Принудительная переадресация из поиска всех браузеров в го мэйл

@DenisLuzyanin · Регистрация: 24.09.2016

Author24 — интернет-сервис помощи студентам

Добрый день, возникла проблема с принудительной переадресацией из поисков всех браузеров в браузер майл со всеми вытекающими... В расширениях ничего лишнего или неудаляемого нет, в настройках браузера тоже - гугл является "по умолчанию" на поиске, рядом в списке только яндекс. Попробовал решить самостоятельно этот вопрос по советам из похожих топиков, но не помогло. И по вашим советам не стал дальше насиловать свою систему и решил обратиться к вам за помощью. Поиск яндекса и гугла для меня неотъемлемая часть работы, поэтому заранее очень благодарен за помощь.

@Sandor · 24.09.2016, 21:27

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя DenisLuzyanin. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

PBot

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\denis\appdata\roaming\pbot\httpfilter.exe');
 QuarantineFileF('c:\users\denis\appdata\roaming\pbot', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\users\denis\appdata\roaming\pbot\httpfilter.exe', '');
 QuarantineFile('C:\Users\denis\AppData\Roaming\PBot\launchall.js', '');
 DeleteFile('c:\users\denis\appdata\roaming\pbot\httpfilter.exe', '32');
 DeleteFile('C:\Users\denis\AppData\Roaming\PBot\launchall.js', '32');
 DeleteFileMask('c:\users\denis\appdata\roaming\pbot', '*', true);
 DeleteDirectory('c:\users\denis\appdata\roaming\pbot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте и прикрепите лог сканирования AdwCleaner.

@DenisLuzyanin · 25.09.2016, 09:21 **[ТС]**

PBot сначала не удалялся через панель установки и удаления программ: было написано, что удаление завершено, но в списке программ он все равно присутствовал (с пометкой "недоступно" под названием программы)

После выполнения скрипта AVZ в панели установки и удаления программ PBot присутствует, но когда нажимаешь "удалить", система пишет, что не удается найти путь к файлу удаления PBot-a.

Файл карантин отправил через окно над сообщениями, лог сканирования Adwcleaner вложен в сообщение.

@Sandor · 25.09.2016, 18:12

Файл C:\AdwCleaner\AdwCleaner[C0].txt тоже покажите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@DenisLuzyanin · 25.09.2016, 19:30 **[ТС]**

Прилагаю файлы.

@DenisLuzyanin · 25.09.2016, 19:32 **[ТС]**

Shortcut.txt

@Sandor · 26.09.2016, 08:18

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
2016-09-03 15:21 - 2016-09-03 15:21 - 00002262 _____ C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (denis)
2016-08-28 16:23 - 2016-08-28 16:24 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-08-28 16:23 - 2016-08-28 16:24 - 00000000 ____D C:\Users\denis\AppData\LocalLow\IObit
2016-08-28 16:23 - 2016-08-28 16:24 - 00000000 ____D C:\ProgramData\ProductData
2016-08-28 16:23 - 2016-08-28 16:23 - 00027552 _____ (REALiX(tm)) C:\WINDOWS\SysWOW64\Drivers\HWiNFO64A.SYS
2016-08-28 16:23 - 2016-08-28 16:23 - 00000000 ____D C:\WINDOWS\IObit
2016-08-28 16:23 - 2016-08-28 16:23 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-08-28 16:23 - 2016-08-28 16:23 - 00000000 ____D C:\Users\denis\AppData\Roaming\IObit
2016-08-28 16:23 - 2016-08-28 16:23 - 00000000 ____D C:\ProgramData\IObit
2016-08-27 16:38 - 2016-08-28 20:11 - 00000000 ____D C:\Users\denis\AppData\Local\ZetaGamesNews
2016-08-27 16:38 - 2016-08-27 16:48 - 00000000 ____D C:\Users\denis\AppData\Local\ZetaGamesViewer
Task: {8E97B172-716A-4EEE-9A0C-6AC2A3E9C762} - System32\Tasks\PBot => python\pythonw.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщение от DenisLuzyanin

когда нажимаешь "удалить", система пишет, что не удается найти путь к файлу удаления PBot-a

Если еще остался, удалите форсированно, например, через Revo Uninstall

Сообщите что с проблемой.

@DenisLuzyanin · 27.09.2016, 08:37 **[ТС]**

Удалил форсированно программу PBot. Фикслог прилагаю. Проблема решена, спасибо большое!

@Sandor · 27.09.2016, 09:00

Завершаем:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@DenisLuzyanin · 28.09.2016, 15:17 **[ТС]**

Прикрепляю.

@Sandor · 28.09.2016, 15:19

--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.8.42576 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 101 v.8.0.1010.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u102-windows-i586.exe)^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
НОВОСТИ - ZetaGames v.3.2.3 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by ToolsLib) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Чистилка v.2.16.396 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,072
	24.09.2016, 21:27	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя DenisLuzyanin. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Через Панель управления - Удаление программ - удалите нежелательное ПО: PBot Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\denis\appdata\roaming\pbot\httpfilter.exe'); QuarantineFileF('c:\users\denis\appdata\roaming\pbot', '.exe, .dll, .sys, .bat, .vbs, .js, .tmp', true, '', 0 ,0); QuarantineFile('c:\users\denis\appdata\roaming\pbot\httpfilter.exe', ''); QuarantineFile('C:\Users\denis\AppData\Roaming\PBot\launchall.js', ''); DeleteFile('c:\users\denis\appdata\roaming\pbot\httpfilter.exe', '32'); DeleteFile('C:\Users\denis\AppData\Roaming\PBot\launchall.js', '32'); DeleteFileMask('c:\users\denis\appdata\roaming\pbot', '', true); DeleteDirectory('c:\users\denis\appdata\roaming\pbot'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте и прикрепите лог сканирования AdwCleaner. 1

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,072
	25.09.2016, 18:12	4
	Файл C:\AdwCleaner\AdwCleaner[C0].txt тоже покажите. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,072
	27.09.2016, 09:00	9
	Завершаем: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,072
	28.09.2016, 15:19	11
	--------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.8.42576 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 101 v.8.0.1010.13 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u102-windows-i586.exe)^ ---------------------------- [ UnwantedApps ] ----------------------------- Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. НОВОСТИ - ZetaGames v.3.2.3 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by ToolsLib) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Чистилка v.2.16.396 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Прочтите и выполните Рекомендации после удаления вредоносного ПО 0