Реклама в chrome и принудительная переадресация на поиск mail.ru

@ivan333111 · Регистрация: 08.01.2017

Author24 — интернет-сервис помощи студентам

Здравствуйте.
В Windows 7 в Chrome при запросах поиска идет переадресация на поиск mail.ru.
Удалил программы mail.ru и выставил по умолчанию поисковую систему google в хроме - все равно идет переадресация на поиск mail.ru и высвечиваются какие-то окна с рекламой казино Вулкан.
Переустановка CHROME не помогает.
Помогите, пожалуйста.

@severnyj · 08.01.2017, 04:08

Выполните скрипт в AVZ

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files\vk ok adblock\ieef\6esz_zo.exe');
 QuarantineFile('D:\users\iVangok\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Program Files\VK OK AdBlock\Ra0YwvL.exe', '');
 QuarantineFile('D:\users\iVangok\AppData\Local\Microsoft\54933F6FBA2BDFE44AF7EC339591FE14\66C90FA3314A776B1CAE169FE88CA002.exe', '');
 QuarantineFile('C:\Program Files\Common Files\06CF030A-68C0-43CA-B48C-67B2592A6B39\15628B3F-E11E-438D-A9AD-F4B1348A25CA.exe', '');
 QuarantineFile('D:\users\iVangok\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\F096725A-571D-46EB-B1E2-9AA7E097F81A\F6317019-0C0E-4728-A657-D0EF4D3C8A76.exe', '');
 QuarantineFile('C:\Program Files\VK OK AdBlock\IEEF\Tj69RP.DLL', '');
 QuarantineFile('C:\Program Files\VK OK AdBlock\IEEF\Jb2FAsR.dll', '');
 QuarantineFile('c:\program files\vk ok adblock\ieef\6esz_zo.exe', '');
 DeleteFile('c:\program files\vk ok adblock\ieef\6esz_zo.exe', '32');
 DeleteFile('C:\Program Files\VK OK AdBlock\IEEF\Jb2FAsR.dll', '32');
 DeleteFile('C:\Program Files\VK OK AdBlock\IEEF\Tj69RP.DLL', '32');
 DeleteFile('C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe', '32');
 DeleteFile('D:\users\iVangok\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\F096725A-571D-46EB-B1E2-9AA7E097F81A\F6317019-0C0E-4728-A657-D0EF4D3C8A76.exe', '32');
 DeleteFile('C:\Program Files\Common Files\06CF030A-68C0-43CA-B48C-67B2592A6B39\15628B3F-E11E-438D-A9AD-F4B1348A25CA.exe', '32');
 DeleteFile('D:\users\iVangok\AppData\Local\Microsoft\54933F6FBA2BDFE44AF7EC339591FE14\66C90FA3314A776B1CAE169FE88CA002.exe', '32');
 DeleteFile('D:\users\iVangok\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '32');
 DeleteFile('C:\Program Files\Youtube AdBlock\IEEF\unwGbt0.dll', '32');
 DeleteFile('C:\Program Files\VK OK AdBlock\Ra0YwvL.exe', '32');
 DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock.job', '32');
 DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock2.job', '32');
 DeleteFile('C:\Windows\Tasks\Update Service for Youtube AdBlock.job', '32');
 DeleteFile('C:\Windows\Tasks\Update Service for Youtube AdBlock2.job', '32');
 DeleteFile('D:\users\iVangok\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\fupdate', '32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\8CA0028EF961EAC1B677A4133A66C90F', '32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\8CA0028EF961EAC1B677A4133A66C90FSB', '32');
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN', '32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\8CA0028EF961EAC1B677A4133A66C90F', '32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\8CA0028EF961EAC1B677A4133A66C90FSB', '32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\AF096725A-571D-46EB-B1E2-9AA7E097F81A', '32');
 DeleteFile('D:\users\iVangok\AppData\Local\SearchGo\searchgo.exe', '32');
 DeleteFile('D:\users\iVangok\AppData\Local\svshost\svshost.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\svshost', '32');
 DeleteFile('C:\Windows\system32\Tasks\SearchGo Task', '32');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for VK OK AdBlock', '32');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for VK OK AdBlock2', '32');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for Youtube AdBlock', '32');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for Youtube AdBlock2', '32');
 DeleteService('Guard.Mail.ru');
 DelBHO('{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}');
 DelBHO('{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575}');
 DelBHO('{95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B}');
 DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Youtube AdBlock" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Youtube AdBlock2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "8CA0028EF961EAC1B677A4133A66C90F" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "8CA0028EF961EAC1B677A4133A66C90FSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "AF096725A-571D-46EB-B1E2-9AA7E097F81A" /F', 0, 15000, true);
 DeleteFileMask('D:\users\iVangok\AppData\Local\svshost\', '*.*', true);
 DeleteDirectory('D:\users\iVangok\AppData\Local\svshost\');
 DeleteFileMask('D:\users\iVangok\AppData\Local\SearchGo\', '*.*', true);
 DeleteDirectory('D:\users\iVangok\AppData\Local\SearchGo\');
 DeleteFileMask('C:\Program Files\Kinoroom Browser\', '*.*', true);
 DeleteDirectory('C:\Program Files\Kinoroom Browser\');
 DeleteFileMask('D:\users\iVangok\AppData\Local\fupdate\', '*.*', true);
 DeleteDirectory('D:\users\iVangok\AppData\Local\fupdate\');
 DeleteFileMask('C:\Program Files\VK OK AdBlock\', '*.*', true);
 DeleteDirectory('C:\Program Files\VK OK AdBlock\');
 DeleteFileMask('C:\Program Files\Youtube AdBlock\', '*.*', true);
 DeleteDirectory('C:\Program Files\Youtube AdBlock\');
 DeleteFileMask('C:\Program Files\Mail.Ru\', '*.*', true);
 DeleteDirectory('C:\Program Files\Mail.Ru\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '8CA0028EF961EAC1B677A4133A66C90FSB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'AppDownloads');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'F096725A-571D-46EB-B1E2-9AA7E097F81A');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Добавлено через 22 минуты
А повторные логи Автологгера?

