Постоянная переадресация на mail, выскакивает реклама

@limonka95 · Регистрация: 16.12.2016

Author24 — интернет-сервис помощи студентам

Здравствуйте. словила вирус. во всех браузерах с любого поисковика переадресация на мэйл, открывается сайт вулкана.

@Sandor · 16.12.2016, 16:31

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя limonka95. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

ScreenUp

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\screenup\future_helper.exe');
 QuarantineFileF('c:\program files (x86)\screenup', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\2016\appdata\roaming\pbot', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\2016\appdata\local\filterstart', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\2016\appdata\roaming\notepadplusplusapp', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\screenup\future_helper.exe', '');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\nfapi.dll', '');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\ProtocolFilters.dll', '');
 QuarantineFile('C:\Users\2016\AppData\Roaming\PBot\python\pythonw.exe', '');
 QuarantineFile('C:\Users\2016\AppData\Roaming\PBot\launchall.py', '');
 QuarantineFile('C:\Users\2016\AppData\Local\FilterStart\FilterStart.exe', '');
 QuarantineFile('C:\Users\2016\appdata\roaming\notepadplusplusapp\nppapplication.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Render Current Helper" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Request Trusted Manager" /F', 0, 15000, true);
 DeleteFile('c:\program files (x86)\screenup\future_helper.exe', '32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\nfapi.dll', '32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\ProtocolFilters.dll', '32');
 DeleteFile('C:\Users\2016\AppData\Roaming\PBot\python\pythonw.exe', '32');
 DeleteFile('C:\Users\2016\AppData\Roaming\PBot\launchall.py', '32');
 DeleteFile('C:\Users\2016\AppData\Local\FilterStart\FilterStart.exe', '32');
 DeleteFile('C:\Users\2016\appdata\roaming\notepadplusplusapp\nppapplication.exe', '32');
 DeleteFileMask('c:\program files (x86)\screenup', '*', true);
 DeleteFileMask('c:\users\2016\appdata\roaming\pbot', '*', true);
 DeleteFileMask('c:\users\2016\appdata\local\filterstart', '*', true);
 DeleteFileMask('c:\users\2016\appdata\roaming\notepadplusplusapp', '*', true);
 DeleteDirectory('c:\program files (x86)\screenup');
 DeleteDirectory('c:\users\2016\appdata\roaming\pbot');
 DeleteDirectory('c:\users\2016\appdata\local\filterstart');
 DeleteDirectory('c:\users\2016\appdata\roaming\notepadplusplusapp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zacbukllpe');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@limonka95 · 17.12.2016, 00:56 **[ТС]**

/////

@limonka95 · 17.12.2016, 01:01 **[ТС]**

.....

@Sandor · 19.12.2016, 10:01

1.

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@limonka95 · 19.12.2016, 22:25 **[ТС]**

//////

@Sandor · 20.12.2016, 10:33

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=818407
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B029E25BB-746E-4287-8A0F-9DA90633B400%7D&gp=811014
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\2016\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-12-13]
FF Extension: (Поиск@Mail.Ru) - C:\Users\2016\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-12-13]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\2016\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-13]
CHR Extension: (Яндекс) - C:\Users\2016\AppData\Local\Google\Chrome\User Data\Default\Extensions\geidjeefddhgefeplhdlegoldlgiodon [2016-08-31]
CHR Extension: (Яндекс) - C:\Users\2016\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilkojmghlhbicbfoiikgcnjpanbmjggm [2016-12-14]
CHR Extension: (Fast search) - C:\Users\2016\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-09-25]
OPR StartupUrls: "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=717178409B0B1CE4A6936D2D1D25742F&utm_d=20161213"
Task: {6ADDBAEB-081C-4344-95C7-60CE4AF9AC59} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
Task: {AD6AF1A3-738E-4D71-9D54-F8ED8E46DAC7} - \Manifest Trusted Manager -> No File <==== ATTENTION
FirewallRules: [{8AE7F480-CA12-4205-A6DD-AEC322DD26E1}] => C:\Program Files\UBar\ubar.exe
FirewallRules: [{9D910D6D-221E-4BD0-BA6F-278BA4B1CF70}] => C:\Users\2016\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@limonka95 · 20.12.2016, 14:45 **[ТС]**

.....

@Sandor · 20.12.2016, 14:53

Проблема решена?

@limonka95 · 20.12.2016, 18:28 **[ТС]**

нет, всё осталось. реклама пореже в отдельной вкладке выскакивает, а переадресация так и осталась

@Sandor · 21.12.2016, 10:16

По-прежнему в любом браузере, включая IE?

@limonka95 · 21.12.2016, 13:36 **[ТС]**

в IE всё нормально вроде, а в остальных по-прежнему

@Sandor · 21.12.2016, 13:41

Сообщение от limonka95

в остальных по-прежнему

В каких? Начнем с Хрома: Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

@limonka95 · 21.12.2016, 14:01 **[ТС]**

Google Таблицы

@Sandor · 21.12.2016, 14:02

Было изменено вредоносом, удалите. Проделайте то же с другими проблемными браузерами.

@limonka95 · 21.12.2016, 14:05 **[ТС]**

всё, проблема решена, спасибо большое))

@Sandor · 21.12.2016, 14:18

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	19.12.2016, 10:01	5
	1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	20.12.2016, 14:53	9
	Проблема решена? 0

@limonka95 0 / 0 / 0 Регистрация: 16.12.2016 Сообщений: 9
	20.12.2016, 18:28 [ТС]	10
	нет, всё осталось. реклама пореже в отдельной вкладке выскакивает, а переадресация так и осталась 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	21.12.2016, 10:16	11
	По-прежнему в любом браузере, включая IE? 0

@limonka95 0 / 0 / 0 Регистрация: 16.12.2016 Сообщений: 9
	21.12.2016, 13:36 [ТС]	12
	в IE всё нормально вроде, а в остальных по-прежнему 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	21.12.2016, 13:41	13
	Сообщение от limonka95 в остальных по-прежнему В каких? Начнем с Хрома: Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите. 0

@limonka95 0 / 0 / 0 Регистрация: 16.12.2016 Сообщений: 9
	21.12.2016, 14:01 [ТС]	14
	Google Таблицы 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	21.12.2016, 14:02	15
	Было изменено вредоносом, удалите. Проделайте то же с другими проблемными браузерами. 0

@limonka95 0 / 0 / 0 Регистрация: 16.12.2016 Сообщений: 9
	21.12.2016, 14:05 [ТС]	16
	всё, проблема решена, спасибо большое)) 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	21.12.2016, 14:18	17
	В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0