Перенаправляет в браузере с поисковика гугл на go mail (Опера и Хром)

@Молостов · Регистрация: 03.11.2016

Author24 — интернет-сервис помощи студентам

Добрый день, проблема в перенаправлении поисковика, логи прикладываю

@Sandor · 03.11.2016, 12:19

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Молостов. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\mad_maks\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\mad_maks\appdata\local\powermonitor', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\MAD_MAKS\AppData\Local\Temp\_MEI12882\python27.dll', '');
 QuarantineFile('C:\Users\MAD_MAKS\AppData\LocalLow\SearchGo\searchgo.dll', '');
 QuarantineFile('C:\Users\MAD_MAKS\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Users\MAD_MAKS\AppData\Local\PowerMonitor\PowerMonitor.exe', '');
 QuarantineFile('C:\Users\MAD_MAKS\AppData\Local\SearchGo\searchgo.exe', '');
 QuarantineFile('C:\Users\MAD_MAKS\appdata\local\temp\e.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PowerMonitor" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 DeleteFile('C:\Users\MAD_MAKS\AppData\Local\Temp\_MEI12882\python27.dll', '32');
 DeleteFile('C:\Users\MAD_MAKS\AppData\LocalLow\SearchGo\searchgo.dll', '32');
 DeleteFile('C:\Users\MAD_MAKS\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Users\MAD_MAKS\AppData\Local\PowerMonitor\PowerMonitor.exe', '32');
 DeleteFile('C:\Users\MAD_MAKS\AppData\Local\SearchGo\searchgo.exe', '32');
 DeleteFile('C:\Users\MAD_MAKS\appdata\local\temp\e.exe', '32');
 DeleteFileMask('c:\users\mad_maks\appdata\local\fupdate', '*', true);
 DeleteFileMask('c:\users\mad_maks\appdata\local\powermonitor', '*', true);
 DeleteDirectory('c:\users\mad_maks\appdata\local\fupdate');
 DeleteDirectory('c:\users\mad_maks\appdata\local\powermonitor');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rjkhvdrrbc');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@Молостов · 03.11.2016, 12:45 **[ТС]**

Лог, карантин отправил по форме

@Молостов · 03.11.2016, 12:47 **[ТС]**

Скан Клинера

@Sandor · 04.11.2016, 09:42

1.

Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Молостов · 04.11.2016, 10:54 **[ТС]**

Все файлы, отчеты во вложении

@Sandor · 04.11.2016, 11:00

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CHR HomePage: Default -> go.mail.ru/?fr=chhp11.0.29__PARAM__
CHR StartupUrls: Default -> "hxxp://vk.com/feed","hxxps://www.google.ru/","hxxp://mail.ru/cnt/10445","hxxp://www.google.com/","hxxp://mail.ru/cnt/10445?gp=818405"
OPR StartupUrls: "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=C8C59E7228D79BBCB4E6867EB4DCA9B6&utm_d=20161025"
FirewallRules: [{BA7B05CB-4636-4E63-A8D9-2E0C607530FE}] => (Allow) C:\Program Files\UBar\ubar.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

@Молостов · 04.11.2016, 11:09 **[ТС]**

Проблема пока что не решилась

@Sandor · 04.11.2016, 11:11

Отключите в проблемных браузерах все расширения, в т.ч. стандартные. Пропадет, включайте по одному, пока не найдете виновника. Название сообщите.

@Молостов · 04.11.2016, 11:14 **[ТС]**

Спасибо, устранил проблему.
Виновное приложение было "Google Презентации"

@Sandor · 04.11.2016, 11:20

Подменено вредоносом.

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Молостов · 04.11.2016, 11:28 **[ТС]**

Готово

@Sandor · 04.11.2016, 11:59

--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.6.42178 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,126
	04.11.2016, 11:59	13
	--------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.6.42178 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. ---------------------------- [ UnwantedApps ] ----------------------------- Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Прочтите и выполните Рекомендации после удаления вредоносного ПО 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,126
	04.11.2016, 09:42	5
	1. Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,126
	04.11.2016, 11:00	7
	Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool. Cкопируйте в него текст из окна "winbatch" ниже и сохраните. Windows Batch file start CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%" CreateRestorePoint: CHR HomePage: Default -> go.mail.ru/?fr=chhp11.0.29__PARAM__ CHR StartupUrls: Default -> "hxxp://vk.com/feed","hxxps://www.google.ru/","hxxp://mail.ru/cnt/10445","hxxp://www.google.com/","hxxp://mail.ru/cnt/10445?gp=818405" OPR StartupUrls: "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=C8C59E7228D79BBCB4E6867EB4DCA9B6&utm_d=20161025" FirewallRules: [{BA7B05CB-4636-4E63-A8D9-2E0C607530FE}] => (Allow) C:\Program Files\UBar\ubar.exe EmptyTemp: Reboot: end Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Сообщите что с проблемой. 1

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,126
	04.11.2016, 11:11	9
	Сообщение было отмечено Молостов как решение Решение Отключите в проблемных браузерах все расширения, в т.ч. стандартные. Пропадет, включайте по одному, пока не найдете виновника. Название сообщите. 1

@Молостов 0 / 0 / 0 Регистрация: 03.11.2016 Сообщений: 7
	04.11.2016, 11:14 [ТС]	10
	Спасибо, устранил проблему. Виновное приложение было "Google Презентации" 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,126
	04.11.2016, 11:20	11
	Подменено вредоносом. В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

Перенаправляет в браузере с поисковика гугл на go mail (Опера и Хром)

Решение