Смена поисковой системы, казино Вулкан, обращение к вредоносным сайтам.

This topic has 26 ответов, 2 участника, and was last updated 8 years, 5 months назад by mike_1.

Просмотр 15 сообщений - с 1 по 15 (из 27 всего)

1 2 →

Автор

Сообщения
19 ноября, 2016 в 6:35 дп #55383
GMR
Participant
- Темы:1
- Сообщений:17
Добрый день! У меня три проблемы:
1. Поисковая система в Chrome и Avast SafeZone меняется с Google на go.mail.ru через промежуточное обращение к search-engine. Это go.mail.ru прямо прописывается в C:\Program Files (x86)\Google\Chrome\Application\54.0.2840.87\Chrome.dll сразу после установки неизвестной программой. Когда я запустил Internet Explorer, он задал вопрос: «посторонняя программа хочет изменить поисковую систему, вы подтверждаете замену?» Я естественно ответил «нет». Я сканировал компьютер всеми программами, но это ничего не дало, т.к. эта вирусная программа выглядит, как обычная. Прилагаю результаты сканирования программами FRST и hijackthis.
2. Во время работы Chrome выскакивает страница с казино Вулкан.
3. Во время открытия или закрытия программа Malwarebytes Anti-Malware выдает сообщение » Вредоносный сайт заблокирован». Сообщение прилагаю.
P.S. Если кто встречался с подобными проблемами и решил их, помогите мне, пожалуйста. Спасибо.

Вложения:
You must be logged in to view attached files.
19 ноября, 2016 в 6:54 дп #55387
GMR
Participant
- Темы:1
- Сообщений:17
Добавляю к предыдущему сообщению файл hijackthis.log

Вложения:
You must be logged in to view attached files.
19 ноября, 2016 в 7:50 дп #55389
mike_1
Participant
- Темы:1
- Сообщений:499
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
```
CreateRestorePoint:
CloseProcesses:
HKLM\...\Policies\Explorer\Run: [B094EA4C-C40D-469E-84F1-C7AE5883FF45] => C:\Users\1\AppData\Local\Adobe\PPAPI\B094EA4C-C40D-469E-84F1-C7AE5883FF45\B15A1167-058D-4461-972D-37A87B8A1A93.exe
HKLM\...\Policies\Explorer\Run: [AppDownloads] => C:\Program Files (x86)\Common Files\9BBE970A-C618-4901-8864-354B669EFE0D\61D2D0C4-5915-4655-BB9B-B8B1FE05B04C.exe
HKU\S-1-5-21-1029025093-2233491262-286279833-1000\...\Run: [mrupdsrv] => "C:\Users\1\AppData\Local\Mail.Ru\Update Service\mrupdsrv.exe" --u
GroupPolicy: Restriction - Windows Defender <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-05-02]
FF Extension: (Поиск@Mail.Ru) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-05-02]
FF Extension: (No Name) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-11-14] [not signed]
CHR HomePage: Default -> hxxps://mail.ru/cnt/9852088
CHR Extension: (Kami - PDF and Document Markup) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecnphlgnajanjnkcmbpancdjoidceilk [2016-11-10]
Task: {CAA57AA1-65BF-43DA-B8D1-555CB806E0C2} - System32\Tasks\Microsoft\Windows\AB094EA4C-C40D-469E-84F1-C7AE5883FF45 => C:\Users\1\AppData\Local\Adobe\PPAPI\B094EA4C-C40D-469E-84F1-C7AE5883FF45\B15A1167-058D-4461-972D-37A87B8A1A93.exe <==== ATTENTION
C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
CMD: ipconfig /all
EmptyTemp:
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
19 ноября, 2016 в 8:42 дп #55390
GMR
Participant
- Темы:1
- Сообщений:17
Интернет отключить?
19 ноября, 2016 в 9:02 дп #55391
GMR
Participant
- Темы:1
- Сообщений:17
Добавляю к предыдущему сообщению файл hijackthis.log
Я не знаю, как выгрузить антивирус, файрволл и прочее защитное ПО.
Может быть во время этой операции просто отключть интернет?
19 ноября, 2016 в 10:02 дп #55392
GMR
Participant
- Темы:1
- Сообщений:17
Сохранил файл, отключил интернет, выгрузил антивирус, запустил FRST.
Получил сообщение: Unable to update(1).
19 ноября, 2016 в 10:55 дп #55393
GMR
Participant
- Темы:1
- Сообщений:17
Повторил процедуру, получил сообщение: Unable to update(1), нажал кнопку Fix и подучил файл Fixlog.txt, который прилагаю.
Компьютер не перезагрузился.

Вложения:
You must be logged in to view attached files.
19 ноября, 2016 в 11:08 дп #55395
mike_1
Participant
- Темы:1
- Сообщений:499
Интернет отключить?

А вас просили отключать интернет?
19 ноября, 2016 в 11:49 дп #55396
GMR
Participant
- Темы:1
- Сообщений:17
Я у Вас спросил, Вы не ответили. Я решил отключить интернет, т.к. антивирус был отключен.
Повторить процедуру с включенным интернетом?
19 ноября, 2016 в 12:32 пп #55398
mike_1
Participant
- Темы:1
- Сообщений:499
Если бы нужно было отключить интернет, то я наверное об этом написал. Логично?
19 ноября, 2016 в 2:01 пп #55400
GMR
Participant
- Темы:1
- Сообщений:17
Согласен.
19 ноября, 2016 в 4:26 пп #55401
mike_1
Participant
- Темы:1
- Сообщений:499
Повторите фикс с включенным интернетом.
20 ноября, 2016 в 3:20 дп #55416
GMR
Participant
- Темы:1
- Сообщений:17
Я не могу завершить процесс avastui, пишет «Отказано в доступе».
То же самое относится к службе антивируса Avast.
20 ноября, 2016 в 5:34 дп #55417
mike_1
Participant
- Темы:1
- Сообщений:499
Аваст отключите перед выполнением скрипта.
20 ноября, 2016 в 11:12 дп #55419
GMR
Participant
- Темы:1
- Сообщений:17
Сделал все по всем правилам.

Вложения:
You must be logged in to view attached files.
Автор

Сообщения