Не могу удалить mystartsearch.com и SFKEX64 [HEUR:Trojan.Win32.Generic ]

[rezonance]

Здраствуйте, не могу удалить mystartsearch.com и SFKEX64 и еще несколько программ, пробовал удалять через программы но они потом не понятно откуда появляются опять. Пробую отключать в процессах все что только можна и толку 0.
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

[Info_bot]

Уважаемый(ая) rezonance, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 TerminateProcessByName('C:\Program Files (x86)\SFK\SFKEX64.exe');
 TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe');
 StopService('SSFK');
 QuarantineFile('C:\Program Files (x86)\SFK\SFKEX64.exe', '');
 QuarantineFile('c:\program files (x86)\sfk\ssfk.exe', '');
 DeleteFile('c:\program files (x86)\sfk\ssfk.exe', '32');
 DeleteFile('C:\Program Files (x86)\SFK\SFKEX64.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Kometa.lnk', '32');
 DeleteService('LiveUpdateSvc');
 DeleteService('SSFK');
 DeleteFileMask('C:\Program Files (x86)\SFK', '*', true);
 DeleteDirectory('C:\Program Files (x86)\SFK');
 ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (admin)" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{ED0BA46A-3B37-432A-ADE7-53249F6276A6}" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup', 'command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

[rezonance]

virusinfo_syscheck.zip

Код HTML:

# AdwCleaner v5.004 - Отчёт создан 28/08/2015 в 18:45:19
# Обновлено 26/08/2015 by Xplode
# База данных : 2015-08-25.1 [Сервер]
# Операционная система : Windows 7 Enterprise Service Pack 1 (x64)
# Пользователь : admin - ADMIN-ПК
# Запущено из : C:\Users\admin\Desktop\adwcleaner_5.004.exe
# Настройка : Сканировать
# помощь : http://toolslib.net/forum

***** [ Службы ] *****


***** [ Папки ] *****

Папка Найдено : C:\Device
Папка Найдено : C:\ProgramData\Media Get LLC
Папка Найдено : C:\Users\admin\AppData\Roaming\Obnovi Soft

***** [ Файлы ] *****

Файл Найдено : C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\y8twvyca.default\invalidprefs.js

***** [ Ярлыки ] *****

Ярлык Заражён : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzilla Firеfох.lnk ( hxxp://www.mystartsearch.com/?type=sc&ts=1440694036&z=fa0d45054c43386f8325f01g9z5z2e4qetaz2e1b5e&from=cmi&uid=ST500DM002-1BD142_Z3T18Y5KXXXXZ3T18Y5K )
Ярлык Заражён : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Орerа.lnk ( hxxp://www.mystartsearch.com/?type=sc&ts=1440694036&z=fa0d45054c43386f8325f01g9z5z2e4qetaz2e1b5e&from=cmi&uid=ST500DM002-1BD142_Z3T18Y5KXXXXZ3T18Y5K )
Ярлык Заражён : C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk ( hxxp://www.mystartsearch.com/?type=sc&ts=1440694036&z=fa0d45054c43386f8325f01g9z5z2e4qetaz2e1b5e&from=cmi&uid=ST500DM002-1BD142_Z3T18Y5KXXXXZ3T18Y5K )
Ярлык Заражён : C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Eхplorer.lnk ( hxxp://www.mystartsearch.com/?type=sc&ts=1440694036&z=fa0d45054c43386f8325f01g9z5z2e4qetaz2e1b5e&from=cmi&uid=ST500DM002-1BD142_Z3T18Y5KXXXXZ3T18Y5K )
Ярлык Заражён : C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Eхрlorer (64-bit).lnk ( hxxp://www.mystartsearch.com/?type=sc&ts=1440694036&z=fa0d45054c43386f8325f01g9z5z2e4qetaz2e1b5e&from=cmi&uid=ST500DM002-1BD142_Z3T18Y5KXXXXZ3T18Y5K )
Ярлык Заражён : C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk ( hxxp://www.mystartsearch.com/?type=sc&ts=1440694036&z=fa0d45054c43386f8325f01g9z5z2e4qetaz2e1b5e&from=cmi&uid=ST500DM002-1BD142_Z3T18Y5KXXXXZ3T18Y5K )
Ярлык Заражён : C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Еxрlorеr (Nо Add-ons).lnk ( hxxp://www.mystartsearch.com/?type=sc&ts=1440694036&z=fa0d45054c43386f8325f01g9z5z2e4qetaz2e1b5e&from=cmi&uid=ST500DM002-1BD142_Z3T18Y5KXXXXZ3T18Y5K )
Ярлык Заражён : C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоoglе Сhrоmе.lnk ( hxxp://www.mystartsearch.com/?type=sc&ts=1440694036&z=fa0d45054c43386f8325f01g9z5z2e4qetaz2e1b5e&from=cmi&uid=ST500DM002-1BD142_Z3T18Y5KXXXXZ3T18Y5K )
Ярлык Заражён : C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Еxрlorеr Browsеr.lnk ( hxxp://www.mystartsearch.com/?type=sc&ts=1440694036&z=fa0d45054c43386f8325f01g9z5z2e4qetaz2e1b5e&from=cmi&uid=ST500DM002-1BD142_Z3T18Y5KXXXXZ3T18Y5K )
Ярлык Заражён : C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Сhromе.lnk ( hxxp://www.mystartsearch.com/?type=sc&ts=1440694036&z=fa0d45054c43386f8325f01g9z5z2e4qetaz2e1b5e&from=cmi&uid=ST500DM002-1BD142_Z3T18Y5KXXXXZ3T18Y5K )
Ярлык Заражён : C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfox (2).lnk ( hxxp://www.mystartsearch.com/?type=sc&ts=1440694036&z=fa0d45054c43386f8325f01g9z5z2e4qetaz2e1b5e&from=cmi&uid=ST500DM002-1BD142_Z3T18Y5KXXXXZ3T18Y5K )
Ярлык Заражён : C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfox.lnk ( hxxp://www.mystartsearch.com/?type=sc&ts=1440694036&z=fa0d45054c43386f8325f01g9z5z2e4qetaz2e1b5e&from=cmi&uid=ST500DM002-1BD142_Z3T18Y5KXXXXZ3T18Y5K )
Ярлык Заражён : C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оperа (2).lnk ( hxxp://www.mystartsearch.com/?type=sc&ts=1440694036&z=fa0d45054c43386f8325f01g9z5z2e4qetaz2e1b5e&from=cmi&uid=ST500DM002-1BD142_Z3T18Y5KXXXXZ3T18Y5K )
Ярлык Заражён : C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оperа.lnk ( hxxp://www.mystartsearch.com/?type=sc&ts=1440694036&z=fa0d45054c43386f8325f01g9z5z2e4qetaz2e1b5e&from=cmi&uid=ST500DM002-1BD142_Z3T18Y5KXXXXZ3T18Y5K )

***** [ Запланированные задания ] *****


***** [ Реестр ] *****

Ключ Найдено : HKLM\SOFTWARE\Google\Chrome\Extensions\gehngeifmelphpllncobkmimphfkckne
Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10921475-03CE-4E04-90CE-E2E7EF20C814}
Ключ Найдено : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Ключ Найдено : HKCU\Software\Media Get LLC
Ключ Найдено : HKLM\SOFTWARE\SupDp
Ключ Найдено : [x64] HKCU\Software\Media Get LLC
Значение Найдено : HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command [] - "C:\Program Files (x86)\Opera\Launcher.exe" hxxp://www.mystartsearch.com/?type=sc&ts=1440694036&z=fa0d45054c43386f8325f01g9z5z2e4qetaz2e1b5e&from=cmi&uid=ST500DM002-1BD142_Z3T18Y5KXXXXZ3T18Y5K

***** [ Веб браузеры ] *****

[C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\y8twvyca.default\prefs.js] [Preference] Найдено : user_pref("extensions.quick_start.enable_search1", false);
[C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\y8twvyca.default\prefs.js] [Preference] Найдено : user_pref("extensions.quick_start.sd.closeWindowWithLastTab_prev_state", false);
[C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Default_Search_Provider] Найдено : hxxp://www.mystartsearch.com/webfavicon.ico

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [5871 байт] ##########

[Vvvyg]

Лог AdwCleaner нужно тоже вложением.
И файл virusinfo_syscheck.zip - вчерашний, я просил новый сделать.

[rezonance]

Прошу прощения
virusinfo_syscheck.zip
hijackthis.log

[Vvvyg]

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования уберите галочки на вкладках Папки (Folders) и Реестр (Registry) со всех пунктов, где упоминается MediaGet если используете эту программу.

Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[rezonance]

Стартовая страница браузеров изменилась на мои изначательные (это то что я хотел), SFKEX64 в процессах не обнаружил, проблема решена, огромное спасибо. Можна ли какие то рекомендации чтобы этого не повторилось.

AdwCleaner[C1].txt

[Vvvyg]

В Avast: Настойки -> Антивирусная защита -> Экран файловой системы -> чувствительность -> поставить галку на "Искать потенциально нежелательные программы (ПНП)".
Убедитесь также, что включены в разделе настройки -> Антивирус DeepScreen и Усиленный режим хотя бы как "Умеренный". Это хоть как-то оградит от запуска разных мусорных программ.

Запустите AdwCleaner и нажмите Uninstall.

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены