Вирус автоматически устанавливает нежелательное ПО [not-a-virus:WebToolbar.Win32.CrossRider.apmj ]

[Dmitry Berrimor]

Вирус автоматически устанавливает нежелательное ПО, типа амиго и прочей ерунды. Началось после того как я скачал шрифт через своего рода exe распаковщик. Сканил tdsskiller'ом, выявил два вируса, я их удалил. Но проблема осталась. Спасибо за помощь.

[Info_bot]

Уважаемый(ая) Dmitry Berrimor, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Dmitry Berrimor]

лог hijack

- - - - -Добавлено - - - - -

нужен был срочно пк, отключил от интернета удалил через удаление программ весь мусор, почистил appdata и programdata. Теперь в диспетчере задач вроде не наблюдаю сторонних процессов. Только почему-то всего активен установщики windows и google. Высылаю новые логи, хочу убедиться что подчистил все следы окончательно

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Dmitry\AppData\Roaming\WindowsUpdater\Updater.exe','');
 QuarantineFile('C:\Users\Dmitry\AppData\Local\Hostinstaller\3968222913_installcube.exe','');
 QuarantineFile('C:\ProgramData\GliaxhvWK\snyZqThzsrWau5.bat','');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','');
 QuarantineFile('C:\Users\Dmitry\AppData\Roaming\Update_6bAgdktq12Odnvf.exe','');
 QuarantineFile('C:\Users\Dmitry\AppData\Roaming\MyDesktop\qweeeCL.exe','');
 QuarantineFile('C:\Program Files (x86)\1E00E7E0-1452517735-B200-E7F6-90E6BA5D0F5D\hnsi16FC.tmp','');
 QuarantineFile('C:\ProgramData\Tmp0x0x\ProtectWindowsManager.exe','');
 QuarantineFile('C:\Program Files (x86)\SFK\SSFK.exe','');
 DeleteService('wucotusy');
 DeleteService('WindowsMangerProtect');
 DeleteService('SSFK');
 DeleteService('LiveUpdateSvc');
 QuarantineFile('C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe','');
 DeleteService('cocuqepezbt');
 QuarantineFile('C:\Program Files (x86)\1E00E7E0-1452517735-B200-E7F6-90E6BA5D0F5D\knssE672.tmpfs','');
 QuarantineFile('C:\Users\Dmitry\AppData\Local\Buzz Web\{871D422D-6328-212C-E3B1-6110B2FAAB6C}\fiilvzh.dll','');
 DeleteFile('C:\Users\Dmitry\AppData\Local\Buzz Web\{871D422D-6328-212C-E3B1-6110B2FAAB6C}\BuzzWeb.dll','32');
 DeleteFile('C:\Users\Dmitry\AppData\Local\Buzz Web\{871D422D-6328-212C-E3B1-6110B2FAAB6C}\fiilvzh.dll','32');
 DeleteFile('C:\Users\Dmitry\AppData\Local\Buzz Web\{871D422D-6328-212C-E3B1-6110B2FAAB6C}\{4C777016-298B-DC53-BCB5-0F7AF1D860B2}.dat','32');
 DeleteFile('C:\Program Files (x86)\1E00E7E0-1452517735-B200-E7F6-90E6BA5D0F5D\knssE672.tmpfs','32');
 DeleteFile('C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe','32');
 DeleteFile('C:\Program Files (x86)\SFK\SSFK.exe','32');
 DeleteFile('C:\ProgramData\Tmp0x0x\ProtectWindowsManager.exe','32');
 DeleteFile('C:\Program Files (x86)\1E00E7E0-1452517735-B200-E7F6-90E6BA5D0F5D\hnsi16FC.tmp','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop');
 DeleteFile('C:\Users\Dmitry\AppData\Roaming\MyDesktop\qweeeCL.exe','32');
 DeleteFile('C:\Users\Dmitry\AppData\Roaming\Update_6bAgdktq12Odnvf.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','UpdateS6bAgdktq12Odnvf');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro');
 DeleteFile('C:\ProgramData\GliaxhvWK\snyZqThzsrWau5.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\Buzz Web','64');
 DeleteFile('C:\Windows\system32\Tasks\Buzz Web2','64');
 DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','64');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\Dmitry\AppData\Local\Hostinstaller\3968222913_installcube.exe','32');
 DeleteFile('C:\Users\Dmitry\AppData\Roaming\WindowsUpdater\Updater.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Сделайте лог CheckBrowsers' Lnk

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Dmitry Berrimor]

Спасибо за помощь! Файлы прилагаю, карантин отправил.

- - - - -Добавлено - - - - -

Дополнение: на ютубе все еще всплывает в новом окне реклама при рандомном клике, будь то кнопка или просто лкм на поверхность

[Dmitry Berrimor]

up pls

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке



3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

+ Сделайте лог полного сканирования МВАМ

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\dmitry\appdata\local\buzz web\{871d422d-6328-212c-e3b1-6110b2faab6c}\fiilvzh.dll - not-a-virus:WebToolbar.Win32.CrossRider.apmj ( AVAST4: Win32:Malware-gen )
  2. c:\users\dmitry\appdata\local\hostinstaller\396822 2913_installcube.exe - not-a-virus:Downloader.Win32.AdLoad.ufda