestion}{goog le:assistedQueryStats}{google:searchFieldtrialParameter}{google:bookmarkBarPinne d}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter} {google:omniboxStartMarginParameter}{google:contextualSearchVersion}ie={inputEnc oding}
поисковик яндекс :http://yandex.ru/yandsearch?text=%s

Добавлено через 2 минуты
у меня опасения что это не нормально

@Николай80 · 23.07.2015, 22:18 **[ТС]**

CollectionLog-2015.07.23-21.06.zip

@thyrex · 23.07.2015, 23:49

Код

Пофиксите в HiJack
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://spacesearch.ru/?ri=1&rsid=be95122903b1f602fed9ff4073230a30&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://spacesearch.ru/?ri=1&rsid=be95122903b1f602fed9ff4073230a30&q=

В остальном порядок

@Николай80 · 24.07.2015, 00:42 **[ТС]**

я "полный чайник"
скиньте пожалуйста инструкцию как

Добавлено через 31 минуту
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yandex.ru/yandsearch?clid=2101082&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://yandex.ru/?clid=2101081
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://yandex.ru/yandsearch?clid=2101082&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://yandex.ru/?clid=2101081
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://spacesearch.ru/?ri=1&rs... 3230a30&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://spacesearch.ru/?ri=1&rs... 3230a30&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,

Добавлено через 1 минуту
просканировал и вот что он мне нашол

Добавлено через 4 минуты
а еще такой вопрос
имеет место быть такая папка Windows Search

@thyrex · 24.07.2015, 08:59

Сообщение от Николай80

я "полный чайник"
скиньте пожалуйста инструкцию как

Как "пофиксить" с помощью HijackThis

@Николай80 · 25.07.2015, 00:57 **[ТС]**

в общем ни че не изменилось адреса поисковика в гугл остался прежним
{google:baseURL}search?q=%s&{google:RLZ}{google:originalQueryForSuggestion}{goog le:assistedQueryStats}{google:searchFieldtrialParameter}{google:bookmarkBarPinne d}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter} {google:omniboxStartMarginParameter}{google:contextualSearchVersion}ie={inputEnc oding}
поисковик яндекс :http://yandex.ru/yandsearch?text=%s

@thyrex · 25.07.2015, 10:30

Это нормальные записи

@Николай80 · 25.07.2015, 17:05 **[ТС]**

Огромное спасибо!
Вам, отдельно, спасибо и всем организаторам форума за вашу помощь!
Это неоценимый труд помогать обычным узерам.

@thyrex · 25.07.2015, 20:49

Выполните рекомендованное в сообщении №7 + Рекомендации после удаления вредоносного ПО

@Николай80 0 / 0 / 0 Регистрация: 19.07.2015 Сообщений: 12
		1
	GetSearch администратор в Chrom?! 19.07.2015, 15:49. Показов 728. Ответов 16 Метки нет (Все метки) Здравствуйте! Нуждаюсь в Вашей помощи! Качал клиента уТорент и вместе с ним закачался вирус. Установились Амиго Комета и др. , но это пол беды, установился в IE и Гугл GetSearch поисковик. Прошу помощи! Спасибо! 0

@Николай80 0 / 0 / 0 Регистрация: 19.07.2015 Сообщений: 12
	19.07.2015, 17:07 [ТС]	2
	CollectionLog-2015.07.19-16.38.zip 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	19.07.2015, 17:50	3
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan** отмечены "List BCD" и "Driver MD5". [img]http://i.********/B92LqRQ.png[/img] Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt**). Пожалуйста, прикрепите его в следующем сообщении. 1

@Николай80 0 / 0 / 0 Регистрация: 19.07.2015 Сообщений: 12
	19.07.2015, 18:28 [ТС]	4
	FRST.zip Addition.zip 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	19.07.2015, 22:07	5
	Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: Код CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File DefaultPrefix-x32: => http://spacesearch.ru/?ri=1&rsid=be95122903b1f602fed9ff4073230a30&q= <==== ATTENTION Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. 1

@Николай80 0 / 0 / 0 Регистрация: 19.07.2015 Сообщений: 12
	20.07.2015, 00:07 [ТС]	6
	Fixlog.txt 0

@Николай80 0 / 0 / 0 Регистрация: 19.07.2015 Сообщений: 12
	20.07.2015, 01:02 [ТС]	7
	SecurityCheck by glax24 v.1.4.0.23 [04.07.15] WebSite: www.safezone.cc DateLog: 20.07.2015 00:25:22 Path starting: C:\Users\User\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: User VersionXML: 1.57is ___________________________________________________________________________ Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419) Дата установки ОС: 31.07.2012 16:15:40 Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Системный диск: C: ФС: [NTFS] Емкость: [50 Гб] Занято: [37.8 Гб] Свободно: [12.2 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.17501 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя включен Автоматическое обновление отключено Дата установки обновлений: 2015-01-15 11:43:11 Центр обновления Windows (wuauserv) - Служба остановлена Центр обеспечения безопасности (wscsvc) - Служба работает ---------------------------- [ Antivirus_WMI ] ---------------------------- avast! Antivirus (выключен и обновлен) --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (включен и устарел) avast! Antivirus (выключен и обновлен) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Avast Free Antivirus v.10.2.2218 --------------------------- [ OtherUtilities ] ---------------------------- CCleaner v.5.04 Microsoft Silverlight v.5.1.30514.0 Внимание! Скачать обновления Skype™ 6.14 v.6.14.104 Внимание! Скачать обновления *Необязательное обновление.* --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 18 ActiveX v.18.0.0.209 Adobe Flash Player 18 NPAPI v.18.0.0.203 Внимание! Скачать обновления Adobe Reader XI (11.0.12) - Russian v.11.0.12 ------------------------------- [ Browser ] ------------------------------- Google Chrome v.43.0.2357.134 --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.43.0.2357.134 ----------------------------- [ End of Log ] ------------------------------ Добавлено через 35 минут Администратор с GetSearch снят я его тут же удалил как быть чтоб он вновь не появился ведь его следы наверняка в компьютере остались 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	20.07.2015, 09:24	8
	Сообщение от Николай80 как быть чтоб он вновь не появился Закачивать программы нужно с официального сайта, а не с файлопомоек Выполните рекомендованное + Рекомендации после удаления вредоносного ПО 1

@Николай80 0 / 0 / 0 Регистрация: 19.07.2015 Сообщений: 12
	23.07.2015, 21:33 [ТС]	9
	Огромное спасибо! я не знал что уже и делать! Еще раз большое спасибо! Добавлено через 3 минуты появилась проблема в гугл (и в мне кажется в IE) поиск по умолчанию: {google:baseURL}search?q=%s&{google:RLZ}{google:originalQueryForSuggestion}{goog le:assistedQueryStats}{google:searchFieldtrialParameter}{google:bookmarkBarPinne d}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter} {google:omniboxStartMarginParameter}{google:contextualSearchVersion}ie={inputEnc oding} поисковик яндекс :http://yandex.ru/yandsearch?text=%s Добавлено через 2 минуты у меня опасения что это не нормально 0

@Николай80 0 / 0 / 0 Регистрация: 19.07.2015 Сообщений: 12
	23.07.2015, 22:18 [ТС]	10
	CollectionLog-2015.07.23-21.06.zip 0

	25.07.2015, 20:49

@Николай80 0 / 0 / 0 Регистрация: 19.07.2015 Сообщений: 12
	24.07.2015, 00:42 [ТС]	12
	я "полный чайник" скиньте пожалуйста инструкцию как Добавлено через 31 минуту R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yandex.ru/yandsearch?clid=2101082&text={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://yandex.ru/?clid=2101081 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://yandex.ru/yandsearch?clid=2101082&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://yandex.ru/?clid=2101081 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://spacesearch.ru/?ri=1&rs... 3230a30&q= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://spacesearch.ru/?ri=1&rs... 3230a30&q= R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe, Добавлено через 1 минуту просканировал и вот что он мне нашол Добавлено через 4 минуты а еще такой вопрос имеет место быть такая папка Windows Search 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	24.07.2015, 08:59	13
	Сообщение от Николай80 я "полный чайник" скиньте пожалуйста инструкцию как Как "пофиксить" с помощью HijackThis 1

@Николай80 0 / 0 / 0 Регистрация: 19.07.2015 Сообщений: 12
	25.07.2015, 00:57 [ТС]	14
	в общем ни че не изменилось адреса поисковика в гугл остался прежним {google:baseURL}search?q=%s&{google:RLZ}{google:originalQueryForSuggestion}{goog le:assistedQueryStats}{google:searchFieldtrialParameter}{google:bookmarkBarPinne d}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter} {google:omniboxStartMarginParameter}{google:contextualSearchVersion}ie={inputEnc oding} поисковик яндекс :http://yandex.ru/yandsearch?text=%s 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	25.07.2015, 10:30	15
	Это нормальные записи 1

@Николай80 0 / 0 / 0 Регистрация: 19.07.2015 Сообщений: 12
	25.07.2015, 17:05 [ТС]	16
	Огромное спасибо! Вам, отдельно, спасибо и всем организаторам форума за вашу помощь! Это неоценимый труд помогать обычным узерам. 0