@ivan333111 · 08.01.2017, 04:26 **[ТС]**

только закончили формироваться.
Во вложении.
Письмо с карантином отправил.

@severnyj · 08.01.2017, 04:43

Скачайте и распакуйте из архива программу ClearLNK.exe

Перетащите файл-отчет ...\AutoLogger\CheckBrowserLnk\Check_Browsers_LNK.log на файл программы, как показано на рисунке по ссылке

http://dragokas.com/tools/move.gif

ВНИМАНИЕ: Приложите в теме, где Вам оказывают помощь, отчет ClearLNK-<Дата>.log, который будет создан в папке LOG рядом с программой.
Если отчет слишком большой, упакуйте его в архив формата ZIP.

Подготовьте лог сканирования Junkware Removal Tool: https://ru.malwarebytes.com/junkwareremovaltool/

Затем подготовьте лог сканирования AdwCleaner: https://www.cyberforum.ru/post6500078.html

@ivan333111 · 08.01.2017, 05:46 **[ТС]**

Отчеты во вложении.

@severnyj · 08.01.2017, 05:49

Ну больше половины пути прошли уже))

Удалите все найденное в AdwCleaner: https://www.cyberforum.ru/post6500085.html лог после удаления прикрепите

Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html

@ivan333111 · 08.01.2017, 06:01 **[ТС]**

хорошо=) Это у меня так много косяков в системе было или так глубоко залезла эта программа сменяющая поисковик?
Логи ниже.

@severnyj · 08.01.2017, 06:14

Так много косяков)) Прежде чем с майлом бороться 6-ых троянов выгнали))

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool (D:\Inet\!!!качаемое\AutoLogger\AutoLogger).

