В google chrome поисковик перекидывает на go.mail.ru, неудаляемое расширение

@Fp7175 · Регистрация: 22.09.2015

Author24 — интернет-сервис помощи студентам

Добрый день! С недавнего времени поисковик стал перекидывать на go.mail.ru и появилось расширение, которое невозможно удалить (sales bar). Переустановка браузера, чистка реестра (даже вручную), сканирование adwcleaner и прочие стандартные операции не помогают. Прошу помощи, логи прилагаю.

@Sandor · 08.06.2016, 09:01

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Fp7175. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\programdata\doubleing', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\ivan\appdata\roaming\freevpn', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\ProgramData\Doubleing\Doubleing.exe', '');
 QuarantineFile('C:\ProgramData\Doubleing\Joyfan.dll', '');
 QuarantineFile('C:\ProgramData\Doubleing\Hatzamhold.dll', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '');
 QuarantineFile('C:\Users\Ivan\AppData\Roaming\FreeVPN\FreeVPN.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "FreeVPN" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\Doubleing\Doubleing.exe', '32');
 DeleteFile('C:\ProgramData\Doubleing\Joyfan.dll', '32');
 DeleteFile('C:\ProgramData\Doubleing\Hatzamhold.dll', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '32');
 DeleteFile('C:\Users\Ivan\AppData\Roaming\FreeVPN\FreeVPN.exe', '32');
 DeleteFileMask('c:\programdata\doubleing', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteFileMask('c:\users\ivan\appdata\roaming\freevpn', '*', true);
 DeleteDirectory('c:\programdata\doubleing');
 DeleteDirectory('c:\programdata\krb updater utility');
 DeleteDirectory('c:\users\ivan\appdata\roaming\freevpn');
 DeleteService('Doubleing');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте и прикрепите лог сканирования AdwCleaner.

@Fp7175 · 08.06.2016, 09:17 **[ТС]**

Отчет Adwcleaner

@Sandor · 08.06.2016, 09:31

# AdwCleaner v5.118 - Отчёт создан 28/05/2016 в 11:55:33

Версия программы и дата - старые. Переделайте, пожалуйста.

@Fp7175 · 08.06.2016, 09:41 **[ТС]**

Извиняюсь, не заметил. Переделал.

@Sandor · 08.06.2016, 09:43

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Fp7175 · 08.06.2016, 09:48 **[ТС]**

Результаты FRST64

@Sandor · 08.06.2016, 09:55

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
HKLM-x32\...\Run: [sun21] => [X]
CHR HKU\S-1-5-21-1293918154-2624263161-1727075001-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR StartupUrls: Profile 1 -> "hxxp://mail.ru/cnt/7993/","hxxp://www.google.com/","hxxp://d2ucfwpxlh3zh3.cloudfront.net/?ts=AHEqB34rAX4pB0..&v=20160525&uid=B03DE63838EAD4FF9787ECEB640C49AD&ptid=clc&mode=loadm"
CHR Extension: (Salesbar) - C:\Users\Ivan\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\hmcckdbgcfpgpljphmimkncaijcgmmek [2016-06-01]
2016-05-26 17:31 - 2016-05-28 11:13 - 00000000 ____D C:\Users\Ivan\AppData\Roaming\LU2gk
2016-05-26 17:31 - 2016-05-26 17:31 - 00003176 _____ C:\WINDOWS\System32\Tasks\MailRuUpdater
2016-05-26 17:29 - 2016-06-08 13:39 - 00000438 _____ C:\WINDOWS\Tasks\4B53433553_2044.job
2016-05-26 17:29 - 2016-06-08 13:39 - 00000416 _____ C:\WINDOWS\Tasks\UrlControl.job
2016-05-26 17:29 - 2016-05-28 11:14 - 00000000 ____D C:\Users\Ivan\AppData\Roaming\UrlControl_
2016-05-26 17:26 - 2016-05-26 17:26 - 00000000 ____D C:\Users\Ivan\AppData\Local\cache
2016-05-26 17:25 - 2016-05-26 17:25 - 06859776 _____ C:\Users\Ivan\AppData\Roaming\agent.dat
2016-05-26 17:25 - 2016-05-26 17:25 - 02279413 _____ C:\Users\Ivan\AppData\Roaming\Kanron.bin
2016-05-26 17:25 - 2016-05-26 17:25 - 01756488 _____ C:\Users\Ivan\AppData\Roaming\Green-Plus.tst
2016-05-26 17:25 - 2016-05-26 17:25 - 00126464 _____ C:\Users\Ivan\AppData\Roaming\noah.dat
2016-05-26 17:25 - 2016-05-26 17:25 - 00067776 _____ C:\Users\Ivan\AppData\Roaming\Config.xml
2016-05-26 17:25 - 2016-05-26 17:25 - 00018432 _____ C:\Users\Ivan\AppData\Roaming\Main.dat
2016-05-26 17:25 - 2016-05-26 17:24 - 00948736 _____ C:\Users\Ivan\AppData\Roaming\Green-Plus.exe
2016-05-26 17:24 - 2016-05-26 17:25 - 00005568 _____ C:\Users\Ivan\AppData\Roaming\md.xml
2016-05-26 17:24 - 2016-05-26 17:24 - 00948736 _____ C:\Users\Ivan\AppData\Roaming\Touchex.exe
2016-05-26 17:24 - 2016-05-26 17:24 - 00128512 _____ C:\Users\Ivan\AppData\Roaming\Installer.dat
2016-05-26 17:24 - 2016-05-26 17:24 - 00126464 _____ C:\Users\Ivan\AppData\Roaming\lobby.dat
2016-05-26 17:24 - 2016-05-26 17:24 - 00072827 _____ C:\Users\Ivan\AppData\Roaming\Touchex.tst
2016-05-26 17:24 - 2016-05-26 17:24 - 00054272 _____ C:\Users\Ivan\AppData\Roaming\ApplicationHosting.dat
2016-05-26 17:24 - 2016-05-26 17:24 - 00018480 _____ C:\Users\Ivan\AppData\Roaming\InstallationConfiguration.xml
Task: {275E3DB7-0F9E-47D7-B674-C449E4A2396B} - \4B53433553_2044 -> No File <==== ATTENTION
Task: {494A41D9-A864-4616-9400-3362DFD9A25F} - System32\Tasks\{A57D8B40-E3B7-4EB9-AC56-18566220D73C} => C:\Program Files (x86)\Common Files\AppDownloads\{A57D8B40-E3B7-4EB9-AC56-18566220D73C}.exe
Task: {60C44382-54A2-46C2-8AB2-B9129F6CA160} - \UrlControl -> No File <==== ATTENTION
Task: {C0918480-6098-48BF-BF6F-79C84E45C9FB} - System32\Tasks\MailRuUpdater => C:\Users\Ivan\AppData\Local\Mail.Ru\MailRuUpdater.exe
Task: {E0AEE3A8-0950-448D-AB91-32AC5FB9234D} - System32\Tasks\{ADB24592-60E6-49A6-A187-5FE064915D32} => C:\Program Files (x86)\Common Files\AppDownloads\{ADB24592-60E6-49A6-A187-5FE064915D32}.exe
Task: {F001C103-EB0A-47ED-9311-6D92F4E07E6A} - System32\Tasks\Microsoft\Windows\Multimedia\FreeVPN => C:\Users\Ivan\AppData\Roaming\FreeVPN\FreeVPN.exe <==== ATTENTION
Task: {FE59488D-2724-4D82-8F79-563E2ED4B2C8} - System32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service => C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe
Task: C:\WINDOWS\Tasks\4B53433553_2044.job => C:\Users\Ivan\AppData\Local\4B53433553_2044\s_inst.exe
Task: C:\WINDOWS\Tasks\UrlControl.job => C:\Users\Ivan\AppData\Roaming\UrlControl_\url_opener.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

@Fp7175 · 08.06.2016, 10:08 **[ТС]**

Поисковик теперь работает исправно, расширение по-прежнему на месте.

@Sandor · 08.06.2016, 10:13

Сообщение от Fp7175

расширение по-прежнему на месте

Выйдите из аккаунта и повторите логи FRST.

@Fp7175 · 08.06.2016, 10:22 **[ТС]**

Обе проблемы устранены. Спасибо, что вы есть.

@Sandor · 08.06.2016, 10:26

Теперь войдите в аккаунт и синхронизируйте.

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Fp7175 · 08.06.2016, 10:31 **[ТС]**

Отчет SecurityCheck

@Sandor · 08.06.2016, 10:33

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.212.10586.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления
TeamViewer 11 v.11.0.53254 Внимание! Скачать обновления
VLC media player v.2.2.1 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.18 v.7.18.112 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.7.42330 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 31 (64-bit) v.8.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u92-windows-x64.exe)^
Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u92-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.17.0.0.124 Внимание! Скачать обновления
Adobe Shockwave Player + Authorware Web Player v.v12.1.7.157 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Shockwave Player.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.51.0.2704.63 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	08.06.2016, 09:31	4
	# AdwCleaner v5.118 - Отчёт создан 28/05/2016 в 11:55:33 Версия программы и дата - старые. Переделайте, пожалуйста. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	08.06.2016, 09:43	6
	Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	08.06.2016, 10:13	10
	Сообщение от Fp7175 расширение по-прежнему на месте Выйдите из аккаунта и повторите логи FRST. 1

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	08.06.2016, 10:26	12
	Теперь войдите в аккаунт и синхронизируйте. В завершение: 1. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	08.06.2016, 10:33	14
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.212.10586.0 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления TeamViewer 11 v.11.0.53254 Внимание! Скачать обновления VLC media player v.2.2.1 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.18 v.7.18.112 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.7.42330 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 31 (64-bit) v.8.0.310 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u92-windows-x64.exe)^ Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u92-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.17.0.0.124 Внимание! Скачать обновления Adobe Shockwave Player + Authorware Web Player v.v12.1.7.157 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Shockwave Player. ------------------------------- [ Browser ] ------------------------------- Google Chrome v.51.0.2704.63 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ ---------------------------- [ UnwantedApps ] ----------------------------- Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Прочтите и выполните Рекомендации после удаления вредоносного ПО 0