Time-to-read.ru. автоматически открывается в Internet Explorere

@ВС · Регистрация: 21.05.2016

Author24 — интернет-сервис помощи студентам

Добрый день!
Проблема с компьютером, Google Chrome загрузил поисковик Рамблер и time-to-read.ru.
Я его удалил и почистил комп Malwarebytes, но после перезагрузки time-to-read.ru загружается в Internet Explorere,
а Malwarebytes находит две потенциально нежелательных программ. И так после каждой загрузки винды.
Пожалуйста помогите !!!

@thyrex · 21.05.2016, 08:45

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@ВС · 21.05.2016, 19:10 **[ТС]**

После сканирования AVZ, как прикрепить CollectionLog-2016.05.21-18.01 к моему сообщению.

@ВС · 21.05.2016, 21:03 **[ТС]**

CollectionLog-2016.05.21-18.01

@Sandor · 22.05.2016, 11:58

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя ВС. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\мв\appdata\local\microsoft\extensions', '*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\мв\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Users\мв\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\Users\мв\AppData\Local\fupdate\fupdate.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Users\мв\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\Users\мв\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteFileMask('c:\users\мв\appdata\local\microsoft\extensions', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteFileMask('c:\users\мв\appdata\local\fupdate', '*', true);
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 DeleteDirectory('c:\programdata\krb updater utility');
 DeleteDirectory('c:\users\мв\appdata\local\fupdate');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','blfyuroufn');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','extsetup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте и прикрепите лог сканирования AdwCleaner.

@ВС · 23.05.2016, 20:53 **[ТС]**

Выполнил скрипт в AVZ. AdwCleaner сканирование прикрепляю.

@Sandor · 23.05.2016, 20:55

1.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@ВС · 24.05.2016, 21:37 **[ТС]**

Добрый вечер! Google Chrome начал автоматически закрываться. После на рабочем столе появляется ярлык Google Chrome и еще пять ярлыков (Aliexpress, Black Desert, Star Conflict, War Thunder, Новости)

@severnyj · 24.05.2016, 21:47

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
HKLM\...\Policies\Explorer\Run: [4155F60F-A559-4F01-9D70-C22E6DBDA6CD] => C:\Users\мв\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\03BEFF04-DE2A-4072-8808-CC89EE411F20.exe [943773 2016-05-07] ()
HKLM\...\Policies\Explorer\Run: [SafeBrowser] => C:\Users\мв\AppData\Local\Microsoft\Extensions\extsetup.exe [463347 2016-05-24] ()
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
SearchScopes: HKU\S-1-5-21-3594727865-4135937377-1634407359-1002 -> AE0374CC542AFFCBA82A789478022B93 URL = 
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
FF Homepage: hxxp://mail.ru/cnt/10445?gp=811013
FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7B6CD26B51-5962-47F4-A76B-3195FE8FF862%7D&gp=811014
FF Plugin HKU\S-1-5-21-3594727865-4135937377-1634407359-1002: @mail.ru/GameCenter -> C:\Users\мв\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms}&fr=chxtn7.0.2__PARAM__
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (News Tab) - C:\Users\мв\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-05-24]
CHR Extension: (Mail.Ru) - C:\Users\мв\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgcifljfapbhgiehkjlckfjmgeojijcb [2016-05-21]
CHR Extension: (Bookmarkplay) - C:\Users\мв\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhmpnibiagopmobamhlgaghkojlcjnfn [2016-05-24]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\мв\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-05-21]
CHR HKU\S-1-5-21-3594727865-4135937377-1634407359-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3594727865-4135937377-1634407359-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (News Tab) - C:\Users\мв\AppData\Roaming\Opera Software\Opera Stable\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-05-24]
OPR Extension: (Bookmarkplay) - C:\Users\мв\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhmpnibiagopmobamhlgaghkojlcjnfn [2016-05-24]
OPR Extension: (Smart Browser™) - C:\Users\мв\AppData\Roaming\Opera Software\Opera Stable\Extensions\gamgcdlfhmmigjmbffodgkpglbnejkjm [2016-05-23]
2016-05-24 20:17 - 2016-05-24 20:17 - 00000000 ____D C:\Users\мв\AppData\Local\Kometa
2016-05-24 20:17 - 2016-05-24 20:17 - 00000000 ____D C:\Users\мв\AppData\Local\Amigo
2016-05-07 23:04 - 2016-05-07 23:04 - 00000000 ____D C:\Users\мв\AppData\Local\Вoйти в Интeрнет
2016-05-07 23:00 - 2016-05-07 23:00 - 00000000 ____D C:\Users\мв\AppData\Roaming\Awesomium
Task: {2FA10D1B-C1F6-46BE-A343-174B6F2555E5} - System32\Tasks\Microsoft\Windows\SafeBrowser => C:\Users\мв\AppData\Local\Microsoft\Extensions\extsetup.exe [2016-05-24] ()
Task: {930ABC91-C59D-45CD-8ACA-A96D3A9D8052} - System32\Tasks\Microsoft\extsetup => C:\Users\мв\AppData\Local\Microsoft\Extensions\extsetup.exe [2016-05-24] ()
Task: {C0ACEFFA-4932-42EC-9EE6-1A05D305422C} - System32\Tasks\Microsoft\Windows\extsetup => C:\Users\мв\AppData\Local\Microsoft\Extensions\extsetup.exe [2016-05-24] ()
Task: {C7D53EC7-A576-4B0E-B760-196FDEEA47F4} - System32\Tasks\Microsoft\Windows\A4155F60F-A559-4F01-9D70-C22E6DBDA6CD => C:\Users\мв\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\03BEFF04-DE2A-4072-8808-CC89EE411F20.exe [2016-05-07] ()
Task: {CF0806B2-8D7A-4367-A4CF-349636BAB365} - System32\Tasks\Microsoft\SafeBrowser => C:\Users\мв\AppData\Local\Microsoft\Extensions\extsetup.exe [2016-05-24] ()

cmd: ipconfig /flushdns
cmd: ipconfig /release
cmd: ipconfig /renew
cmd: bitsadmin /reset /allusers
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@ВС · 25.05.2016, 00:09 **[ТС]**

Лог-файл.

@severnyj · 25.05.2016, 09:05

Еще одно сканирование в AdwCleaner сделайте, лог приложите.

@ВС · 26.05.2016, 20:09 **[ТС]**

Добрый вечер! Прикрепляю отчет.

@Sandor · 26.05.2016, 20:12

Если проблема еще сохраняется, сделайте еще раз свежие логи FRST.

@ВС · 26.05.2016, 21:42 **[ТС]**

Перегрузил компьютер, все в порядке. Огромное, Огромное СПАСИБО!!!

@Sandor · 28.05.2016, 08:48

Завершаем:
1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@ВС · 28.05.2016, 22:21 **[ТС]**

Добрый вечер! Прикрепляю файл сканирования SecurityCheck.

@ВС · 29.05.2016, 13:43 **[ТС]**

Добрый день! Еще раз Огромное спасибо за помощь.

@Sandor · 30.05.2016, 09:23

--------------------------- [ OtherUtilities ] ----------------------------
Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.6 v.7.6.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.6.42094 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 21 NPAPI v.21.0.0.213 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.50.0.2661.102 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Video and Audio Plugin UBar v.1.1.36.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@ВС · 04.06.2016, 15:20 **[ТС]**

Добрый день! Выполнил все рекомендации. Спасибо!!!

@ВС 0 / 0 / 0 Регистрация: 21.05.2016 Сообщений: 11
		1
	Time-to-read.ru. автоматически открывается в Internet Explorere 21.05.2016, 03:21. Показов 875. Ответов 18 Метки нет (Все метки) Добрый день! Проблема с компьютером, Google Chrome загрузил поисковик Рамблер и time-to-read.ru. Я его удалил и почистил комп Malwarebytes, но после перезагрузки time-to-read.ru загружается в Internet Explorere, а Malwarebytes находит две потенциально нежелательных программ. И так после каждой загрузки винды. Пожалуйста помогите !!! 0

@thyrex 13272 / 7396 / 1565 Регистрация: 06.09.2009 Сообщений: 26,961
	21.05.2016, 08:45	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@ВС 0 / 0 / 0 Регистрация: 21.05.2016 Сообщений: 11
	21.05.2016, 19:10 [ТС]	3
	После сканирования AVZ, как прикрепить CollectionLog-2016.05.21-18.01 к моему сообщению. 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,124
	23.05.2016, 20:55	7
	1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@severnyj 3930 / 2135 / 355 Регистрация: 04.04.2012 Сообщений: 7,858
	25.05.2016, 09:05	11
	Еще одно сканирование в AdwCleaner сделайте, лог приложите. 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,124
	26.05.2016, 20:12	13
	Если проблема еще сохраняется, сделайте еще раз свежие логи FRST. 0

@ВС 0 / 0 / 0 Регистрация: 21.05.2016 Сообщений: 11
	26.05.2016, 21:42 [ТС]	14
	Перегрузил компьютер, все в порядке. Огромное, Огромное СПАСИБО!!! 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,124
	28.05.2016, 08:48	15
	Завершаем: 1. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@ВС 0 / 0 / 0 Регистрация: 21.05.2016 Сообщений: 11
	29.05.2016, 13:43 [ТС]	17
	Добрый день! Еще раз Огромное спасибо за помощь. 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,124
	30.05.2016, 09:23	18
	--------------------------- [ OtherUtilities ] ---------------------------- Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком. --------------------------------- [ IM ] ---------------------------------- Skype™ 7.6 v.7.6.105 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.6.42094 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 21 NPAPI v.21.0.0.213 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Google Chrome v.50.0.2661.102 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ ---------------------------- [ UnwantedApps ] ----------------------------- Video and Audio Plugin UBar v.1.1.36.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Прочтите и выполните Рекомендации после удаления вредоносного ПО 0

	04.06.2016, 15:20

@ВС 0 / 0 / 0 Регистрация: 21.05.2016 Сообщений: 11
	04.06.2016, 15:20 [ТС]	19
	Добрый день! Выполнил все рекомендации. Спасибо!!! 0