Перенаправление поиска google chrome через search-engine на go.mail.ru

@Gevork · Регистрация: 07.05.2016

Author24 — интернет-сервис помощи студентам

Здравствуйте. Поиск google chrome перебивает go.mail.ru через search-engine. Также переодически появляется реклама с новыми вкладками. Прошу помочь.

@Sandor · 13.10.2016, 16:03

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Gevork. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\gev\appdata\roaming\searchay\searchay.exe');
 TerminateProcessByName('c:\users\gev\appdata\roaming\searchay\python\pythonw.exe');
 TerminateProcessByName('c:\program files (x86)\filter\2\cppwindowsservice.exe');
 TerminateProcessByName('c:\program files (x86)\filter\2\pfhttpcontentfilter.exe');
 StopService('CppWindowsService');
 QuarantineFile('C:\Users\Gev\AppData\Local\sysnet\sysnet.exe','');
 QuarantineFile('C:\Users\Gev\ReportSender\ReportSender.exe','');
 QuarantineFile('C:\Users\Gev\AppData\Roaming\SearchAY\launchall.py','');
 QuarantineFile('c:\users\gev\appdata\roaming\searchay\searchay.exe','');
 QuarantineFile('c:\users\gev\appdata\roaming\searchay\python\pythonw.exe','');
 QuarantineFileF('c:\program files (x86)\filter', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\filter\2\cppwindowsservice.exe', '');
 QuarantineFile('c:\program files (x86)\filter\2\pfhttpcontentfilter.exe', '');
 QuarantineFile('C:\Program Files (x86)\filter\2\nfapi.dll', '');
 QuarantineFile('C:\Program Files (x86)\filter\2\ProtocolFilters.dll', '');
 QuarantineFile('C:\Users\Gev\AppData\Local\Temp\new-super-ext.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "ReportSender" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "sysnet" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchAY" /F', 0, 15000, true);
 DeleteFile('c:\users\gev\appdata\roaming\searchay\python\pythonw.exe','32');
 DeleteFile('c:\users\gev\appdata\roaming\searchay\searchay.exe','32');
 DeleteFile('C:\Users\Gev\AppData\Roaming\SearchAY\launchall.py','32');
 DeleteFile('C:\Users\Gev\ReportSender\ReportSender.exe','32');
 DeleteFile('C:\Users\Gev\AppData\Local\sysnet\sysnet.exe','32');
 DeleteFile('c:\program files (x86)\filter\2\cppwindowsservice.exe', '32');
 DeleteFile('c:\program files (x86)\filter\2\pfhttpcontentfilter.exe', '32');
 DeleteFile('C:\Program Files (x86)\filter\2\nfapi.dll', '32');
 DeleteFile('C:\Program Files (x86)\filter\2\ProtocolFilters.dll', '32');
 DeleteFile('C:\Users\Gev\AppData\Local\Temp\new-super-ext.exe', '32');
 DeleteService('CppWindowsService');
 DeleteFileMask('c:\program files (x86)\filter', '*', true);
 DeleteDirectory('c:\program files (x86)\filter');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SearchAY');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','001dae8c');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qmkingsbav');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@Gevork · 13.10.2016, 17:13 **[ТС]**

Вот логи

@severnyj · 13.10.2016, 17:23

Удалите все найденное в AdwCleaner: https://www.cyberforum.ru/post6500085.html

@Gevork · 13.10.2016, 17:40 **[ТС]**

Сделал

@Sandor · 14.10.2016, 09:09

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Gevork · 14.10.2016, 18:33 **[ТС]**

Готово

@Sandor · 17.10.2016, 08:20

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
OPR StartupUrls:  "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=22C8A8F982066F4D053E2F97973F4A44&utm_d=20161013" 
OPR Extension: (Fast search) - C:\Users\Gev\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-10-13]
2016-10-13 14:56 - 2016-10-13 14:56 - 00000000 ____D C:\Users\Gev\AppData\Local\Поиcк в Интeрнете
2016-10-13 14:23 - 2016-10-13 17:07 - 00001160 _____ C:\Users\Gev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
2016-10-13 14:19 - 2016-10-13 16:54 - 00000000 ____D C:\Users\Gev\AppData\Roaming\SearchAY
HKU\S-1-5-21-630622008-3152836932-3273119425-1000\Software\Classes\.scr: scrfile =>  <===== ATTENTION
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

@Gevork · 17.10.2016, 19:15 **[ТС]**

Сделал

@Sandor · 18.10.2016, 09:05

Сообщение от Sandor

что с проблемой

???

@Gevork · 18.10.2016, 17:15 **[ТС]**

Проблема устранена, спасибо большое!!)

@Sandor · 19.10.2016, 08:54

Завершаем:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Gevork · 19.10.2016, 23:44 **[ТС]**

Сделал

@Sandor · 20.10.2016, 10:11

--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.20.0.0 (64-разрядная) v.5.20.0.0 Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Picasa 3 v.3.9.140.248 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.42606 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 25 (64-bit) v.8.0.250 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u112-windows-x64.exe)^
Java 8 Update 25 v.8.0.250 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.3.2.35 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 15 ActiveX & Plugin 64-bit v.15.0.0.239 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.53.0.2785.143 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera Stable 36.0.2130.65 v.36.0.2130.65 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	13.10.2016, 17:23	4
	Удалите все найденное в AdwCleaner: https://www.cyberforum.ru/post6500085.html 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	14.10.2016, 09:09	6
	Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	18.10.2016, 09:05	10
	Сообщение от Sandor что с проблемой ??? 0

@Gevork 0 / 0 / 0 Регистрация: 07.05.2016 Сообщений: 26
	18.10.2016, 17:15 [ТС]	11
	Проблема устранена, спасибо большое!!) 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	19.10.2016, 08:54	12
	Завершаем: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	20.10.2016, 10:11	14
	--------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.20.0.0 (64-разрядная) v.5.20.0.0 Внимание! Скачать обновления 7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ Picasa 3 v.3.9.140.248 Данная программа больше не поддерживается разработчиком. --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.9.42606 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 25 (64-bit) v.8.0.250 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u112-windows-x64.exe)^ Java 8 Update 25 v.8.0.250 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^ --------------------------- [ AppleProduction ] --------------------------- iTunes v.12.3.2.35 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 15 ActiveX & Plugin 64-bit v.15.0.0.239 Внимание! Скачать обновления ^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^ ------------------------------- [ Browser ] ------------------------------- Google Chrome v.53.0.2785.143 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ Opera Stable 36.0.2130.65 v.36.0.2130.65 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ Прочтите и выполните Рекомендации после удаления вредоносного ПО 0

Опции темы