Вирус заменил ярлыки для всех браузеров на один, с выходом на сайт игр

[Tonton9]

Здравствуйте! На компьютере, при попытке установить дополнение к Майнкрафт, появился вирус. Он заменил ярлыки всех браузеров "IE", Mozilla, Opera, при нажатии на них выходил какой-то сайт с играми, или предложения что-то поменять Вконтакте. В программах появились папки Mobogenie и tooldev342/Weatherbar. На компьютере стоит Касперский, но лицензия кончилась, и базы устарели. Проверили Cureit, он нашёл 3 вируса, их удалили. Удалили ярлыки браузеров, заново создали. Теперь вроде работает нормально, но при запуске Мозиллы и создании новой вкладки, говорит, что компьютер заражён вирусом, срочно надо его удалить и т.п. (возникает не каждый раз). Папка tooldev342/Weatherbar не удаляется, Mobogenie удалось удалить через установку/удаление программ. Помогите пожалуйста разобраться.

[Info_bot]

Уважаемый(ая) Tonton9, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Users\user\AppData\Local\Temp\Russian.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.url','');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Tonton9]

Здравствуйте! Всё сделали, карантин отправили, логи и отчёт прилагаю. Но папку tooldev342 так и не удаётся удалить. И по-прежнему открывается окно сайта по поводу того, что Мой компьютер заражён вирусами и т.д.

[Techno]

Папка tooldev342/Weatherbar не удаляется

Почему?

- Удалите в AdwCleaner

[Tonton9]

Не знаю, почему, но найденное он уже 5-й раз пытается удалить, и не может - при новом сканировании оно опять появляется в окне Results --Mozilla (прилагаю отчёт R6). Саму папку tooldev342 в результатах тоже не показывает, так что и удалить её через ADW мы не можем.

[Techno]

Саму папку tooldev342 в результатах тоже не показывает

Так эта папка существует вообще или нет?

[regist]

Не знаю, почему, но найденное он уже 5-й раз пытается удалить, и не может - при новом сканировании оно опять появляется в окне Results --Mozilla (прилагаю отчёт R6).

в логе всё чисто .

[Tonton9]

Да, она по-прежнему в Program files/tooldev342/Weatherbar. При попытке удалить выдаёт следующее - "разрешить программе c/windows/installer/8b52d8msi внесение изменений на жёсткий диск?". Поскольку это предположительно вирусная папка, разрешать такое мы не рискуем(

[regist]

Поскольку это предположительно вирусная папка

скорее просто обычный тулбар, чтобы убедиться
Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

При попытке удалить

А как вы пытаетесь её удалить? Через установку и удаление программ?

разрешать такое мы не рискуем(

если вы запускаете деинсталятор и потому ему не разрешаете удалить программу, то конечно же она не удалится ...

[Tonton9]

То есть, можно разрешить "программе c/windows/installer/8b52d8msi внесение изменений на жёсткий диск", и это не вирус?
Архив не удаётся создать, WinRar пишет - "невозможно создать архив tooldev342.zip". И посторонние окна в Мозилле продолжают открываться - "Ваш компьютер заражён" и т.п. Может, удалить и заново установить сам браузер?

- - - Добавлено - - -

А, и в окне поисковиков установился какой-то inet123 в качестве верхнего поисковика.

[regist]

Tonton9, вы не ответили ни на один из моих вопросов, а телепатией я не обладаю..

А как вы пытаетесь её удалить? Через установку и удаление программ?

Архив не удаётся создать, WinRar пишет - "невозможно создать архив tooldev342.zip"

попробуйте скопировать папку в другое место и так заархивировать.

[Tonton9]

Да, удаляю через Установка-удаление программ, естественно.
Архив удалось создать, прикрепляю его.

[regist]

"разрешить программе c/windows/installer/8b52d8msi внесение изменений на жёсткий диск?".

да, разрешите. Это не вирус.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены