Закрыто Web Search или SaveFinder - неудаляемый угонщик браузера

Тема в разделе "Лечение компьютерных вирусов", создана пользователем hydro69sin, 22 мар 2016.

Метки:
Статус темы:
Закрыта.
  1. hydro69sin
    Оффлайн

    hydro69sin Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    Здравствуйте уважаемые господа админы.
    Прочел несколько тем на Вашем форуме, видел аналогичные моей проблемы, но бывает, что решение в отдельных случаях может отличаться, излагаю суть проблемы:

    Скачал кодеки с неофициального не проверенного сайта. Вместе с ними установились без моего ведома вредоносные ПО, в том числе и вышеупомянутый угонщик браузера.
    Использую браузер Google Chrome, в нём подменяется начальная страница, поисковик по умолчанию и в дальнейшем полностью блокируется доступ в интернет (не одна вкладка не открывается, даже начальная страница подменяемая угонщиком - Malicious site)

    Антивирус я не использую, т.к. не качаю никогда ПО со сторонних сайтов помимо официальных (случай с кодеками оказался исключением), но после того, как установил для решения проблемы своими силами, результатов это не принесло. Ни один из антивирусов не находил никаких проблем на компьютере (использовал dr.web CureIt, Avast, Microsoft Security Essential и в конечном счёте adwCleaner). Ни один из антивирусов ничего не обнаружил, соответственно ничего удалено не было. Утилита adwCleaner удаляет большое кол-во вирусов (файлы, папки, dll, пути реестра и тд), но! после перезагрузки компьютера, переустановки браузера, как только я открываю G. Chrome - 5 минут и всё снова с самого начала. Все данные в браузере подменены, что делать я уже не знаю. Подумываю о сносе ОС, но боюсь, как бы и это не возымело эффекта.

    Прошу Вас помочь мне, т.к. я совсем уже отчаялся и потерял надежду, на то, что от этой заразы можно избавиться.
    Заранее спасибо!
     
    Последнее редактирование модератором: 22 мар 2016
  2. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
  3. hydro69sin
    Оффлайн

    hydro69sin Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    Поскольку я новый пользователь, то к такому готов не был. В противном случае всё было бы оформлено надлежащим способом.

    Прикрепляю архив с логами.
     

    Вложения:

  4. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    hydro69sin, следующее ПО вам знакомо?
    Код (Text):
    Picasa 3
    Unity Web Player
    Следующие расширения в Google Chrome вам знакомы?
    Код (Text):
    Extension gighmmpiobklfepjocnamgkkbiglidom 1 AdBlock 2.53
    Extension hanjiajgnonaobdlklncdjdmpbomlhoa 0 MusicSig vkontakte 3.1.15
    Extension mmcegpfdgcoclcdfkjahiimlikdpnina 0 Plants vs Zombies 1.0.5
    Extension oelpkepjlgmehajehfeicfbjdiobdkfj 2 Менеджер Визуальных Закладок Mail.Ru 6.0.2
    Extension ofdgafmdegfkhfdfkmllfefmcmcjllec 2 Домашняя страница Mail.Ru 4.0.5
    Extension pnooffjhclkocplopffdbcdghmiffhji 2 Визуальные Закладки Mail.Ru 3.0.3
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
      QuarantineFile('C:\Program Files\ktip\ktip.exe', '');
    QuarantineFileF('C:\ProgramData\lhgu', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    DeleteFileMask('C:\ProgramData\lhgu', '*', true);
    DeleteDirectory('C:\ProgramData\lhgu');
    ExecuteSysClean;
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится.

    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


    - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
    Код (Text):

    "C:\Users\Альтруист Пётр\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk"
    "C:\Users\Альтруист Пётр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"
    "C:\Users\Альтруист Пётр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk"
     

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.


    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
     
  5. hydro69sin
    Оффлайн

    hydro69sin Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    ПО знакомо, расширения в браузере все кроме тех, что от mail.ru
     

    Вложения:

    Последнее редактирование модератором: 27 мар 2016
  6. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    hydro69sin, скрипт в AVZ выполнили? Карантин отравляли?
     
Статус темы:
Закрыта.

Поделиться этой страницей