Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Подмена поисковой страницы гугла после перехода (http://forum.oszone.net/showthread.php?t=305126)

Atavi3m 08-09-2015 08:30 2550787
Подмена поисковой страницы гугла после перехода
 
Доброго дня.
При запросе в гугл о последней книге Пелевина наткнулся на сайт povywofino.xpg.uol.com.br/pelevin-novaya-kniga.html
при переходе на который - ссылка, как и положено, открывается в новой вкладке (у меня Chrome), а страница гугла сама перезагружается и подменяется на фейковую goo2.7-support.ru/итд
Как им это удаётся? Это старый метод? Никогда не сталкивался.
Что нужно отключить в браузере, чтобы подобные трюки не работали?

iskander-k 08-09-2015 12:36 2550860
Выложите логи по правилам. http://forum.oszone.net/thread-98169.html

Atavi3m 08-09-2015 13:02 2550875
Вложений: 1
Цитата:
Цитата iskander-k
Выложите логи по правилам. http://forum.oszone.net/thread-98169.html »
Готово.

Sandor 08-09-2015 13:23 2550889
Здравствуйте!

Пофиксите в HijackThis следующие строчки:
Код:
O20 - AppInit_DLLs: 2?????????????Е???Й??????????0
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Atavi3m 08-09-2015 13:43 2550900
Вложений: 2
Sandor, готово

Sandor 08-09-2015 13:46 2550901
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс настроек Proxy
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.


Затем:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Atavi3m 08-09-2015 13:48 2550903
Вложений: 1
Sandor, извините, моя ошибка. Запустил именно HijackThis не от администратора. Вот новый лог.

Sandor 08-09-2015 13:57 2550907
ОК, предыдущие рекомендации тоже выполните и приложите нужные логи.

Atavi3m 08-09-2015 14:07 2550908
Вложений: 4
Sandor, повторный AdwCleaner и Farbar Recovery

mail.ru пользуюсь, оставил.

Sandor 08-09-2015 14:31 2550922
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\Microsoft:542CgZXiKSq5xBJ1g9oK
AlternateDataStreams: C:\ProgramData\Microsoft:eOMChpdk3DjxwM0lfHHb24zxNBlS
AlternateDataStreams: C:\ProgramData\Microsoft:zHcKdP2pEfTUoNLFtAnA
AlternateDataStreams: C:\Users\pro\AppData\Local\8LUS42jGH4hNu:irktjKtLNwbbCgIoOHySyTq6z
C:\Users\pro\AppData\Local\Temp\downloader.exe
C:\Users\pro\AppData\Local\Temp\mcse32_00.dll
C:\Users\pro\AppData\Local\Temp\mcse64_00.dll
C:\Users\pro\AppData\Local\Temp\mcse64_01.dll
C:\Users\pro\AppData\Local\Temp\ose00000.exe
C:\Users\pro\AppData\Local\Temp\runprog.exe
C:\Users\pro\AppData\Local\Temp\Setup-punto.exe
C:\Users\pro\AppData\Local\Temp\yupdate-exec-punto.exe
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Сообщите что с проблемой.

Atavi3m 08-09-2015 14:50 2550930
Вложений: 1
Sandor, без изменений. Откатился обратно на точку восстановления.

Может быть я некорректно описал проблему? Подмена поисковых результатов происходил только на указанной странице, больше нигде. Во время следующего, любого поиска - открывается гугл, не фейк.

Sandor 08-09-2015 15:01 2550937
:)
В таком случае Вам следует написать админу того сайта.

Atavi3m 08-09-2015 15:08 2550940
Sandor, .) Но как это технически возможно - перенаправить соседнюю вкладку с поисковой выдачей, никак не связанную со страницей сайта?

Спасибо за затраченное время.

upd. В fireifox, кстати, такого не происходит.

Sandor 08-09-2015 15:14 2550942
Это вопрос для другой ветки форума))


Время: 16:22.

Время: 16:22.
© OSzone.net 2001-