• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Chrome настройки поиска по умолчанию указан yamdex.net (включен администратором)

Статус
В этой теме нельзя размещать новые ответы.

Tusiby

Активный пользователь
Сообщения
10
Реакции
0
Баллы
171
После установки программы (какой именно сейчас сказать не могу) в Chrome поисковой системой по умолчанию стал поиск@mail.ru с переходом через yamdex.net.

Прошу Вас помочь в решении проблемы.
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,832
Реакции
2,559
Баллы
593
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Alexsandr\AppData\Local\Host installer\2562390491_monster.exe','');
 QuarantineFile('C:\Program Files (x86)\Torrent Search\IKwnPMS.exe','');
 QuarantineFile('C:\Users\ALEXSA~1\AppData\Local\Temp\TorrentSearch_restartonfail_exe\ts_10051.exe','');
 QuarantineFile('C:\Users\Alexsandr\AppData\Local\Kometa\kometaup.exe','');
 DeleteFile('C:\Users\Alexsandr\AppData\Local\Kometa\kometaup.exe','32');
 DeleteFile('C:\Users\ALEXSA~1\AppData\Local\Temp\TorrentSearch_restartonfail_exe\ts_10051.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\Rerun service for Torrent Search.job','64');
 DeleteFile('C:\Program Files (x86)\Torrent Search\IKwnPMS.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\Update Service for Torrent Search.job','64');
 DeleteFile('C:\WINDOWS\Tasks\Update Service for Torrent Search2.job','64');
 DeleteFile('C:\Users\Alexsandr\AppData\Local\Host installer\2562390491_monster.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Soft installer','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы


Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.


Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,832
Реакции
2,559
Баллы
593
Скачайте Farbar Recovery Scan Tool
и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

Tusiby

Активный пользователь
Сообщения
10
Реакции
0
Баллы
171
Прилагаю отчеты
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,832
Реакции
2,559
Баллы
593
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
HKLM-x32\...\Run: [LManager] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oursurfing.com/?type=hp&ts=1437727273&z=c23a52d340a3c404594dadbg4zfcbm1m7ocmcc8zec&from=amt&uid=ST9500325AS_S2WQ9WTRXXXXS2WQ9WTR
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1437727273&z=c23a52d340a3c404594dadbg4zfcbm1m7ocmcc8zec&from=amt&uid=ST9500325AS_S2WQ9WTRXXXXS2WQ9WTR&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1437727273&z=c23a52d340a3c404594dadbg4zfcbm1m7ocmcc8zec&from=amt&uid=ST9500325AS_S2WQ9WTRXXXXS2WQ9WTR
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1437727273&z=c23a52d340a3c404594dadbg4zfcbm1m7ocmcc8zec&from=amt&uid=ST9500325AS_S2WQ9WTRXXXXS2WQ9WTR&q={searchTerms}
HKU\S-1-5-21-3711771842-3811471870-4032655265-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1437727273&z=c23a52d340a3c404594dadbg4zfcbm1m7ocmcc8zec&from=amt&uid=ST9500325AS_S2WQ9WTRXXXXS2WQ9WTR
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1437727273&z=c23a52d340a3c404594dadbg4zfcbm1m7ocmcc8zec&from=amt&uid=ST9500325AS_S2WQ9WTRXXXXS2WQ9WTR&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1437727273&z=c23a52d340a3c404594dadbg4zfcbm1m7ocmcc8zec&from=amt&uid=ST9500325AS_S2WQ9WTRXXXXS2WQ9WTR&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1437727273&z=c23a52d340a3c404594dadbg4zfcbm1m7ocmcc8zec&from=amt&uid=ST9500325AS_S2WQ9WTRXXXXS2WQ9WTR&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1437727273&z=c23a52d340a3c404594dadbg4zfcbm1m7ocmcc8zec&from=amt&uid=ST9500325AS_S2WQ9WTRXXXXS2WQ9WTR&q={searchTerms}
BHO-x32: No Name -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} ->  No File
BHO-x32: McAfee SiteAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File
BHO-x32: No Name -> {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} ->  No File
Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File
2015-07-30 16:10 - 2015-08-03 08:47 - 00000000 ____D C:\Users\Alexsandr\AppData\Local\Kometa
2015-07-30 16:08 - 2015-07-30 16:18 - 00000000 ____D C:\Program Files (x86)\Torrent Search
Task: {DAAB3D94-12D9-463F-A419-ECEF326E502C} - \Soft installer No Task File <==== ATTENTION
Reboot:
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 

Tusiby

Активный пользователь
Сообщения
10
Реакции
0
Баллы
171
Пожалуйста
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,832
Реакции
2,559
Баллы
593
Проблема решена?
 

Tusiby

Активный пользователь
Сообщения
10
Реакции
0
Баллы
171
Да, после последних действий.
Большое спасибо.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,832
Реакции
2,559
Баллы
593
  • Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
 

Tusiby

Активный пользователь
Сообщения
10
Реакции
0
Баллы
171
SecurityCheck by glax24 v.1.4.0.23 [04.07.15]
WebSite: www.safezone.cc
DateLog: 04.08.2015 11:23:54
Path starting: C:\Users\Alexsandr\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Alexsandr
VersionXML: 1.60is
___________________________________________________________________________

Windows 8.1(6.3.9600) (x64) CoreSingleLanguage Lang: Russian(0419)
Дата установки ОС: 28.07.2015 10:32:20
Статус лицензии: Windows(R), CoreSingleLanguage edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: Internet Explorer (C:\Program Files\Internet Explorer\iexplore.exe)
Системный диск: C: ФС: [NTFS] Емкость: [445.7 Гб] Занято: [66.4 Гб] Свободно: [379.3 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17905
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2015-08-04 04:48:08
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Internet Security (выключен и устарел)
Windows Defender (выключен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Internet Security
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Internet Security (выключен и устарел)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
McAfee SiteAdvisor v.3.5.0.229
Kaspersky Internet Security 2013 v.13.0.1.4190
--------------------------- [ OtherUtilities ] ----------------------------
CCleaner v.5.07
McAfee SiteAdvisor v.3.5.0.229
TeamViewer 8 v.8.0.44109 Внимание! Скачать обновления
Необязательное обновление.
Skype™ 7.6 v.7.6.105 Внимание! Скачать обновления
Необязательное обновление.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 71 v.7.0.710 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше jre-7u80-windows-i586.exe^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.12) - Russian v.11.0.12
------------------------------- [ Browser ] -------------------------------
Google Chrome v.44.0.2403.125 [+]
---------------------------- [ UnwantedApps ] -----------------------------
TSearch v.1.0.0.57 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,832
Реакции
2,559
Баллы
593
Отметьте и удалите все найденные записи
 

Tusiby

Активный пользователь
Сообщения
10
Реакции
0
Баллы
171
# AdwCleaner v4.208 - Отчёт создан 04/08/2015 в 11:55:54
# Обновлено 09/07/2015 by Xplode
# База данных : 2015-08-01.1 [Сервер]
# Операционная система : Windows 8.1 Single Language (x64)
# Пользователь : Alexsandr - COM4
# Запущено из : C:\Users\Alexsandr\Desktop\adwcleaner_4.208.exe
# Режим : Очистка

***** [ Службы ] *****


***** [ Файлы / Папки ] *****

Папка Удалено : C:\Program Files (x86)\zona
Папка Удалено : C:\Users\Alexsandr\AppData\Roaming\zona
Папка Удалено : C:\Users\USER\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne

***** [ Назначенные задания ] *****

Задание Удалено : amiupdaterExd
Задание Удалено : amiupdaterExi

***** [ Ярлыки ] *****


***** [ Реестр ] *****

Ключ Удалено : HKLM\SOFTWARE\Google\Chrome\Extensions\gehngeifmelphpllncobkmimphfkckne
Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{C379EAD1-CB34-4B09-AF6B-7E587F8BCD80}
Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6E727987-C8EA-44DA-8749-310C0FBE3C3E}
Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6E727987-C8EA-44DA-8749-310C0FBE3C3E}
Значение Удалено : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{0633EE93-D776-472F-A0FF-E1416B8B2E3D}]
Ключ Удалено : [x64] HKLM\SOFTWARE\Classes\CLSID\{6E727987-C8EA-44DA-8749-310C0FBE3C3E}
Ключ Удалено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6E727987-C8EA-44DA-8749-310C0FBE3C3E}
Ключ Удалено : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Ключ Удалено : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472F-A0FF-E1416B8B2E3D}
Ключ Удалено : HKCU\Software\APN PIP
Ключ Удалено : HKCU\Software\AskPartnerNetwork
Ключ Удалено : HKCU\Software\HomeTab
Ключ Удалено : HKCU\Software\IM
Ключ Удалено : HKCU\Software\simplytech
Ключ Удалено : HKCU\Software\WajIEnhance
Ключ Удалено : HKCU\Software\TNT2
Ключ Удалено : HKCU\Software\zona
Ключ Удалено : HKCU\Software\WajIntEnhance
Ключ Удалено : HKCU\Software\SearchProtectWS
Ключ Удалено : HKCU\Software\Linkey
Ключ Удалено : HKCU\Software\Torrent Search
Ключ Удалено : HKCU\Software\Kromtech
Ключ Удалено : HKLM\SOFTWARE\AskPartnerNetwork
Ключ Удалено : HKLM\SOFTWARE\Conduit
Ключ Удалено : HKLM\SOFTWARE\Iminent
Ключ Удалено : HKLM\SOFTWARE\SearchProtect
Ключ Удалено : HKLM\SOFTWARE\WajIntEnhance
Ключ Удалено : HKLM\SOFTWARE\SpeedBit
Ключ Удалено : HKLM\SOFTWARE\AIM Toolbar
Ключ Удалено : HKLM\SOFTWARE\oursurfingSoftware
Ключ Удалено : HKLM\SOFTWARE\Torrent Search
Ключ Удалено : HKLM\SOFTWARE\searchult
Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\IMBoosterARP
Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\IminentToolbar
Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchProtect
Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\WajIntEnhance
Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Vosteran.com
Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Linkey
Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IMBoosterARP
Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IminentToolbar
Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchProtect
Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WajIntEnhance
Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Vosteran.com
Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Linkey
Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Torrent Search

***** [ веб браузеры ] *****

-\\ Internet Explorer v11.0.9600.17840


-\\ Mozilla Firefox v


-\\ Google Chrome v44.0.2403.125

[C:\Users\Alexsandr\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - Удалено [Startup_URLs] : 8586A217F2F27147AE46EC191FC892533363FDD9C28F9174B1D8520664F17F7D"},"software_reporter":{"prompt_reason":"406FCDC53D37B3F187E09F108321F299A48D5ED66C7820A064732C26C4382157","prompt_seed":"A8AD34F8F9805B27128E6B8F8A9D641DDB2E36BA6AAF789B9D8CB2121397D12B","prompt_version":"71694EF2114BFB4885C1D27E58C5D373AA0129F5AC67318018DD102EF7AB93E6"},"sync":{"remaining_rollback_tries":"2F19F07A4478D05D79D5DEDB81AC13DE9BF0F6E09B15BA99BEFC3E9311498673"}},"super_mac":"2FC0A21189F5A1A9B148D6B12AEB30303825E584A834094AE77B99B514BD40ED"},"session":{"restore_on_startup":1,"startup_urls":["hxxp://www.oursurfing.com/?type=hp&ts=1437727273&z=c23a52d340a3c404594dadbg4zfcbm1m7ocmcc8zec&from=amt&uid=ST9500325AS_S2WQ9WTRXXXXS2WQ9WTR
[C:\Users\USER\AppData\Local\Google\Chrome\User Data\Default\Web Data] - Удалено [Search Provider] : hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ac5f79200f75b2c75d10a2302f3ffbdf&text={searchTerms}&search=1&type=7

-\\ Chromium v


-\\ Opera v0.0.0.0


*************************

AdwCleaner[R0].txt - [5913 байт] - [04/08/2015 11:34:06]
AdwCleaner[R1].txt - [5971 байт] - [04/08/2015 11:54:57]
AdwCleaner[S0].txt - [5170 байт] - [04/08/2015 11:55:54]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [5228 байт] ##########
В chrome добавлено новое расширение (безопасные платежи) после перезагрузки компьютера
 
Последнее редактирование модератором:

Tusiby

Активный пользователь
Сообщения
10
Реакции
0
Баллы
171
Все? Могу спать спокойно?
Утилиты которые использовались удаляются в ручную?
 

Tusiby

Активный пользователь
Сообщения
10
Реакции
0
Баллы
171
Все удалил, большое спасибо.

Очень помогли.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу