Переадресация на mail.ru и реклама в браузере

@Baisad · Регистрация: 08.06.2017

Author24 — интернет-сервис помощи студентам

Добрый вечер!
Возымел сегодня ненароком проблему. Просканировал систему с помощью malwarebytes, была найдена огромная куча всякой дряни, но дрянь была удалена.
Вместе с тем на страницах браузера осталось множество рекламы, появляются всплывающие окна при совершении каких-то активностей в браузере. Поиск в google перенаправляет на поиск от mail.ru через некий websearchtds.ru - причём, как показала проверка, всё это актуально для двух браузеров.

@thyrex · 09.06.2017, 07:26

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Yandex\Punto Switcher\punto.bat','');
 QuarantineFile('C:\Users\Пользователь\AppData\Local\Kometa\Application\kometa.bat','');
 SetServiceStart('MaskitService', 4);
 SetServiceStart('netfilter2', 4);
 DeleteService('netfilter2');
 DeleteService('MaskitService');
 QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys','');
 QuarantineFile('C:\Program Files\Maskit\MaskitService.exe','');
 DeleteFile('C:\Program Files\Maskit\MaskitService.exe','32');
 DeleteFile('C:\Windows\system32\drivers\netfilter2.sys','32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Kometa\Application\kometa.bat','32');
 DeleteFile('C:\Program Files\Yandex\Punto Switcher\punto.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке
http://dragokas.com/tools/move.gif
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

@Baisad · 09.06.2017, 09:07 **[ТС]**

Благодарю за ответ! Архив с карантином прикрепил.
К сообщению, соответственно, прилагаю запрашиваемые логи.

@thyrex · 11.06.2017, 13:33

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

@Baisad · 11.06.2017, 17:39 **[ТС]**

Выполнил, спасибо, архив прикладываю!

@Baisad · 15.06.2017, 19:19 **[ТС]**

Не хотелось бы наглеть, но попробую поднять топик.

@thyrex · 18.06.2017, 09:28

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-1518045118-243451894-482144375-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\b1kvqhtp.default -> Ask.com
OPR Extension: (Fast search) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-06-08]
OPR StartupUrls: "hxxp://www.istartsurf.com/?type=hp&ts=1438747152&z=86f0baec5e8d47fac071fdcgbz8ccbbmczcm6o0qac&from=cor&uid=ST1000DM003-1CH162_Z1D1MFJ6XXXXZ1D1MFJ6"
CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
2017-06-08 16:37 - 2017-06-08 16:38 - 0924432 _____ (Star Line                                                   ) C:\Users\Пользователь\AppData\Local\Temp\maskitinstaller.exe
Task: {F5AC0787-B7F6-4CB8-B987-57F4CAAE8339} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
Task: {5C0EA71E-4916-4411-B031-D96BA99F9532} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
Task: {74A59384-ED3E-496D-9889-61EAE507EA24} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
Task: {258042FC-753D-4806-85FF-51BFF23654EA} - \{98038CA0-02FB-466E-923F-9F0C6EDFCB0F} -> No File <==== ATTENTION
Task: {10ECF4E2-9725-418F-98CE-8EA9C86FC0A9} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION
CustomCLSID: HKU\S-1-5-21-1518045118-243451894-482144375-1000_Classes\CLSID\{DB25D157-76D4-41C1-97B5-359E4A4CECEB}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Google\Update\1.3.21.65\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1518045118-243451894-482144375-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Google\Update\1.3.22.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1518045118-243451894-482144375-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Google\Update\1.3.21.111\psuser.dll => No File
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

@Baisad · 18.06.2017, 17:12 **[ТС]**

Спасибо большое, файл прикладываю!

@thyrex · 22.06.2017, 06:23

Что с проблемой?

@Baisad · 22.06.2017, 07:01 **[ТС]**

Сообщение от thyrex

Что с проблемой?

Увы, по-прежнему: реклама лезет отовсюду, а всякий запрос в поиске автоматически перебрасывает на поиск от mail.ru

@Sandor · 22.06.2017, 11:39

В каком браузере? Проверьте в IE.

@Baisad · 22.06.2017, 18:46 **[ТС]**

Сообщение от Sandor

В каком браузере? Проверьте в IE.

Проблема актуальна для Google Chrome. Сейчас проверил через IE и через Opera - там, насколько могу судить, всё работает корректно.

@Sandor · 23.06.2017, 08:41

Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

@Baisad · 23.06.2017, 16:02 **[ТС]**

Сообщение от Sandor

Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

Отключил всё, но, увы, проблема не решилась.

@thyrex · 23.06.2017, 19:44

Пробуйте переустановить Хром

@Baisad · 01.07.2017, 21:14 **[ТС]**

Большое спасибо! Спешу сообщить, что это решение помогло!

@Sandor · 02.07.2017, 14:35

В завершение:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	09.06.2017, 07:26	2
	Выполните скрипт в AVZ Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\Yandex\Punto Switcher\punto.bat',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Kometa\Application\kometa.bat',''); SetServiceStart('MaskitService', 4); SetServiceStart('netfilter2', 4); DeleteService('netfilter2'); DeleteService('MaskitService'); QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys',''); QuarantineFile('C:\Program Files\Maskit\MaskitService.exe',''); DeleteFile('C:\Program Files\Maskit\MaskitService.exe','32'); DeleteFile('C:\Windows\system32\drivers\netfilter2.sys','32'); DeleteFile('C:\Users\Пользователь\AppData\Local\Kometa\Application\kometa.bat','32'); DeleteFile('C:\Program Files\Yandex\Punto Switcher\punto.bat','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ Код begin CreateQurantineArchive('c:\quarantine.zip'); end. Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!! Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. 1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке http://dragokas.com/tools/move.gif 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	11.06.2017, 13:33	4
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив**) и прикрепите к сообщению. 0

@Baisad 0 / 0 / 0 Регистрация: 08.06.2017 Сообщений: 10
	15.06.2017, 19:19 [ТС]	6
	Не хотелось бы наглеть, но попробую поднять топик. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	22.06.2017, 06:23	9
	Что с проблемой? 0

@Baisad 0 / 0 / 0 Регистрация: 08.06.2017 Сообщений: 10
	22.06.2017, 07:01 [ТС]	10
	Сообщение от thyrex Что с проблемой? Увы, по-прежнему: реклама лезет отовсюду, а всякий запрос в поиске автоматически перебрасывает на поиск от mail.ru 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,064
	22.06.2017, 11:39	11
	В каком браузере? Проверьте в IE. 0

@Baisad 0 / 0 / 0 Регистрация: 08.06.2017 Сообщений: 10
	22.06.2017, 18:46 [ТС]	12
	Сообщение от Sandor В каком браузере? Проверьте в IE. Проблема актуальна для Google Chrome. Сейчас проверил через IE и через Opera - там, насколько могу судить, всё работает корректно. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,064
	23.06.2017, 08:41	13
	Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите. 0

@Baisad 0 / 0 / 0 Регистрация: 08.06.2017 Сообщений: 10
	23.06.2017, 16:02 [ТС]	14
	Сообщение от Sandor Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите. Отключил всё, но, увы, проблема не решилась. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	23.06.2017, 19:44	15
	Пробуйте переустановить Хром 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,064
	02.07.2017, 14:35	17
	В завершение: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

	02.07.2017, 14:35

@Baisad 0 / 0 / 0 Регистрация: 08.06.2017 Сообщений: 10
	01.07.2017, 21:14 [ТС]	16
	Большое спасибо! Спешу сообщить, что это решение помогло! 0