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Код

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
HKU\S-1-5-21-3074974926-3521521910-1248371252-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-3074974926-3521521910-1248371252-1000\Software\Microsoft\Internet Explorer\Main,Start Page = 
URLSearchHook: [S-1-5-21-3074974926-3521521910-1248371252-1000] ATTENTION => Default URLSearchHook is missing
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3074974926-3521521910-1248371252-1000 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = 
Toolbar: HKU\S-1-5-21-3074974926-3521521910-1248371252-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Keyword.URL: Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369 -> 
FF Extension: (No Name) - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev [not found]
FF Extension: (No Name) - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF SearchPlugin: D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\searchplugins\mail-ru.xml [2017-01-08]
FF Extension: (Adblocker for Youtube™) - C:\Program Files\Mozilla Firefox\browser\features\{95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} [2017-01-08] [not signed]
FF HKLM\...\Firefox\Extensions: [{79E5F4C2-755D-F5B5-F0F3-B67BAA7F247C}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{FB936EF3-53EA-EAA5-3428-69DC0495B201}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{0161BC6D-B9FA-3DA6-33D9-F5AE2238C66C}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{04A24C33-B3D2-2542-EA39-FAF856BBEC6F}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{B73CB613-A862-1929-580C-AD58B171578E}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{5267E09C-D02F-FE65-107D-F860888342D5}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{4114EF77-E6D9-BDD2-CFC7-04A90B087B89}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{BC4DE676-1DB0-30F4-A13E-4582D45D4994}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{569996EB-FF6D-CF79-C1D5-E885FE8BA21A}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{63FCD1EE-EC13-490D-4C77-00014681C7EB}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{D78C3648-1B17-341F-29FE-F974BC45079D}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{6BCF03D4-4389-321B-E8F3-75B2D57F282F}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{055AF69D-3382-18F2-41A5-B8689D1469F1}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{F91BE223-248E-4213-990A-C563ED3238F1}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{B5EE6DFC-FD62-2CD8-0620-8135117DB483}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{6C311160-4478-657F-249D-F44E2C8701E5}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{CE02947F-0E78-B4B9-4CDF-08640BE35205}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{191A6ED3-F8DD-2F3B-798A-86B0194EA0B1}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{9445F3DF-FD14-1308-4ED2-95C5CEEB169D}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{C28D9526-2C81-593E-E4CA-C74DD12DF301}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{B18986C4-DB8A-4731-9630-705F21020E01}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{ED62B96D-16D0-5AD5-3980-127B17E42B8E}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{05C914D6-B6B2-6E43-782D-EDD92426D349}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{1890FE12-221F-E43F-85E1-09DF9BE56DAD}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{71FC6045-11AE-786E-A63D-E59E9F1A4A8E}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
FF HKLM\...\Firefox\Extensions: [{F7FDCB29-0EFB-343A-4E78-FF9C1B57E003}] - D:\users\iVangok\AppData\Roaming\Mozilla\Firefox\Profiles\a73u9yri.default-1463221963369\extensions\sbext@slext.dev => not found
CHR Extension: (Блокировщик рекламы в социальных сетях) - D:\users\iVangok\AppData\Local\Google\Chrome\User Data\Default\Extensions\cepkiiaikapljlmgjlipdnafoeojbepp [2017-01-08]
CHR Extension: (Блокировщик Рекламы Для Ютуба™) - D:\users\iVangok\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpmgdbdchhjimcbfbbhlbchbobhjonna [2017-01-08]
CHR Extension: (Masternews) - D:\users\iVangok\AppData\Local\Google\Chrome\User Data\Default\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2017-01-03]
CHR Extension: (No Name) - D:\users\iVangok\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\cepkiiaikapljlmgjlipdnafoeojbepp [2017-01-08]
CHR Extension: (No Name) - D:\users\iVangok\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\cpmgdbdchhjimcbfbbhlbchbobhjonna [2017-01-08]
CHR Extension: (No Name) - D:\users\iVangok\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck [2016-12-31]
CHR Extension: (No Name) - D:\users\iVangok\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2017-01-03]
CHR Extension: (No Name) - D:\users\iVangok\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-12-19]
OPR Extension: (Smart Browser™) - D:\users\iVangok\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck [2016-12-31]
OPR Extension: (Smart Browser™) - D:\users\iVangok\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb [2016-11-01]
OPR Extension: (No Name) - D:\users\iVangok\AppData\Roaming\Opera Software\Opera Stable\Extensions\kbmbmoljonchdkbjgkioneippcfpnpmp [2017-01-08]
OPR Extension: (No Name) - D:\users\iVangok\AppData\Roaming\Opera Software\Opera Stable\Extensions\khmiehpkiedpkpifcpeplghoibfhhigo [2017-01-08]
OPR Extension: (Smart Browser™) - D:\users\iVangok\AppData\Roaming\Opera Software\Opera Stable\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2017-01-03]
OPR Extension: (Smart Browser™) - D:\users\iVangok\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-12-19]
2017-01-08 00:46 - 2017-01-08 08:36 - 00000258 __RSH D:\users\iVangok\ntuser.pol
2017-01-08 00:46 - 2017-01-08 00:52 - 00000000 ____D D:\users\iVangok\AppData\Roaming\PBot
2017-01-08 00:42 - 2017-01-08 08:36 - 00000258 __RSH D:\users\все пользователи\ntuser.pol
2017-01-08 00:42 - 2017-01-08 08:36 - 00000258 __RSH C:\ProgramData\ntuser.pol
D:\users\iVangok\AppData\Local\Temp\4rIkW2FLP2w5.exe
D:\users\iVangok\AppData\Local\Temp\DE1E.tmp.exe
D:\users\iVangok\AppData\Local\Temp\Goja0nfNSpHT.exe
D:\users\iVangok\AppData\Local\Temp\GPR8Fvc2OjPw.exe
D:\users\iVangok\AppData\Local\Temp\H5nqLKmq17Pe.exe
D:\users\iVangok\AppData\Local\Temp\JkRo5mdPRj06.exe
D:\users\iVangok\AppData\Local\Temp\jUy7jdnzgkR6.exe
D:\users\iVangok\AppData\Local\Temp\KtMLN8tZPGJq.exe
D:\users\iVangok\AppData\Local\Temp\MEUQjArYAzYWbdnU.exe
D:\users\iVangok\AppData\Local\Temp\mhiLXYsCHTH4.exe
D:\users\iVangok\AppData\Local\Temp\NOQdiXlbel34.exe
D:\users\iVangok\AppData\Local\Temp\ptGw0ZWF1SAP.exe
D:\users\iVangok\AppData\Local\Temp\VRLdkQtAwSjF.exe
D:\users\iVangok\AppData\Local\Temp\YEuQfZvhnirz.exe
Task: {0D6305E7-7422-46F5-BDBB-6D8614A115F9} - \Microsoft\Windows\AF096725A-571D-46EB-B1E2-9AA7E097F81A -> No File <==== ATTENTION
Task: {34A1A349-41B4-4484-925D-0F5823B1F50A} - \Microsoft\Windows\8CA0028EF961EAC1B677A4133A66C90FSB -> No File <==== ATTENTION
Task: {49E55FB9-DE75-41F5-82F3-9339ADA37968} - \Microsoft\8CA0028EF961EAC1B677A4133A66C90F -> No File <==== ATTENTION
Task: {A1BFCFED-2019-4DE6-B7D4-50467A0621B6} - \Microsoft\Windows\8CA0028EF961EAC1B677A4133A66C90F -> No File <==== ATTENTION
Task: {C0EB24E4-AEF1-4BF4-A29F-B313C9D875A5} - \Microsoft\8CA0028EF961EAC1B677A4133A66C90FSB -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: D:\users\все пользователи\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0]
AlternateDataStreams: D:\users\все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\06131531.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\06131531.sys => ""="Driver"
MSCONFIG\startupreg: P17RunE => RunDll32 P17RunE.dll,RunDLLEntry

EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически

@ivan333111 · 08.01.2017, 06:24 **[ТС]**

прикрепил. все настройки в браузере сбросились, но проблема не ушла.

@severnyj · 08.01.2017, 06:26

Отключите ВСЕ расширения в Chrome даже стандартные и проверьте наличие проблемы.

@ivan333111 · 08.01.2017, 06:35 **[ТС]**

Поиск восстановлен. но периодические переключения на сайт вулкана нет. что с ней делать?

@severnyj · 08.01.2017, 06:36

Сообщение от ivan333111

периодические переключения на сайт вулкана нет

А вот здесь по-подробнее, у вас открывается новая вкладка или реклама?

@ivan333111 · 08.01.2017, 06:39 **[ТС]**

иногда (какой то системности не нашел) при клике на любой области, любой страницы в браузере открывается новая страница со ссылкой на казино.
проблема появилась вместе со сменой поисковика.
к сожалению сейчас нужно уйти. если от меня нужны будут еще какие то правки или отчеты - напишите плз. смогу подготовить через 4 часа.
более подробно рассказал всю суть проблем тут:
https://www.cyberforum.ru/games/thread1895892.html

@severnyj · 08.01.2017, 07:18

Давайте тогда проверимся еще вот так: https://www.cyberforum.ru/post6500033.html - скриншоты правда устарели, но думаю разберетесь.

+

Интернет через роутер, если да, то сбросьте настройки роутера кнопкой Reset, введите заново учетные данные от провайдера и поставьте сложный пароль на админку.

+

Проблема только в Chrome воспроизводится?

+

Попробуйте сменить DNS адреса на гугловские - 8.8.8.8 8.8.4.4

Добавлено через 28 секунд
Я буду только вечером по Москве.

Добавлено через 33 минуты
А по игре пробуйте: https://steamcommunity.com/app... 513203091/

@ivan333111 · 08.01.2017, 16:21 **[ТС]**

1. лог во вложении. очищать найденное?
2. да, через роутер. пароль изменил, а настройки не трогал. там какой то неизвестный мне тип подключения без логина и пароля используется - возможно не смогу сам потом настроить.
3. пока в других браузерах не увидел эту проблему. но она и в хроме вроде пропала - не появляется уже минут30. но что то блокирует MB (скрин во вложении). Это таже проблема?
4. так как пока проблема не так явна - ничего не стал дальше менять. если повторится - менять на роутере?
5. по игре - не помог форум - у меня вообще steam нет. негде настройки эти выставить.

@severnyj · 08.01.2017, 17:49

Кроме вот этого можете все удалять:

