Вирус mail

[lana137371]

Здравствуйте.При проверке AdwCleaner выдает 2 вируса mail в Chrome, их удаляешь,но по факту снова появляются. Еще часто вылезает Амиго,хотя в программах его нет.Dr Web никаких угроз не обнаруживает!

[Info_bot]

Уважаемый(ая) lana137371, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[lana137371]

Отчёт

[thyrex]

Сделайте лог Check Browsers' LNK

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
IFEO\MRT.exe: [Debugger] C:\WINDOWS\TEMP\oua8157.tmp\secondu71\Gubed.exe -Yrrehs
ShellExecuteHooks:  - {2FAAE966-AB3E-11E6-8B06-64006A5CFC23} -  No File [ ]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
HKU\S-1-5-21-2949970287-2913718873-2654453432-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6
HKU\S-1-5-21-2949970287-2913718873-2654453432-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2949970287-2913718873-2654453432-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2949970287-2913718873-2654453432-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
FF HKLM-x32\...\Firefox\Extensions: [{5B33CA02-0B06-69AD-3CE3-595585A0C33D}] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\k3j0cf9a.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{CD40230E-8134-1B97-F009-343A30D54C34}] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\k3j0cf9a.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{5B267AC3-AFCF-53BB-7CE5-B5949AE6E934}] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\k3j0cf9a.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{A7DAAC17-6FE9-79B2-C0AF-D5017C8309C2}] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\k3j0cf9a.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{D5EDD0A2-546E-0C21-DE14-F3D2E9DB7BC2}] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\k3j0cf9a.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{D0257E93-80D6-F21A-2A4D-A151489C7581}] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\k3j0cf9a.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{69BCB1DC-37AB-9BB4-D4D5-094CCD66F88A}] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\k3j0cf9a.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{E7A87F6F-E583-859E-DDFA-7814007F03AD}] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\k3j0cf9a.default\extensions\[email protected] => not found
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.amisites.com/?type=sc&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6
CHR StartupUrls: Profile 4 -> "hxxp://mail.ru/cnt/10445?gp=811009","hxxp://www.amisites.com/?type=hp&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6"
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.amisites.com/?type=sc&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6
OPR Extension: (Новости) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-06-04]
OPR Extension: (Smart Browser™) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-07-09]
2016-12-09 11:15 - 2016-12-09 11:15 - 00000000 ____D C:\Program Files (x86)\UvConverter
2016-12-07 17:47 - 2016-12-09 11:15 - 00000000 ____D C:\Program Files (x86)\WinArcher
2016-12-07 17:47 - 2016-12-07 17:47 - 00003432 _____ C:\WINDOWS\System32\Tasks\ChelfNotify Task
2016-12-07 17:46 - 2016-12-07 17:46 - 00000000 ____D C:\Program Files (x86)\yywuaavy
2016-12-06 21:24 - 2016-12-06 21:24 - 00003550 _____ C:\WINDOWS\System32\Tasks\f6a63bbfe553147895993c7e8697a131
2016-12-06 21:23 - 2016-12-07 18:42 - 00000000 ____D C:\Program Files (x86)\Chokeseckurigh
2016-12-06 21:23 - 2016-12-06 23:27 - 00000000 ____D C:\Users\1\AppData\Roaming\Rafage
2016-12-06 21:23 - 2016-12-06 21:24 - 00000000 ____D C:\Users\1\AppData\Local\Kernishwusied
2016-12-06 20:33 - 2016-12-06 21:22 - 00000000 ____D C:\Users\Все пользователи\vCore
2016-12-06 20:33 - 2016-12-06 21:22 - 00000000 ____D C:\ProgramData\vCore
2016-12-06 20:33 - 2016-12-06 20:38 - 00000000 ____D C:\Users\1\AppData\Roaming\ArchiverApp
2016-12-06 20:32 - 2016-12-06 20:45 - 00000000 ____D C:\Users\1\AppData\Roaming\PBot
2016-12-06 01:04 - 2016-12-06 01:04 - 02107060 _____ C:\WINDOWS\55c5bfd32c148eafb959ae36ec8ba148.exe
C:\Windows\SysWOW64\Drivers\328a972995786525434a569f47a01a11.sys
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [314]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [314]
Task: {1CD459EA-AEA8-4180-8A50-D51C37E8985D} - \Microsoft\extsetupSB -> No File <==== ATTENTION
Task: {3B78F3F7-0743-4ED3-B126-1E75088B8ED8} - \Microsoft\Windows\A744FFBCA-AAEA-4110-A013-64697E99A475 -> No File <==== ATTENTION
Task: {B0DD64E6-E992-4AA1-A4E8-693589F9916B} - \Microsoft\Windows\extsetupSB -> No File <==== ATTENTION
Task: {1DC2C79F-A672-4E44-84D1-3D9465BB882A} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) <==== ATTENTION
Task: {BDFAFD28-7EB3-4E19-AB6F-90A996944170} - System32\Tasks\Famuther Community => C:\Program Files (x86)\Chokeseckurigh\qerwele.exe
Task: {C9B1B0E8-9086-41C0-B519-6E2E8EFA5A1E} - System32\Tasks\f6a63bbfe553147895993c7e8697a131 => Rundll32.exe "C:\Program Files (x86)\Windows Multimedia Platform\dprtox.dll",e62dc6c6547f46bda862da2d05af6862 <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[lana137371]

Отчёт, логи

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.