Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
JeyCola
0 / 0 / 0
Регистрация: 18.12.2016
Сообщений: 9
#1

Трудности поисковиком go.mail.ru - Удаление вирусов

18.12.2016, 15:47. Просмотров 210. Ответов 15
Метки нет (Все метки)

Здравствуйте. Проблема заключается вот в чем.
В любом браузере, любой поисковик перенаправляется на go.mail.ru
Проверку на вирусы eset nod32 прошел.
В меру своих возможностей удалил все возможные файлы связанные с mail.ru
Прошел проверку adwcleaner

Все безрезультатно. И уже даже не знаю что делать. Помогите пожалуйста

Прикреплен архив логов AutoLogger.
0
Вложения
Тип файла: zip CollectionLog-2016.12.18-15.42.zip (99.2 Кб, 1 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
18.12.2016, 15:47
Я подобрал для вас темы с готовыми решениями и ответами на вопрос Трудности поисковиком go.mail.ru (Удаление вирусов):

Go.mail.ru стал поисковиком по умолчание в chrome
в настройках "Этот параметр включен администратором" стартовая страница тоже...

Установился по умолчанию smartsputnik с поисковиком go.mail
Здравствуйте гении! Проблема как я вижу не только у меня, способы лечения...

На всех браузерах стандартным поисковиком стал mail.ru
Скачал с интернета архив с нужной информацией, а с ним и "подарочек" от...

Трудности с поиск go.mail.ru
Здравствуйте. Проблема заключается вот в чем. В любом браузере, любой...

GetSearch стал основным поисковиком
Логи прикрепил. Буду признателен :)

Браузер с рекламой и своим поисковиком

15
severnyj
Вирусоборец
2944 / 1574 / 199
Регистрация: 04.04.2012
Сообщений: 5,898
18.12.2016, 16:00 #2
Деинсталируйте следующее ПО:

Video and Audio Plugin UBar [20161210]-->C:\Program Files\UBar\UbarUninstaller.exe
Выполните скрипт в AVZ

Код
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\Winamp\Plugins\DSP & Effect\RealReverb Convolution 3.1.0\realreverb310.exe', '');
 QuarantineFile('C:\Users\Nofolm\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '');
 QuarantineFile('C:\InterZet\iZet\izet.exe', '');
 QuarantineFile('C:\Users\Nofolm\AppData\Roaming\PBot\launchall.py', '');
 DeleteFile('C:\Users\Nofolm\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe', '32');
 DeleteFile('C:\Users\Nofolm\AppData\Roaming\PBot\launchall.py', '32');
 DeleteFile('C:\Users\Nofolm\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '32');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}');
 DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
 DelBHO('{DBC80044-A445-435b-BC74-9C25C1C588A9}');
 DelBHO('{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}');
 ExecuteFile('schtasks.exe', '/delete /TN "PBot" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GameCenterMailRu');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PBot');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1055405251-1484792002-2723899808-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-12182016140923311\Software\Microsoft\Windows\CurrentVersion\Run', 'PBot');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ


Код
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Пофиксите в HiJackThis:
Код
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
Скачайте и распакуйте из архива программу ClearLNK.exe

Перетащите файл-отчет ...\AutoLogger\CheckBrowserLnk\Check_Browsers_LNK.log на файл программы.



ВНИМАНИЕ: Приложите в теме, где Вам оказывают помощь, отчет ClearLNK-<Дата>.log, который будет создан в папке LOG рядом с программой.
Если отчет слишком большой, упакуйте его в архив формата ZIP.



Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
0
JeyCola
0 / 0 / 0
Регистрация: 18.12.2016
Сообщений: 9
18.12.2016, 16:39  [ТС] #3
Все выполнил.

На данный момент проблема исправлена. На go.mail.ru больше не перенаправляется.

Огромное спасибо за помощь!

Так же хочу поинтересоваться как вас можно отблагодарить..
0
Вложения
Тип файла: rar ClearLNK-18.12.2016_16-29.rar (3.5 Кб, 1 просмотров)
severnyj
Вирусоборец
2944 / 1574 / 199
Регистрация: 04.04.2012
Сообщений: 5,898
18.12.2016, 16:57 #4
Мы еще не закончили:

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
0
JeyCola
0 / 0 / 0
Регистрация: 18.12.2016
Сообщений: 9
18.12.2016, 18:40  [ТС] #5
Вот новые логи. Это же требуется, я правильно понял?
0
Вложения
Тип файла: zip CollectionLog-2016.12.18-18.39.zip (89.2 Кб, 1 просмотров)
severnyj
Вирусоборец
2944 / 1574 / 199
Регистрация: 04.04.2012
Сообщений: 5,898
18.12.2016, 18:42 #6
Подготовьте логи FRST: http://www.cyberforum.ru/post7151340.html
0
JeyCola
0 / 0 / 0
Регистрация: 18.12.2016
Сообщений: 9
18.12.2016, 18:48  [ТС] #7
Вот следующие логи
0
Вложения
Тип файла: rar FRST.rar (10.3 Кб, 1 просмотров)
Тип файла: rar Addition.rar (18.2 Кб, 1 просмотров)
severnyj
Вирусоборец
2944 / 1574 / 199
Регистрация: 04.04.2012
Сообщений: 5,898
18.12.2016, 19:02 #8
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file
start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: Youtube AdBlock -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> C:\Program Files (x86)\Youtube AdBlock\IEEF\oIcHcq51.dll => No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1055405251-1484792002-2723899808-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-1055405251-1484792002-2723899808-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BCA539C3A-9726-4DC8-AA56-3179CD5F3641%7D&gp=811014
FF Extension: (Универсальный перевод для FireFox) - C:\Users\Nofolm\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\translator@zoli.bod [2015-06-19] [not signed]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Nofolm\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-10]
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [No File]
FF Plugin HKU\S-1-5-21-1055405251-1484792002-2723899808-1000: @mail.ru/GameCenter -> C:\Users\Nofolm\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
StartMenuInternet: FIREFOX.EXE - E:\Program Files\MF\firefox.exe
CHR HKLM-x32\...\Chrome\Extension: [jbfmkijbdfgfaiccakeaiinogojfkkcj] - C:\Users\Nofolm\AppData\Local\Google\Chrome\Application\Plugins\extension_0_1_0_4.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
StartMenuInternet: Google Chrome.B2HSNQOHG22GP4JHB2GWCA4HB4 - C:\Users\Nofolm\AppData\Local\Google\Chrome\Application\chrome.exe
2016-12-10 01:09 - 2016-12-18 16:19 - 00000000 ____D C:\Users\Nofolm\AppData\Roaming\PBot
2016-12-10 01:04 - 2016-12-18 13:54 - 00000000 ____D C:\Users\Nofolm\AppData\Roaming\ArchiverApp
2016-12-10 01:04 - 2016-12-18 11:37 - 00000258 __RSH C:\Users\Nofolm\ntuser.pol
2016-12-10 01:03 - 2016-12-18 11:37 - 00001814 __RSH C:\Users\Все пользователи\ntuser.pol
2016-12-10 01:03 - 2016-12-18 11:37 - 00001814 __RSH C:\ProgramData\ntuser.pol
2016-12-15 20:04 - 2009-07-14 06:20 - 00000000 ___HD C:\Windows\system32\GroupPolicy
C:\Users\Nofolm\AppData\Local\Temp\0HPGYMLjFjmq.exe
C:\Users\Nofolm\AppData\Local\Temp\5ennv8vASUb3.exe
C:\Users\Nofolm\AppData\Local\Temp\coi1634.exe
C:\Users\Nofolm\AppData\Local\Temp\cVTW68fs8RMf.exe
C:\Users\Nofolm\AppData\Local\Temp\jBcXS8lFKlgR.exe
C:\Users\Nofolm\AppData\Local\Temp\jVBB77Zorpnu.exe
C:\Users\Nofolm\AppData\Local\Temp\KuRcfDGZAARI.exe
C:\Users\Nofolm\AppData\Local\Temp\M4RKbdlJmuZn.exe
C:\Users\Nofolm\AppData\Local\Temp\MVpvFX1o112h.exe
C:\Users\Nofolm\AppData\Local\Temp\oyGtRkyAYZdt.exe
C:\Users\Nofolm\AppData\Local\Temp\playstv_patch.exe
C:\Users\Nofolm\AppData\Local\Temp\pLjwOTYee6sr.exe
C:\Users\Nofolm\AppData\Local\Temp\r54KOipSPAF0.exe
C:\Users\Nofolm\AppData\Local\Temp\radeon-crimson-16.3.2-minimalsetup.exe
C:\Users\Nofolm\AppData\Local\Temp\raptrpatch.exe
C:\Users\Nofolm\AppData\Local\Temp\raptr_stub.exe
C:\Users\Nofolm\AppData\Local\Temp\s7Hml83qKefV.exe
C:\Users\Nofolm\AppData\Local\Temp\SkypeSetup.exe
C:\Users\Nofolm\AppData\Local\Temp\TKmFqHoszpAR.exe
C:\Users\Nofolm\AppData\Local\Temp\U32zjwij8NeP.exe
C:\Users\Nofolm\AppData\Local\Temp\Uninstall.exe
C:\Users\Nofolm\AppData\Local\Temp\VxSk5TgsZuTE.exe
C:\Users\Nofolm\AppData\Local\Temp\xcs44B0.tmp.exe
C:\Users\Nofolm\AppData\Local\Temp\YHmgRJncKFh3.exe
C:\Users\Nofolm\AppData\Local\Temp\z7vlQpjoTjCJ.exe
C:\Users\Nofolm\AppData\Local\Temp\Z9k0HbyIqmZy.exe
C:\Users\Nofolm\AppData\Local\Temp\_is21E3.exe
Shortcut: C:\Users\Nofolm\AppData\Local\Microsoft\Start Menu\Войти в Интернет.LNK -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) <===== Cyrillic
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [143]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [136]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [143]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [136]
 
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
0
JeyCola
0 / 0 / 0
Регистрация: 18.12.2016
Сообщений: 9
18.12.2016, 19:15  [ТС] #9
Сделано
0
Вложения
Тип файла: rar Fixlog.rar (3.0 Кб, 1 просмотров)
severnyj
Вирусоборец
2944 / 1574 / 199
Регистрация: 04.04.2012
Сообщений: 5,898
18.12.2016, 19:16 #10
Что с проблемами?
0
JeyCola
0 / 0 / 0
Регистрация: 18.12.2016
Сообщений: 9
18.12.2016, 19:19  [ТС] #11
Основная проблема исчезла после первых действий.
Так же увеличилась скорость работы. мб что-то еще изменилось, но пока не заметил.
0
severnyj
Вирусоборец
2944 / 1574 / 199
Регистрация: 04.04.2012
Сообщений: 5,898
18.12.2016, 19:20 #12
Напоследок подготовьте лог SecurityCheck by glax24: http://safezone.cc/resources/securit...ad?version=838
0
JeyCola
0 / 0 / 0
Регистрация: 18.12.2016
Сообщений: 9
18.12.2016, 19:29  [ТС] #13
Пожалуйста
0
Вложения
Тип файла: rar SecurityCheck.rar (2.9 Кб, 1 просмотров)
severnyj
Вирусоборец
2944 / 1574 / 199
Регистрация: 04.04.2012
Сообщений: 5,898
18.12.2016, 19:33 #14
Исправляйте, обновляйте:

Internet Explorer 11.0.9600.18524 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Брандмауэр Windows (MpsSvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows

WinRAR 4.20 (64-bit) v.4.20.0 Внимание! Скачать обновления
TeamViewer 10 v.10.0.43174 Внимание! Скачать обновления

Skype™ 7.29 v.7.29.102 Внимание! Скачать обновления
^Необязательное обновление.^

Java 7 Update 55 v.7.0.550 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u112-windows-i586.exe).

Adobe AIR v.19.0.0.213 Внимание! Скачать обновления

Yandex v.15.4.2272.3429 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Mozilla Firefox 48.0.2 (x86 ru) v.48.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

Video and Audio Plugin UBar v.1.1.36.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

И читайте: http://www.cyberforum.ru/viruses-faq/thread430326.html

Последнюю программу попробуйте удалить стандартно, не получится, тогда с помощью Revo Uninstaller или Geek Uninstaller
0
JeyCola
0 / 0 / 0
Регистрация: 18.12.2016
Сообщений: 9
18.12.2016, 19:57  [ТС] #15
Последнюю программу удалить получилось без проблем.

Итак, я понимаю, на этом заканчиваем нашу процедуру лечения?

Очень вам благодарен за помощь.

Скажите пожалуйста, возможно ли как-то отблагодарить вас помимо устной формы?
0
severnyj
Вирусоборец
2944 / 1574 / 199
Регистрация: 04.04.2012
Сообщений: 5,898
18.12.2016, 20:00 #16
Да заканчиваем.

Помочь можете тут: http://safezone.cc/resources/zhelajuschim-podderzhat-proekt.1772/

Замените слово resources на слово threads в адресной строке браузера.
0
18.12.2016, 20:00
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
18.12.2016, 20:00
Привет! Вот еще темы с решениями:

Не могу пользоваться поисковиком гугл хроме!
Добрый день! Не могу пользоваться поисковиком гугл хроме выскакивает окно и...

В браузере chrom поисковиком стал Rusearcher
В браузере chrom поисковиком стал Rusearcher ,который не могу удалить .т.к....

Не могу пользоваться поисковиком в Google chrome
Мы зарегистрировали подозрительный трафик, исходящий из вашей сети. С помощью...

Не могу пользоваться поисковиком гугл хроме
Добрый день! Не могу пользоваться поисковиком гугл хроме выскакивает окно и...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
16
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru