[решено] Браузер Chrome поисковик Google автоматически меняет на http://nova.rambler.ru/search

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Браузер Chrome поисковик Google автоматически меняет на http://nova.rambler.ru/search

Добрый день! Подскажите в браузере Google Chrome по умолчанию стоит поисковик Google, но как только что-то начинаешь искать меняет на этот http://nova.rambler.ru/search. Компьютер проверен на вирусы антивирусником, программами Dr.Web CureIt, ADW Cleaner, Kaspersky Virus Removal, CC Cleaner, Чистилка. Все вирусы и нежелательное ПО которое было обнаружено данными программами удалено. Проблема осталась только в Google Chrome. Internet Explorer и Mozilla Firefox работает нормально.

Выкладываю файл с логами. При сборке логов участвовали только Internet Explorer и Mozilla Firefox.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFileF('c:\users\natali\appdata\local\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);

 QuarantineFile('C:\Users\Natali\AppData\Local\SearchGo\searchgo.exe', '');

 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);

 DeleteFile('C:\Users\Natali\AppData\Local\SearchGo\searchgo.exe', '32');

 DeleteFileMask('c:\users\natali\appdata\local\searchgo', '*', true);

 DeleteDirectory('c:\users\natali\appdata\local\searchgo');

BC_ImportALL;

ExecuteSysClean;

BC_Activate;

 ExecuteWizard('SCU', 2, 3, true);

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Все сделала. Прикрепляю отчет от AdwCleaner.

Выкладываю.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Прикрепляю отчеты.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start

CreateRestorePoint:

CHR Extension: (Norton Security Toolbar) - C:\Users\Natali\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjabmdjcfcfdmffimndhafhblfmpjdpe [2016-04-07]

CHR Extension: (Norton Identity Safe) - C:\Users\Natali\AppData\Local\Google\Chrome\User Data\Default\Extensions\iikflkcanblccfahdhdonehdalibjnif [2016-04-07]

2016-04-06 11:43 - 2016-04-07 20:28 - 00000000 ____D C:\Users\Natali\AppData\LocalLow\SearchGo

2016-04-06 11:43 - 2016-04-06 11:43 - 00000000 ____D C:\Users\Natali\AppData\Local\Поиcк в Интeрнете

2016-04-06 11:42 - 2016-04-06 11:44 - 00000000 ____D C:\Users\Natali\AppData\Local\Unity

2016-04-06 11:41 - 2016-04-06 12:29 - 00000000 ____D C:\Users\Natali\AppData\Local\syslog

2016-04-06 11:41 - 2016-04-06 11:44 - 00000000 ____D C:\Users\Natali\AppData\LocalLow\Unity

Task: {9ABC51AA-A48A-4810-B7F7-B0268583EBF9} - \syslog -> No File <==== ATTENTION

EmptyTemp:

Reboot:

end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

Прикрепляю файл. Проблема не изменилась пере адресация все равно идет на рамблер.

Отключите в Хроме все расширения и проверьте. Если пропадет, включайте по одному, пока не найдете виновника. Название сообщите.

Сделала. Нашла виновника это Google Презентации при нем идет пере адресация на рамблер. А как с ним теперь быть подскажите пожалуйста.

Выберите удалить.

Если мне понадобятся Google Презентации я смогу их восстановить или это уже все и восстановлению не подлежит.

Скачайте это приложение из официального интернет-магазина Chrome и установите при необходимости.
+
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

Спасибо очень помогли.

Пожалуйста..., а лог?

SecurityCheck by glax24 & Severnyj v.1.4.0.37 [05.03.16]
WebSite: SafeZone.cc
DateLog: 11.04.2016 11:43:26
Path starting: C:\Users\Natali\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Natali
VersionXML: 2.71is-09.04.2016
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x86) HomePremium Lang: Russian(0419)
Дата установки ОС: 05.03.2016 12:17:53
Статус лицензии: Windows(R) 7, HomePremium edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe
Системный диск: C: ФС: [NTFS] Емкость: [68.4 Гб] Занято: [43.9 Гб] Свободно: [24.5 Гб]
——————————————————————————————— [ Windows ] ———————————————————————————————
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2016-04-09 17:31:28
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
———————————————————————————— [ Antivirus_WMI ] ————————————————————————————
Norton Security + резервное копирование (отключен)
———————————————————————————— [ Firewall_WMI ] —————————————————————————————
Norton Security + резервное копирование
——————————————————————————— [ AntiSpyware_WMI ] ———————————————————————————
Windows Defender (выключен и обновлен)
Norton Security + резервное копирование (отключен)
—————————————————————— [ AntiVirusFirewallInstall ] ———————————————————————
Norton Security with Backup v.22.6.0.142
——————————————————————————— [ OtherUtilities ] ————————————————————————————
Microsoft Silverlight v.5.1.41212.0
————————————————————————————————— [ IM ] ——————————————————————————————————
Skype™ 7.3 v.7.3.101 Внимание! Скачать обновления
^Необязательное обновление.^
——————————————————————————— [ AdobeProduction ] ———————————————————————————
Adobe Flash Player 21 ActiveX v.21.0.0.213
Adobe Reader XI (11.0.15) - Ukrainian v.11.0.15
——————————————————————————————— [ Browser ] ———————————————————————————————
Google Chrome v.49.0.2623.112
Mozilla Firefox 45.0.1 (x86 ru) v.45.0.1
——————————————————————————— [ RunningProcess ] ————————————————————————————
C:\Program Files\Google\Chrome\Application\chrome.exe v.49.0.2623.112
C:\Program Files\Mozilla Firefox\firefox.exe v.45.0.1.5918
————————————————————————————— [ End of Log ] ——————————————————————————————

Исследование системы завершено.

Цитата:

Цитата Natali15

——————————————————————————————— [ Windows ] ———————————————————————————————
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ »

Цитата:

Цитата Natali15

————————————————————————————————— [ IM ] ——————————————————————————————————
Skype™ 7.3 v.7.3.101 Внимание! Скачать обновления
^Необязательное обновление.^ »

Прочтите и выполните Рекомендации после лечения.