Код

Adware.LoadMoney, D:\INET\!!!\u00d0\u00ba\u00d0\u00b0\u00d1\u0087\u00d0\u00b0\u00d0\u00b5\u00d0\u00bc\u00d0\u00be\u00d0\u00b5\FIX.ZIP, Проигнорировано пользователем, [75], [307289],1.0.949
Adware.LoadMoney, D:\INET\!!!\u00d0\u00ba\u00d0\u00b0\u00d1\u0087\u00d0\u00b0\u00d0\u00b5\u00d0\u00bc\u00d0\u00be\u00d0\u00b5\\u00d0\u0090\u00d1\u0080\u00d1\u0085\u00d0\u00b8\u00d0\u00b2 20,11,2016\AKTIVACIYA CORELDRAW X6.EXE, Проигнорировано пользователем, [75], [304916],1.0.949
PUP.Optional.OpenCandy, D:\INET\!!!\u00d0\u00ba\u00d0\u00b0\u00d1\u0087\u00d0\u00b0\u00d0\u00b5\u00d0\u00bc\u00d0\u00be\u00d0\u00b5\\u00d0\u0090\u00d1\u0080\u00d1\u0085\u00d0\u00b8\u00d0\u00b2 20,11,2016\DTLITE4454-0316.EXE, Проигнорировано пользователем, [645], [297667],1.0.949
RiskWare.Tool.CK, D:\INET\!!!\u00d0\u00ba\u00d0\u00b0\u00d1\u0087\u00d0\u00b0\u00d0\u00b5\u00d0\u00bc\u00d0\u00be\u00d0\u00b5\\u00d0\u00b7\u00d0\u00b0\u00d0\u00b3\u00d1\u0080\u00d1\u0083\u00d0\u00b7\u00d0\u00be\u00d1\u0087\u00d0\u00bd\u00d0\u00b0\u00d1\u008f FLESHKA\ULTRAISO PREMIUM EDITION V9.5.3.2855 RETAIL ML_RUS\KEYGENS\KEYGEN-ZWT\KEYGEN.EXE, Проигнорировано пользователем, [340], [54025],1.0.949
RiskWare.Tool.CK, D:\INET\HEFL\PKKR\PKKR\SITNGO.WIZARD.V1.0.1.71-CROSSFIRE\SITNGO.WIZARD.V1.0.1.71-CROSSFIRE\CRSNG17A.ZIP, Проигнорировано пользователем, [340], [25605],1.0.949
HackTool.FilePatch, D:\INET\!!!\u00d0\u00ba\u00d0\u00b0\u00d1\u0087\u00d0\u00b0\u00d0\u00b5\u00d0\u00bc\u00d0\u00be\u00d0\u00b5\SKETCHUP PRO 2015 V15.2.687 (32-BIT)\SKETCHUP PRO 2015 V15.2.687 (32-BIT)\32-BIT PATCHER.EXE, Проигнорировано пользователем, [9644], [281135],1.0.949
RiskWare.Tool.CK, D:\INET\HEFL\PKKR\PKKR\SITNGO.WIZARD.V1.0.1.71-CROSSFIRE\SITNGO.WIZARD.V1.0.1.71-CROSSFIRE\CRSNG17A\CRSNG171.R00, Проигнорировано пользователем, [340], [25605],1.0.949
Trojan.Downloader, D:\PROGI\TEL\NOKIA 5800\\u00d0\u00bf\u00d1\u0080\u00d0\u00be\u00d0\u00b3\u00d0\u00b8\\u00d0\u0090\u00d1\u0080\u00d1\u0085\u00d0\u00b8\u00d0\u00b2\EPOCWARE.HANDY.TASKMAN.V2.02.S60V3.SYMBIANOS9.X.INCL.KEYGEN-HSPDA.RAR, Проигнорировано пользователем, [24], [136001],1.0.949
Trojan.Downloader, D:\PROGI\TEL\NOKIA 5800\\u00d0\u00bf\u00d1\u0080\u00d0\u00be\u00d0\u00b3\u00d0\u00b8\\u00d0\u00b2 \u00d1\u0082\u00d0\u00b5\u00d0\u00bb\u00d0\u00be\EPOCWARE.HANDY.TASKMAN.V2.02.S60V3.SYMBIANOS9.X.INCL.KEYGEN-HSPDA\EPOCWARE.HANDY.TASKMAN.V2.02.S60V3\KEYGEN.EXE, Проигнорировано пользователем, [24], [136001],1.0.949

Попробуйте воспользоваться инструментом очистки Chrome: https://www.google.ru/chrome/cleanup-tool/

Затем подготовьте новые логи FRST.

@ivan333111 · 09.01.2017, 15:22 **[ТС]**

1. в карантине все кроме отмеченных
2. очистил - косяков не нашел он
3. логи во вложении

@severnyj · 09.01.2017, 16:02

Ок, попробуйте в компьютере поставить гугловские DNS: 8.8.8.8 8.8.4.4

Подготовьте лог сканирования Zemana Antimalware, кнопка диаграммы в правой верхней части программы, смотрите, что удаляете, или пропустите удаление, сделайте только лог.

@ivan333111 · 09.01.2017, 18:48 **[ТС]**

Поставил.
скрин и отчет во вложении

@severnyj · 09.01.2017, 20:05

Ничего удалять не надо.

Если проблемы не исчезли, отключите в Chrome синхронизацию расширений, полностью деинсталлируйте его с помощью Revo Uninstaller, скачайте заново дистрибутив Chrome и переустановите

@severnyj 3921 / 2127 / 353 Регистрация: 04.04.2012 Сообщений: 7,809
	08.01.2017, 04:43	4
	Скачайте и распакуйте из архива программу ClearLNK.exe Перетащите файл-отчет ...\AutoLogger\CheckBrowserLnk\Check_Browsers_LNK.log на файл программы, как показано на рисунке по ссылке http://dragokas.com/tools/move.gif ВНИМАНИЕ: Приложите в теме, где Вам оказывают помощь, отчет ClearLNK-<Дата>.log, который будет создан в папке LOG рядом с программой. Если отчет слишком большой, упакуйте его в архив формата ZIP. Подготовьте лог сканирования Junkware Removal Tool: https://ru.malwarebytes.com/junkwareremovaltool/ Затем подготовьте лог сканирования AdwCleaner: https://www.cyberforum.ru/post6500078.html 0

@severnyj 3921 / 2127 / 353 Регистрация: 04.04.2012 Сообщений: 7,809
	08.01.2017, 05:49	6
	Ну больше половины пути прошли уже)) Удалите все найденное в AdwCleaner: https://www.cyberforum.ru/post6500085.html лог после удаления прикрепите Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html 0

@severnyj 3921 / 2127 / 353 Регистрация: 04.04.2012 Сообщений: 7,809
	08.01.2017, 06:26	10
	Отключите ВСЕ расширения в Chrome даже стандартные и проверьте наличие проблемы. 1

@ivan333111 0 / 0 / 0 Регистрация: 08.01.2017 Сообщений: 13
	08.01.2017, 06:35 [ТС]	11
	Поиск восстановлен. но периодические переключения на сайт вулкана нет. что с ней делать? 0

@severnyj 3921 / 2127 / 353 Регистрация: 04.04.2012 Сообщений: 7,809
	08.01.2017, 06:36	12
	Сообщение от ivan333111 периодические переключения на сайт вулкана нет А вот здесь по-подробнее, у вас открывается новая вкладка или реклама? 0

@ivan333111 0 / 0 / 0 Регистрация: 08.01.2017 Сообщений: 13
	08.01.2017, 06:39 [ТС]	13
	иногда (какой то системности не нашел) при клике на любой области, любой страницы в браузере открывается новая страница со ссылкой на казино. проблема появилась вместе со сменой поисковика. к сожалению сейчас нужно уйти. если от меня нужны будут еще какие то правки или отчеты - напишите плз. смогу подготовить через 4 часа. более подробно рассказал всю суть проблем тут: https://www.cyberforum.ru/games/thread1895892.html 0

@severnyj 3921 / 2127 / 353 Регистрация: 04.04.2012 Сообщений: 7,809
	08.01.2017, 07:18	14
	Давайте тогда проверимся еще вот так: https://www.cyberforum.ru/post6500033.html - скриншоты правда устарели, но думаю разберетесь. + Интернет через роутер, если да, то сбросьте настройки роутера кнопкой Reset, введите заново учетные данные от провайдера и поставьте сложный пароль на админку. + Проблема только в Chrome воспроизводится? + Попробуйте сменить DNS адреса на гугловские - 8.8.8.8 8.8.4.4 Добавлено через 28 секунд Я буду только вечером по Москве. Добавлено через 33 минуты А по игре пробуйте: https://steamcommunity.com/app... 513203091/ 1

@severnyj 3921 / 2127 / 353 Регистрация: 04.04.2012 Сообщений: 7,809
	09.01.2017, 16:02	18
	Ок, попробуйте в компьютере поставить гугловские DNS: 8.8.8.8 8.8.4.4 Подготовьте лог сканирования Zemana Antimalware, кнопка диаграммы в правой верхней части программы, смотрите, что удаляете, или пропустите удаление, сделайте только лог. 0

@severnyj 3921 / 2127 / 353 Регистрация: 04.04.2012 Сообщений: 7,809
	09.01.2017, 20:05	20
	Ничего удалять не надо. Если проблемы не исчезли, отключите в Chrome синхронизацию расширений, полностью деинсталлируйте его с помощью Revo Uninstaller, скачайте заново дистрибутив Chrome и переустановите 1