Перенаправление из поиска google в поиск mail + открытие рекламы и баннеров практически на любом сайте

@jack wilshere · Регистрация: 27.05.2014

Author24 — интернет-сервис помощи студентам

Добрый день! Схлопотал вирус, принцип которого описан в названии темы. Помогите, пожалуйста, удалить его.

@thyrex · 25.08.2016, 22:53

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('MPCKpt', 4);
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\fupdate\fupdate.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\3E93840E-5FBD-4D87-9251-0F0DE4A26975.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\MPCKpt.sys','');
 QuarantineFile('C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe','');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe','32');
 DeleteFile('C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\MPCKpt.sys','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\3E93840E-5FBD-4D87-9251-0F0DE4A26975.exe','32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','32');
 DeleteFile('C:\Users\User\AppData\Local\fupdate\fupdate.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\fupdate','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','64');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\AB8557833-BAD2-47D5-9A3A-5B2B6ECD5FF8','64');
 DeleteService('MPCProtectService');
 DeleteService('MPCKpt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

@jack wilshere · 26.08.2016, 08:34 **[ТС]**

Файл quarantine.zip отправил, вот новые логи, если я всё правильно понял

@thyrex · 26.08.2016, 13:31

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

@jack wilshere · 26.08.2016, 13:56 **[ТС]**

thyrex,

@thyrex · 26.08.2016, 14:22

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
HKLM\...\Policies\Explorer\Run: [B8557833-BAD2-47D5-9A3A-5B2B6ECD5FF8] => C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\3E93840E-5FBD-4D87-9251-0F0DE4A26975.exe
HKLM\...\Policies\Explorer\Run: [KRB Updater Utility] => C:\ProgramData\KRB Updater Utility\krbupdater.exe
HKU\S-1-5-21-2747587422-3098697386-1289943337-1002\...\RunOnce: [Uninstall C:\Users\**>;L7>20B5;L\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64<*>] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Пользователь\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64" <===== ATTENTION (Value Name with invalid characters)
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Пользователь\AppData\Local\Microsoft\OneDrive\17.3.6390.0509\amd64\FileSyncShell64.dll No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Пользователь\AppData\Local\Microsoft\OneDrive\17.3.6390.0509\amd64\FileSyncShell64.dll No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Пользователь\AppData\Local\Microsoft\OneDrive\17.3.6390.0509\amd64\FileSyncShell64.dll No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Пользователь\AppData\Local\Microsoft\OneDrive\17.3.6390.0509\amd64\FileSyncShell64.dll No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Пользователь\AppData\Local\Microsoft\OneDrive\17.3.6390.0509\amd64\FileSyncShell64.dll No File
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Пользователь\AppData\Local\Microsoft\OneDrive\17.3.6390.0509\FileSyncShell.dll No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Пользователь\AppData\Local\Microsoft\OneDrive\17.3.6390.0509\FileSyncShell.dll No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Пользователь\AppData\Local\Microsoft\OneDrive\17.3.6390.0509\FileSyncShell.dll No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Пользователь\AppData\Local\Microsoft\OneDrive\17.3.6390.0509\FileSyncShell.dll No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Пользователь\AppData\Local\Microsoft\OneDrive\17.3.6390.0509\FileSyncShell.dll No File
ProxyServer: [S-1-5-21-2747587422-3098697386-1289943337-1002] => 127.0.0.1:18159
S4 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
S2 MPCProtectService; "C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe" [X]
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-08-24] (DotC United Inc)
2016-08-24 14:34 - 2016-08-24 14:34 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
2016-08-24 14:27 - 2016-08-24 14:27 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC Desktop
2016-08-24 14:27 - 2016-08-24 14:27 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC AdCleaner
2016-08-24 13:53 - 2016-08-24 14:52 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
2016-08-24 13:53 - 2016-08-24 13:53 - 00060136 _____ (DotC United Inc) C:\WINDOWS\system32\Drivers\MPCKpt.sys
2016-08-24 13:53 - 2016-08-24 13:53 - 00000000 ____D C:\Users\User\AppData\Local\Вoйти в Интeрнет
2016-08-24 13:51 - 2016-08-24 13:51 - 00000000 ____D C:\Users\User\AppData\Local\fupdate
2016-08-24 13:50 - 2016-08-24 21:38 - 00000000 ____D C:\Users\User\AppData\Local\ScriptWriter
2016-08-24 13:48 - 2016-08-24 14:05 - 00000000 ____D C:\Program Files (x86)\Kinoroom Browser
2016-08-24 13:48 - 2016-08-24 13:48 - 00000000 ____D C:\Users\User\AppData\Local\Поиcк в Интeрнете
C:\Users\User\AppData\Local\Temp\3vPW32wyxdRJ.exe
C:\Users\User\AppData\Local\Temp\cfZhV96zly3k.exe
C:\Users\User\AppData\Local\Temp\coi1633.exe
C:\Users\User\AppData\Local\Temp\fx_brows.exe
C:\Users\User\AppData\Local\Temp\gUuzmT941dmE.exe
C:\Users\User\AppData\Local\Temp\ijJzzf7bnJ9D.exe
C:\Users\User\AppData\Local\Temp\lfs.exe
C:\Users\User\AppData\Local\Temp\lfSJ4eBhNcy3.exe
C:\Users\User\AppData\Local\Temp\M1FfY6vKLFGI.exe
C:\Users\User\AppData\Local\Temp\MPCSetup_4.3.exe
C:\Users\User\AppData\Local\Temp\NfvqvyIHMjFw.exe
C:\Users\User\AppData\Local\Temp\ocFjnR7qbHnB.exe
C:\Users\User\AppData\Local\Temp\QV6fO1wawuzF.exe
C:\Users\User\AppData\Local\Temp\setup_.exe
C:\Users\User\AppData\Local\Temp\tnzJNvWycktJ.exe
C:\Users\User\AppData\Local\Temp\W6x3uDT5Wb2S.exe
C:\Users\User\AppData\Local\Temp\x5LjmKXTd6te.exe
C:\Users\User\AppData\Local\Temp\Y028vluQv65S.exe
Task: {4121EC95-5CA4-40E2-A209-E8D5BBE0EEC1} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {42757636-CC6D-41FA-83FF-2F576BD4F348} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
Task: {4BEE524F-E89D-437E-8725-DBB82703F378} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {50BCDFAE-0D82-40F7-9259-1B90C02585BF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {5F1383A4-44BD-4891-ADA4-00BDF8AC2BC8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {5FD78CC7-3345-4F21-8C4B-88A7321B233F} - \fupdate -> No File <==== ATTENTION
Task: {6556581B-16D1-4CA9-AB74-3CFAF9DE0B5B} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {780F5FFB-B967-49C5-A65E-E3245DB4D50A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {821D5DEA-1F87-4827-9DD7-CD8C06AEC396} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {8DA79E62-9CC1-44DF-BA94-6FADC388C7FB} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {90D2E312-6288-4F59-9ED3-3F5839AC58A8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {975E5B07-CE3F-450C-8D0E-6B9898A7CB93} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {9C506CA1-9BBE-42BB-B6E7-D16DFCF17284} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {A6543958-E7A3-44AE-8E85-4146CB0C41B0} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION
Task: {C6472857-CBCB-41A8-9557-7DB970268B08} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {CA717EE9-E2A0-4C9F-ACD1-95300D99060F} - \Microsoft\Windows\AB8557833-BAD2-47D5-9A3A-5B2B6ECD5FF8 -> No File <==== ATTENTION
Task: {CB4519B6-8323-4C3B-A762-04C76B26D5EB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {DC34A20F-8FCF-499B-BBE0-489810ED3417} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {E559403B-9420-41BA-AE1A-BB12DBCCF897} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {FD5E9402-301A-4E64-AABC-26327458C5BB} - \Microsoft\Windows\Setup\EOSNotify -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

