- This topic has 12 ответов, 3 участника, and was last updated 9 years назад by
.
-
Сообщения
-
Когда открываю браузеры Моzillа Firеfох, Ореrа появляется вместо гугла сайт trapfleiyb-mz.ru, а там перенаправляет на другие рекламные сайты. Сканировал разными антивирусами, проверял ярлык, переустанавливал браузер, сканировал AdwCleaner, Anti-malware, пробовал Adguard, сбрасывал настройки браузера — ничего не помогает. Что делать?
Здравствуйте, Добро пожаловать на Spyware-ru форум.
Нужно проверить ваш компьютер. Пожалуйста выполните эту инструкцию, шаг 2.
Жду от вас два лога, FRST.txt и Additional.txt.
Запустите программу Блокнот и вставьте в открытое окно следующий текст
CreateRestorePoint: Task: {A88F05CB-4238-4DD5-9E8C-D43A8ACE33A5} - System32\Tasks\{EB285259-1BAB-45C1-8362-BB4763EFC029} => pcalua.exe -a "C:\Users\1\Desktop\USB Vibration\7906\install.exe" -d "C:\Users\1\Desktop\USB Vibration\7906" Task: {8F3A4E53-E551-432C-A7FA-9D760A09EE02} - System32\Tasks\{A6EA30CD-42A8-4628-B3E7-E8AAD71ECC11} => C:\Program Files (x86)\QGNA\qGNA.exe AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [282] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [138] AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [282] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [138] IE trusted site: HKU\S-1-5-21-499251223-1419649254-2723112483-1000\...\localhost -> localhost FF SearchPlugin: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\1wfsbbs5.ASUS\searchplugins\yandex-avast.xml [2016-06-23] R2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [File not signed] R2 Unchecky; C:\Program Files (x86)\Unchecky\bin\unchecky_svc.exe [126568 2015-08-24] (RaMMicHaeL) [File not signed] S2 mrupdsrv; "C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe" --s [X] U3 aafdw72b; C:\Windows\System32\Drivers\aafdw72b.sys [0 ] (Advanced Micro Devices) <==== ATTENTION (zero byte File/Folder) S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 taphss6; system32\DRIVERS\taphss6.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] EmptyTemp: Reboot:Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist
Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение "Fix completed". Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.Запустите FRST, в главном меню поставьте галочку в пункте Addtion.txt, затем нажмите Scan.
По-окончании сканирования будет создано два лога. Пожалуйста приложите их к вашем следующему сообщению.Далее, запустите программу FRST и в окошке Search вставьте
userinit.exe
Нажмите кнопку Seacrh files. Когда поиск завершиться его результаты откроются в Блокноте. Вставьте его содержимое в ваш ответ.
Жду от вас:
1. fixlog.txt
2. frst.txt
3. addition.txt
4. результаты поиска
5. сообщите как сейчас работает компьютерТо есть редирект на trapfleiyb-mz.ru как был так и есть ?
Ещё пара вопросов.
1. Перенаправление активно только в Firefox и Оpera ? В Хроме всё нормально ?
2. Если открыть сайт Гугл и с него искать напрямую, то редирект активен ?
3. Скачайте программу Combofix. Запустите. После её работы будет создан лог, его содержимое вставьте в ваш ответ.Да, редирект на trapfleiyb-mz.ru как был так и есть.
1. У меня просто 2 браузера всего. Но когда скачал Хром, там тоже появился trapfleiyb-mz.ru .
2. У меня открывается сайт trapfleiyb-mz.ru только когда я запускаю браузер, то есть вместо домашней страницы.2. У меня открывается сайт trapfleiyb-mz.ru только когда я запускаю браузер, то есть вместо домашней страницы.
Тогда выполним ещё одну проверку.
Скачайте программу Check Browsers LNK кликнув по этой ссылке.
Запустите. Когда сканирование будет завершено откроется каталог в котором находится лог файл Check_ Browsers_LNK. Щелкните по нему дважды и его содержимое откроется в Блокноте, скопируйте и вставьте его в ваше следующее сообщение.Судя по логу, программа HPProtector изменила все ярлыки таким образом, чтобы при запуске выполнять файл WebLauncher.exe. Это, вероятно, и приводит к тому, что при запуске браузера открывается рекламный сайт.
Вам HPProtector программа знакома ?
Проверьте файл C:\Program Files (x86)\HPProtector\WebLauncher.exe на сервисе VirusTotal. Результаты сканирования вставьте в свой ответ.
Я поместил папку на карантин и завершил процесс в диспетчере, ссылка сразу перестала открываться. После чего переустановил браузер и всё стало идеально. HPProtector удалил через программы и компоненты. Спасибо большое.
Рад вам помочь 🙂
Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.
Всего доброго!
- Для ответа в этой теме необходимо авторизоваться.
