Вирус подменяет поисковую систему в хроме

@sanyok188 · Регистрация: 28.07.2015

Author24 — интернет-сервис помощи студентам

Вирус подменил поисковую систему гугл на маил ру в браузере хром. переустановка браузера результат тот же. при попытки смены через настройки , написано установлено администратором и не дает сменить. лечил комп флэшкой доктор веб лайв диск.он наловил вирусов. После этого стали зависать ярлыки при запуске винд. на минуту где то, после выскакивают два окошка с запросом разрешения на скачивание файлов setup.exe закрыть их не получается. Закрываются сами через сек 30 но не качают вроде ни чего. Вот примерно то что я вижу.

@thyrex · 28.07.2015, 18:45

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\АЛЕКСАНДР\AppData\Roaming\WindowsUpdater\Updater.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\install_addons.exe','');
 QuarantineFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys','');
 QuarantineFile('C:\ProgramData\system.exe','');
 DeleteFile('C:\ProgramData\system.exe','32');
 DeleteFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys','32');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\install_addons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
 DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','64');
 DeleteFile('C:\Users\АЛЕКСАНДР\AppData\Roaming\WindowsUpdater\Updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','64');
 DeleteService('wsafd_1_10_0_19');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@sanyok188 · 28.07.2015, 20:37 **[ТС]**

все сделал вот новый лог

@sanyok188 · 28.07.2015, 20:44 **[ТС]**

Хром не вылечился, вот скрин , такая фигня, изменить нельзя(((

@thyrex · 28.07.2015, 21:42

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
[img]http://i.**********/B92LqRQ.png[/img]
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

@sanyok188 · 28.07.2015, 22:15 **[ТС]**

не могу прикрепить логи, их размер превышает 20kb отсылаю в зипе

@sanyok188 · 28.07.2015, 22:22 **[ТС]**

зип архив

@thyrex · 29.07.2015, 05:42

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1437635559&z=9ecf89bb6a3db679cf7066cg5zec0m7q4c5wew6o1w&from=cmi&uid=KINGSTONXSV300S37A120G_50026B724C03BC10
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1437635559&z=9ecf89bb6a3db679cf7066cg5zec0m7q4c5wew6o1w&from=cmi&uid=KINGSTONXSV300S37A120G_50026B724C03BC10
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1437635559&z=9ecf89bb6a3db679cf7066cg5zec0m7q4c5wew6o1w&from=cmi&uid=KINGSTONXSV300S37A120G_50026B724C03BC10&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1437635559&z=9ecf89bb6a3db679cf7066cg5zec0m7q4c5wew6o1w&from=cmi&uid=KINGSTONXSV300S37A120G_50026B724C03BC10&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1437635559&z=9ecf89bb6a3db679cf7066cg5zec0m7q4c5wew6o1w&from=cmi&uid=KINGSTONXSV300S37A120G_50026B724C03BC10
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1437635559&z=9ecf89bb6a3db679cf7066cg5zec0m7q4c5wew6o1w&from=cmi&uid=KINGSTONXSV300S37A120G_50026B724C03BC10
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1437635559&z=9ecf89bb6a3db679cf7066cg5zec0m7q4c5wew6o1w&from=cmi&uid=KINGSTONXSV300S37A120G_50026B724C03BC10&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1437635559&z=9ecf89bb6a3db679cf7066cg5zec0m7q4c5wew6o1w&from=cmi&uid=KINGSTONXSV300S37A120G_50026B724C03BC10&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1437635559&z=9ecf89bb6a3db679cf7066cg5zec0m7q4c5wew6o1w&from=cmi&uid=KINGSTONXSV300S37A120G_50026B724C03BC10&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1437635559&z=9ecf89bb6a3db679cf7066cg5zec0m7q4c5wew6o1w&from=cmi&uid=KINGSTONXSV300S37A120G_50026B724C03BC10&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1437635559&z=9ecf89bb6a3db679cf7066cg5zec0m7q4c5wew6o1w&from=cmi&uid=KINGSTONXSV300S37A120G_50026B724C03BC10&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1437635559&z=9ecf89bb6a3db679cf7066cg5zec0m7q4c5wew6o1w&from=cmi&uid=KINGSTONXSV300S37A120G_50026B724C03BC10&q={searchTerms}
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=096dee8792e2187319cc883491e3eb87&text= <==== ATTENTION
2015-07-23 10:13 - 2015-07-25 01:50 - 00000000 ____D C:\Users\Все пользователи\WindowsMangerProtect
2015-07-23 10:13 - 2015-07-25 01:50 - 00000000 ____D C:\ProgramData\WindowsMangerProtect
2015-07-23 10:12 - 2015-07-28 17:05 - 00000000 ____D C:\Users\АЛЕКСАНДР\AppData\Roaming\mystartsearch
2015-07-23 10:03 - 2015-06-15 01:20 - 00000876 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-07-23 10:02 - 2015-07-23 11:02 - 00000000 ____D C:\Users\АЛЕКСАНДР\AppData\Roaming\WindowsUpdater
2015-04-07 19:59 - 2015-04-07 19:59 - 0000042 _____ () C:\Users\АЛЕКСАНДР\AppData\Roaming\092941AB776
2015-04-07 16:52 - 2015-04-07 16:52 - 0000042 _____ () C:\Users\АЛЕКСАНДР\AppData\Roaming\80CA46A9200AC
C:\Users\АЛЕКСАНДР\AppData\Local\Temp\mailruhomesearchvbm.exe
Task: {06D8EB2B-8A1A-401E-8BA3-F623DD12A13C} - \Kinoroom Browser No Task File <==== ATTENTION
Task: {0AF6A6B8-A064-4757-AB0D-CC97B5E4D043} - \KRB Updater Utility No Task File <==== ATTENTION
Task: {1A8935A8-676D-4401-99E5-79CD935BF03C} - \chrome5_logon No Task File <==== ATTENTION
Task: {5B949F27-7349-4FFD-9A99-BB40518BA73C} - \WindowsUpdater No Task File <==== ATTENTION
Task: {70D83050-A6FF-4B3C-91C7-95A05E22119F} - \chrome5 No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData:NT
AlternateDataStreams: C:\ProgramData:NT2
AlternateDataStreams: C:\Users\All Users:NT
AlternateDataStreams: C:\Users\All Users:NT2
AlternateDataStreams: C:\Users\Все пользователи:NT
AlternateDataStreams: C:\Users\Все пользователи:NT2
AlternateDataStreams: C:\ProgramData\Application Data:NT
AlternateDataStreams: C:\ProgramData\Application Data:NT2
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2
AlternateDataStreams: C:\Users\АЛЕКСАНДР\Application Data:NT
AlternateDataStreams: C:\Users\АЛЕКСАНДР\Application Data:NT2
AlternateDataStreams: C:\Users\АЛЕКСАНДР\AppData\Roaming:NT
AlternateDataStreams: C:\Users\АЛЕКСАНДР\AppData\Roaming:NT2
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2
Reboot:

Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

@sanyok188 · 29.07.2015, 08:02 **[ТС]**

все вроде получилось))

@thyrex · 29.07.2015, 08:36

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

@sanyok188 · 01.08.2015, 11:22 **[ТС]**

Простите за долгое отсутствие))) работа....Вот лог

@thyrex · 01.08.2015, 14:07

--------------------------- [ OtherUtilities ] ----------------------------
Skype™ 7.6 v.7.6.105 Внимание! Скачать обновления
Необязательное обновление.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u51-windows-i586.exe)^

Выполните рекомендованное + Рекомендации после удаления вредоносного ПО

@sanyok188 0 / 0 / 0 Регистрация: 28.07.2015 Сообщений: 7
	28.07.2015, 20:44 [ТС]	4
	Хром не вылечился, вот скрин , такая фигня, изменить нельзя((( Миниатюры 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	28.07.2015, 21:42	5
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan** отмечены "List BCD" и "Driver MD5". [img]http://i.********/B92LqRQ.png[/img] Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt**). Пожалуйста, прикрепите его в следующем сообщении. 1

@sanyok188 0 / 0 / 0 Регистрация: 28.07.2015 Сообщений: 7
	28.07.2015, 22:15 [ТС]	6
	не могу прикрепить логи, их размер превышает 20kb отсылаю в зипе 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	29.07.2015, 08:36	10
	Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. 1

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	01.08.2015, 14:07	12
	--------------------------- [ OtherUtilities ] ---------------------------- Skype™ 7.6 v.7.6.105 Внимание! Скачать обновления *Необязательное обновление.* -------------------------------- [ Java ] --------------------------------- Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u51-windows-i586.exe)^ Выполните рекомендованное + Рекомендации после удаления вредоносного ПО 1