@jack wilshere · 26.08.2016, 14:37 **[ТС]**

thyrex,

@thyrex · 26.08.2016, 20:51

Что с проблемой?

@jack wilshere · 26.08.2016, 20:55 **[ТС]**

thyrex, пока всё также, ничего не изменилось

@thyrex · 27.08.2016, 16:21

Отключите все установленные в браузерах расширения и проверьте проблему

@jack wilshere · 29.08.2016, 08:25 **[ТС]**

thyrex, спасибо за помощь, отчасти она мне помогла, однако полностью истребить данный вирус мне помог антивирус Kaspersky Fry

@Sandor · 29.08.2016, 17:48

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@jack wilshere · 29.08.2016, 17:50 **[ТС]**

Sandor, спасибо, но помощь больше не требуется)

@Sandor · 29.08.2016, 17:52

Это не помощь, а проверка уязвимых мест системы. Впрочем, как хотите.

@thyrex 13099 / 7250 / 1535 Регистрация: 06.09.2009 Сообщений: 26,481
	26.08.2016, 13:31	4
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив**) и прикрепите к сообщению. 1

@thyrex 13099 / 7250 / 1535 Регистрация: 06.09.2009 Сообщений: 26,481
	26.08.2016, 20:51	8
	Что с проблемой? 0

@jack wilshere 4 / 4 / 0 Регистрация: 27.05.2014 Сообщений: 156
	26.08.2016, 20:55 [ТС]	9
	thyrex, пока всё также, ничего не изменилось 0

@thyrex 13099 / 7250 / 1535 Регистрация: 06.09.2009 Сообщений: 26,481
	27.08.2016, 16:21	10
	Отключите все установленные в браузерах расширения и проверьте проблему 1

@jack wilshere 4 / 4 / 0 Регистрация: 27.05.2014 Сообщений: 156
	29.08.2016, 08:25 [ТС]	11
	thyrex, спасибо за помощь, отчасти она мне помогла, однако полностью истребить данный вирус мне помог антивирус Kaspersky Fry 0

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,032
	29.08.2016, 17:48	12
	Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1

@jack wilshere 4 / 4 / 0 Регистрация: 27.05.2014 Сообщений: 156
	29.08.2016, 17:50 [ТС]	13
	Sandor, спасибо, но помощь больше не требуется) 0

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,032
	29.08.2016, 17:52	14
	Это не помощь, а проверка уязвимых мест системы. Впрочем, как хотите. 0

Опции темы