Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Удалить rufinder.info из Google Chrome (http://forum.oszone.net/showthread.php?t=298142)

alissa_12 09-04-2015 13:58 2493653
Удалить rufinder.info из Google Chrome
 
Использую браузер Google Chrome. При поиске в Google открывается другое окно http://rufinder.info с переадресацией в поиск mail.ru. Помогите удалить это, пожалуйста

Sandor 09-04-2015 16:10 2493711
Здравствуйте!

Вы приложили логи, сделанные по краткой (устаревшей) версии правил. Подготовьте и приложите архив, сделанный по первой части правил с помощью автосборщика логов.

alissa_12 09-04-2015 18:45 2493786
Сделала

Sandor 10-04-2015 09:37 2494002
1. Пофиксите в HijackThis следующие строчки:
Код:
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: CertifiedToolbar - {0f8692e5-c52b-4ec0-97b1-01dd7d9fc191} - (no file)
O2 - BHO: QipLI - {6B5863A0-C43F-4C0A-982B-CC0E9125783F} - (no file)
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - (no file)
O3 - Toolbar: CertifiedToolbar - {0f8692e5-c52b-4ec0-97b1-01dd7d9fc191} - (no file)
O9 - Extra button: (no name) - {ae68b3f2-d82c-4012-946f-c006fa03ca5c} - (no file)
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
2.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

alissa_12 10-04-2015 10:37 2494013
Здравствуйте!
По пункту 1 - не профиксились некоторые строки, а точнее кроме первой строки все остались (во вложении скрин какая ошибка выходит)
По пункту 2 - сделала, лог во вложени

Sandor 10-04-2015 10:42 2494014
1.
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

Подробнее читайте в этом руководстве.

Приложите только файл, не нужно всю папку.


2. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

alissa_12 10-04-2015 11:18 2494023
1. AdwCleaner - очистила все (в изначальной папке добавилось два файла - их прикрепляю). Или нужно заново проверку провести?
2. Autologger - сделала новые логи

Проблема осталась

Sandor 10-04-2015 11:44 2494028
Что сейчас с проблемой?

alissa_12 10-04-2015 11:50 2494031
Проблема, к сожалению, осталась

Sandor 10-04-2015 11:52 2494033
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

alissa_12 10-04-2015 13:47 2494087
Скачала Farbar Recovery Scan Tool и сохранила на рабочий стол. Сканирование прошло (1-2 мин.), появилось окно:
"Scan completed. The "FRST.txt" is saved in the same location FRST tool is run" я нажала Ok
Однако далее выходит такое сообщение:
"Не удается найти файл C:/Users/11/desktop/FRST.txt
Создать новый файл с таким именем?"
Ели нажимаю "да", то создаются три файла (FRST.txt, Addition.txt, Shortcut.txt) - но пустые

Sandor 10-04-2015 13:58 2494090
Утилиту запускаете правой кнопкой от имени администратора?

alissa_12 10-04-2015 20:44 2494266
Знаете, странно, когда я запускала с рабочего стола - ситуация как я описала выше (да от имени администратора)
Я перенесла файл FRST64 на диск C, запустила оттуда и нормально эти три файла создались

regist 11-04-2015 18:39 2494606
1) Разберитесь со своими антвирусами.
У вас кроме Windows Defender ещё avast стоит и Comodo. Как в фильме Горец остаться должен только один.

2)
Цитата:
AlterGeo Magic Scanner (HKLM-x32\...\{2338890B-4BE4-47FD-AD51-577465FA6ADA}) (Version: 3.3.2.779 - AlterGeo)
CertifiedToolbar 2.4 (HKLM-x32\...\{e71a38e1-5f27-4f3c-8911-6eff702e50f1}_is1) (Version: 2.4 - CertifiedToolbar) <==== ATTENTION
Java(TM) 6 Update 22 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86416022FF}) (Version: 6.0.220 - Oracle)
Java(TM) 6 Update 22 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216022FF}) (Version: 6.0.220 - Oracle)
деинсталируйте эти программы.


3) Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-787370235-1086508549-594025345-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-787370235-1086508549-594025345-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-787370235-1086508549-594025345-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-787370235-1086508549-594025345-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-787370235-1086508549-594025345-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> No File Path
BHO: No Name -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} ->  No File
BHO: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} ->  No File
BHO-x32: CertifiedToolbar -> {0f8692e5-c52b-4ec0-97b1-01dd7d9fc191} ->  No File
BHO-x32: QIPBHO Class -> {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} ->  No File
BHO-x32: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} ->  No File
BHO-x32: PrivDog Extension -> {FB16E5C3-A9E2-47A2-8EFC-319E775E62CC} -> C:\Program Files (x86)\AdTrustMedia\PrivDog\1.8.0.15\trustedads.dll No File
Toolbar: HKLM-x32 - StartNow Toolbar - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files (x86)\StartNow Toolbar\Toolbar32.dll No File
Toolbar: HKLM-x32 - CertifiedToolbar - {0f8692e5-c52b-4ec0-97b1-01dd7d9fc191} -  No File
Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File

EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


опишите подробно проблему (что на данный момент беспокоит).

alissa_12 11-04-2015 23:12 2494689
Здравствуйте!

1. Windows Defender - вот об этом я к сожалению ничего не знаю, первый раз слышу даже такое название антивируса. И как он появился на компе, тоже не знаю даже.
Avast, да, я устанавливала.
Comodo - я где-то читала, что они в связке должны быть с Avast, что типа Comodo - сетевая какая-то защита. Поэтому несколько лет назад установила обе программы. Но я конечно не специалист )) поэтому если нужно, то оставим одного

2. Указанные строки деинсталлировала.

3. Лог-файл Fixlog.txt прилагаю

4. Все вышеперечисленные действия от проблемы не избавили.
Проблема заключалась вот в чем - при поиске в браузер Google Chrome именно в поисковой системе Google открывалось другое окно http://rufinder.info с переадресацией в поиск mail.ru. Это было совершенно неудобно - ввожу любой запрос в поисковую строку, нажимаю "поиск" или Enter .. и тут же идет переадресация и открывается новая вкладка с поиском mail.ru

Но! Ура! я смогла решить проблему следующим способом. Я просто начала смотреть настройки браузера, шаг за шагом.. все проверять.. и вот наткнулась на такую штуку, как "расширения". Я не знаю что это и как это работает именно в браузере, но видимо там как-то установилась такая штука PodZamet 1.2.1. И там стояла галочка "включить" (см. скрин во вложении). Я убрала галочку - и вуа-ля, проблема решена!.. причем я проверила несколько раз - точно ли в этом было решение - я поставила и убрала галочку несколько раз. Точно проблема была именно в этом.
Я не знаю что это за штука PodZamet 1.2.1. и как, когда и каким образом она установилась (ведь пару недель назад было точно нормально все)

regist 12-04-2015 16:33 2494871
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
CHR Extension: (PodZamet) - C:\Users\11\AppData\Local\Google\Chrome\User Data\Default\Extensions\imimpgmhmbajfenhkepfldbcboijadii [2015-04-06]

EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

alissa_12 13-04-2015 01:32 2494988
Сделала

regist 13-04-2015 09:58 2495032
Удалите папку C:\FRST со всем содержимым.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

зы. восстановление системы советую включить.

alissa_12 14-04-2015 14:36 2495581
Цитата:
Цитата regist
Удалите папку C:\FRST со всем содержимым. »
Удалила

Цитата:
Цитата regist
Выполните скрипт в AVZ при наличии доступа в интернет: »
Выполнила
Выходит сообщение "Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!"
Потом второе сообщение - "Скрипт выполнен без ошибок"

avz_log.txt - не открылся такой файл

Цитата:
Цитата regist
восстановление системы советую включить. »
У меня вроде включено

Sandor 14-04-2015 14:43 2495583
Цитата:
Цитата alissa_12
Невозможно загрузить скрипт AVZ »
Запускаете именно так
Цитата:
Цитата regist
при наличии доступа в интернет »
??

alissa_12 15-04-2015 00:26 2495844
Цитата:
Цитата Sandor
?? »
Извините, не поняла вопрос
У меня постоянный доступ в интернет, скрипт выполнила конечно при доступе в интернет

Sandor 15-04-2015 08:09 2495886
Хорошо, тогда по другому поступим:
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.

alissa_12 15-04-2015 13:19 2496080
Цитата:
Цитата Sandor
Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) »
Я запускаю от имени администратора, и сразу выходит сообщение
"Произошла ошибка при выполнении "Securitiy Check.exe /autodelscript"/ Отказано в доступе"

regist 15-04-2015 13:28 2496086
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Советы и рекомендации после лечения компьютера


Время: 12:51.

Время: 12:51.
© OSzone.net 2001-