Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Kens
0 / 0 / 0
Регистрация: 18.12.2016
Сообщений: 21
1

Принудительная переадресация поисковых запросов в браузерах на поисковик mail.ru

18.12.2016, 18:06. Просмотров 273. Ответов 12
Метки нет (Все метки)

Добрый день!

Сегодня в браузерах Chrome, Mozilla, IE при попытке набрать поисковый запрос в Гугл или Яндекс началась автоматическая переадресация на поисковик mail.ru. Пробовал решить проблему с помощью Avast antivirus, Hitman pro, Malwarebyte's Anti Malware, но безуспешно. Переустановка браузеров проблему не решила. Сторонние программы с mail.ru такие как Guard.Mail.Ru, были установлены на компьютер около недели назад, удалил с помощью стандартного деинсталлятора Windows. И еще, примерно в это же время начались сбои в работе клавиатуры, как будто залипают клавиши при наборе текста, иногда. Не знаю, взаимосвязаны эти моменты или нет, но тем не менее...

Надеюсь на вашу помощь! Лог-файлы прилагаю.
0
Вложения
Тип файла: zip CollectionLog-2016.12.18-18.53.zip (90.6 Кб, 3 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
18.12.2016, 18:06
Ответы с готовыми решениями:

Принудительная переадресация поисковых запросов на go.mail.ru
Добрый день. Недавно нарвался на букет mai.ru group удалил все приложения,...

Переадресация запросов из разных поисковых систем на go. mail. ru во всех браузерах
Здравствуйте, пользуюсь только Google Chrome. Недавно стал замечать неладное с...

Реклама в браузерах и принудительная переадресация на go mail ru
Доброго времени суток! В ИЕ и Хроме реклама, которая не блокируется AdBlock'ом...

Принудительная переадресация на поиск mail.ru и реклама в браузерах
Добрый день, возникла проблема с принудительной переадресацией из поисков всех...

Переадресация поисковых запросов на go.mail.ru и произвольное открытие рекламных вкладок
Хотел крякнуть Illustrator и установил какую-то подозрительную программу, а за...

12
severnyj
Вирусоборец
2953 / 1581 / 201
Регистрация: 04.04.2012
Сообщений: 5,906
18.12.2016, 18:19 2
Выполните скрипт в AVZ

Код
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\DV\AppData\Roaming\swEXT\updater.py', '');
 QuarantineFile('C:\Users\DV\AppData\Roaming\PBot\updater.py', '');
 QuarantineFile('C:\Program Files.exe', '');
 QuarantineFile('C:\Users\DV\AppData\Roaming\PBot\ml.py', '');
 DeleteFile('C:\Users\DV\AppData\Roaming\PBot\ml.py', '32');
 DeleteFile('C:\Program Files.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\PBot', '64');
 DeleteFile('C:\Users\DV\AppData\Roaming\PBot\updater.py', '32');
 DeleteFile('C:\Windows\system32\Tasks\PBot2', '64');
 DeleteFile('C:\Users\DV\AppData\Roaming\swEXT\updater.py', '32');
 DeleteFile('C:\Windows\system32\Tasks\swEXT2', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "PBot" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PBot2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "swEXT2" /F', 0, 15000, true);
 DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PBot');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ


Код
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Пофиксите в HiJackThis:
Код
O20 - AppInit_DLLs: C:\Program Files
O20-32 - AppInit_DLLs: C:\Program Files
Скачайте и распакуйте из архива программу ClearLNK.exe

Перетащите файл-отчет ...\AutoLogger\CheckBrowserLnk\Check_Browsers_LNK.log на файл программы.

http://dragokas.com/tools/move.gif

ВНИМАНИЕ: Приложите в теме, где Вам оказывают помощь, отчет ClearLNK-<Дата>.log, который будет создан в папке LOG рядом с программой.
Если отчет слишком большой, упакуйте его в архив формата ZIP.



Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
0
Kens
0 / 0 / 0
Регистрация: 18.12.2016
Сообщений: 21
18.12.2016, 20:59  [ТС] 3
Отчет прилагаю.
0
Вложения
Тип файла: log ClearLNK-18.12.2016_21-57.log (1.5 Кб, 2 просмотров)
Kens
0 / 0 / 0
Регистрация: 18.12.2016
Сообщений: 21
18.12.2016, 21:07  [ТС] 4
Еще отчет.
0
Вложения
Тип файла: zip CollectionLog-2016.12.18-22.06.zip (86.5 Кб, 2 просмотров)
severnyj
Вирусоборец
2953 / 1581 / 201
Регистрация: 04.04.2012
Сообщений: 5,906
18.12.2016, 21:24 5
Подготовьте лог AdwCleaner: http://www.cyberforum.ru/post6500078.html
0
Kens
0 / 0 / 0
Регистрация: 18.12.2016
Сообщений: 21
18.12.2016, 21:55  [ТС] 6
Прилагаю.
0
Вложения
Тип файла: txt AdwCleaner[S3].txt (2.1 Кб, 1 просмотров)
severnyj
Вирусоборец
2953 / 1581 / 201
Регистрация: 04.04.2012
Сообщений: 5,906
18.12.2016, 22:22 7
Подготовьте логи FRST: http://www.cyberforum.ru/post7151340.html
0
Kens
0 / 0 / 0
Регистрация: 18.12.2016
Сообщений: 21
19.12.2016, 00:02  [ТС] 8
Прилагаю.
0
Вложения
Тип файла: zip Logs.zip (26.1 Кб, 2 просмотров)
severnyj
Вирусоборец
2953 / 1581 / 201
Регистрация: 04.04.2012
Сообщений: 5,906
19.12.2016, 09:24 9
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file
start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
ManualProxies: 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKU\S-1-5-21-2774796699-4000617468-2396673925-1000\Software\Microsoft\Internet Explorer\Main,Start Page = 
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-2774796699-4000617468-2396673925-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2016-12-06 11:35 - 2016-12-06 12:03 - 00000000 ____D C:\Users\DV\AppData\Roaming\swEXT
2016-12-06 11:35 - 2016-12-06 11:35 - 04200395 _____ C:\Users\DV\AppData\Roaming\swEXT.exe
2016-12-06 11:35 - 2016-12-06 11:35 - 00000040 _____ C:\Users\DV\AppData\Roaming\swEXT.exe.sha1
2016-12-04 20:26 - 2016-12-04 20:26 - 00002966 _____ C:\Windows\System32\Tasks\{01644183-FF8A-4C43-90CA-EB1B707A744E}
2016-12-04 20:23 - 2016-12-04 20:23 - 00002966 _____ C:\Windows\System32\Tasks\{45ED6B88-4DDA-43FA-B822-EAE218BC26E4}
2016-12-04 20:23 - 2016-12-04 20:23 - 00002966 _____ C:\Windows\System32\Tasks\{2AFB327C-7537-4CB4-9036-145941FEBBAE}
2016-12-04 20:17 - 2016-12-04 20:17 - 00002966 _____ C:\Windows\System32\Tasks\{5EFD43B5-C175-47D3-BF9D-090D2078B20F}
2016-12-04 20:08 - 2016-12-04 20:08 - 00000000 ____D C:\Users\Все пользователи\{74E9F814-C737-42CC-B721-DBBC4059367A}
2016-12-04 20:08 - 2016-12-04 20:08 - 00000000 ____D C:\ProgramData\{74E9F814-C737-42CC-B721-DBBC4059367A}
2016-12-04 20:07 - 2016-12-04 20:07 - 00000000 ____D C:\Users\DV\AppData\Roaming\ProductData
2016-12-04 20:06 - 2016-12-18 21:49 - 00000000 ____D C:\Users\DV\AppData\Roaming\PBot
2016-12-04 20:06 - 2016-12-12 11:44 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-12-04 20:06 - 2016-12-12 11:44 - 00000000 ____D C:\ProgramData\ProductData
2016-12-04 20:06 - 2016-12-09 23:06 - 00000000 ____D C:\Users\Все пользователи\vCore
2016-12-04 20:06 - 2016-12-09 23:06 - 00000000 ____D C:\ProgramData\vCore
2016-12-04 20:06 - 2016-12-04 20:09 - 00000000 ____D C:\Program Files (x86)\IObit
2016-12-04 20:06 - 2016-12-04 20:08 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-12-04 20:06 - 2016-12-04 20:08 - 00000000 ____D C:\Users\DV\AppData\Roaming\IObit
2016-12-04 20:06 - 2016-12-04 20:08 - 00000000 ____D C:\Users\DV\AppData\LocalLow\IObit
2016-12-04 20:06 - 2016-12-04 20:08 - 00000000 ____D C:\ProgramData\IObit
2016-12-04 20:06 - 2016-12-04 20:06 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2016-12-04 20:06 - 2016-12-04 20:06 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-12-04 20:06 - 2016-12-04 20:06 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-12-18 18:33 - 2014-10-17 22:06 - 00000008 __RSH C:\Users\Все пользователи\ntuser.pol
2016-12-18 18:33 - 2014-10-17 22:06 - 00000008 __RSH C:\ProgramData\ntuser.pol
2016-12-06 11:35 - 2016-12-06 11:35 - 4200395 _____ () C:\Users\DV\AppData\Roaming\swEXT.exe
2016-12-06 11:35 - 2016-12-06 11:35 - 0000040 _____ () C:\Users\DV\AppData\Roaming\swEXT.exe.sha1
2015-09-01 14:38 - 2015-09-01 14:38 - 0000000 _____ () C:\Users\DV\AppData\Local\{4B912232-A929-4110-B588-6B37B8EBB60F}
2016-10-31 11:50 - 2016-10-31 11:50 - 0000000 _____ () C:\Users\DV\AppData\Local\{9EEF67C9-62DA-4F38-ACAD-0C00363F9841}
2016-11-21 14:00 - 2016-11-21 14:00 - 0000000 _____ () C:\Users\DV\AppData\Local\{A321BA20-3214-45E6-AEC8-B040CC37EE5B}
C:\Users\DV\AppData\Local\Temp\2a25cc5a-2475-48f4-8042-ffbe4108baee.exe
C:\Users\DV\AppData\Local\Temp\HitmanPro.exe
C:\Users\DV\AppData\Local\Temp\HitmanPro_x64.exe
C:\Users\DV\AppData\Local\Temp\MailRuUpdater.exe
Task: {9EA71EF8-3E1F-42B6-86D4-A801249120AC} - \SafeWeb2 -> No File <==== ATTENTION
Task: {B8C52ED3-143A-48EA-901C-DE7EA5B17D9E} - \GS_Booster-S-576482620 -> No File <==== ATTENTION
Task: {DB1D91D4-C2F9-4F09-AAF7-3DF8C1EDF9E5} - \SafeWeb -> No File <==== ATTENTION
Shortcut: C:\Users\DV\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) <===== Cyrillic
ShortcutWithArgument: C:\Users\DV\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://kartasim.ru/?utm_source=startlink03&utm_term=79AF39C3A52F1859B68F5B0307FC4664"
 
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
0
Kens
0 / 0 / 0
Регистрация: 18.12.2016
Сообщений: 21
19.12.2016, 09:43  [ТС] 10
Добрый день! Прилагаю.
0
Вложения
Тип файла: txt Fixlog.txt (10.8 Кб, 1 просмотров)
severnyj
Вирусоборец
2953 / 1581 / 201
Регистрация: 04.04.2012
Сообщений: 5,906
19.12.2016, 09:54 11
Что с проблемой?
0
Kens
0 / 0 / 0
Регистрация: 18.12.2016
Сообщений: 21
19.12.2016, 13:13  [ТС] 12
Проблема решена, переадресация на mail.ru больше не происходит, спасибо Вам большое!
0
severnyj
Вирусоборец
2953 / 1581 / 201
Регистрация: 04.04.2012
Сообщений: 5,906
19.12.2016, 13:29 13
Напоследок подготовьте лог SecurityCheck by glax24: http://safezone.cc/resources/securit...ad?version=838
0
19.12.2016, 13:29
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
19.12.2016, 13:29

В Google Chrom открываются вкладки с рекламой, переадресация поисковых запросов на mail.ru
Добрый день! Скачал активатор программы и получил кучу проблем. Происходит...

Принудительная переадресация на поиск mail.ru
Девушка искала &quot;Ревит&quot; устанавливала сама, перепробовала кучу экзешников, как...

Переадресация поисковых систем в Хроме на поисковик майл, переодическое открывание вкладок с рекламой вулка и
При поиске ключа для программы повышения громкости скачал патч, вместе с ним...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
13
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru