Реклама в Chrome, меняется поисковик при каждом запуске на search.sidecubes.com [HEUR:Trojan.Win32.Generic ]

На открытой вкладке запускается поисковик с адресом search.sidecubes.com, навязчивая реклама на сайтах.

Уважаемый(ая) [B]zacenimoymir[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Home\AppData\Local\UyUtpjsd\qxQnWu1.bat','');
QuarantineFile('C:\ProgramData\UiTOYO\NCtwqSqox5.bat','');
QuarantineFile('C:\ProgramData\YTpotDL\WlHbQrE0.bat','');
QuarantineFile('C:\Users\Home\AppData\Roaming\Windows Live\lpobrfyapo.exe','');
QuarantineFile('C:\ProgramData\afoir\Zun-Ex.dll','');
QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010244\gmsd_ru_005010244.exe','');
SetServiceStart('condef', 4);
DeleteService('condef');
SetServiceStart('serfev', 4);
SetServiceStart('CloudPrinter', 4);
SetServiceStart('caMyciloP', 4);
SetServiceStart('BitTorrent', 4);
SetServiceStart('AppthgildeM', 4);
SetServiceStart('afoir', 4);
DeleteService('afoir');
DeleteService('AppthgildeM');
DeleteService('BitTorrent');
DeleteService('caMyciloP');
DeleteService('CloudPrinter');
DeleteService('serfev');
DeleteService('cd');
DeleteService('iroductuoldownload');
QuarantineFile('C:\Program Files\Content Defender\cd.exe','');
QuarantineFile('C:\Users\Home\AppData\Local\Doubletam.exe','');
QuarantineFile('C:\Windows\system32\drivers\condef.sys','');
QuarantineFile('C:\ProgramData\serfev\Kayfix.dll','');
QuarantineFile('C:\ProgramData\caMyciloP\Voyastring.dll','');
QuarantineFile('C:\ProgramData\AppthgildeM\TempKix.dll','');
QuarantineFile('C:\ProgramData\afoir\RankStrong.dll','');
QuarantineFile('c:\users\home\appdata\roaming\utorrent\updates\3.4.5_41865\utorrentie.exe','');
TerminateProcessByName('c:\programdata\serfev\serfev.exe');
QuarantineFile('c:\programdata\serfev\serfev.exe','');
TerminateProcessByName('c:\programdata\cloudprinter\cloudprinter.exe');
QuarantineFile('c:\programdata\cloudprinter\cloudprinter.exe','');
TerminateProcessByName('c:\programdata\camycilop\camycilop.exe');
QuarantineFile('c:\programdata\camycilop\camycilop.exe','');
TerminateProcessByName('C:\Program Files\BitTorrent\BitTorrent.exe');
QuarantineFile('C:\Program Files\BitTorrent\BitTorrent.exe','');
TerminateProcessByName('c:\programdata\appthgildem\appthgildem.exe');
QuarantineFile('c:\programdata\appthgildem\appthgildem.exe','');
TerminateProcessByName('c:\programdata\afoir\afoir.exe');
QuarantineFile('c:\programdata\afoir\afoir.exe','');
DeleteFile('c:\programdata\afoir\afoir.exe','32');
DeleteFile('c:\programdata\appthgildem\appthgildem.exe','32');
DeleteFile('C:\Program Files\BitTorrent\BitTorrent.exe','32');
DeleteFile('c:\programdata\camycilop\camycilop.exe','32');
DeleteFile('c:\programdata\cloudprinter\cloudprinter.exe','32');
DeleteFile('c:\programdata\serfev\serfev.exe','32');
DeleteFile('c:\users\home\appdata\roaming\utorrent\updates\3.4.5_41865\utorrentie.exe','32');
DeleteFile('C:\ProgramData\afoir\RankStrong.dll','32');
DeleteFile('C:\ProgramData\AppthgildeM\TempKix.dll','32');
DeleteFile('C:\ProgramData\caMyciloP\Voyastring.dll','32');
DeleteFile('C:\ProgramData\serfev\Kayfix.dll','32');
DeleteFile('C:\Windows\system32\drivers\condef.sys','32');
DeleteFile('C:\Users\Home\AppData\Local\Doubletam.exe','32');
DeleteFile('C:\Program Files\Content Defender\cd.exe','32');
DeleteFile('C:\Program Files (x86)\gmsd_ru_005010244\gmsd_ru_005010244.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010244');
DeleteFile('C:\ProgramData\afoir\Zun-Ex.dll','32');
DeleteFile('C:\Users\Home\AppData\Roaming\Windows Live\lpobrfyapo.exe','32');
DeleteFile('C:\ProgramData\YTpotDL\WlHbQrE0.bat','32');
DeleteFile('C:\ProgramData\UiTOYO\NCtwqSqox5.bat','32');
DeleteFile('C:\Users\Home\AppData\Local\UyUtpjsd\qxQnWu1.bat','32');
DeleteFile('C:\Windows\system32\Tasks\SpyHunter4Startup','64');
DeleteFile('D:\Downloads\SpyHunter\SpyHunter4.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowsers' Lnk[/url]

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]

Все выполнил, но проблема не решилась, логи приложил.

Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
3. Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].
4. Прикрепите этот отчет к своему следующему сообщению.

+ Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Сделал проверку программой MBAM, но интерфейс отличается от той, что в гайде, сохранил в текстовый файл, который назвал LOG.txt, но он не загружается в окне вложений, что можно с этим сделать? И я удалил все найденные подозрительные файлы :(

[quote="zacenimoymir;1370683"]LOG.txt, но он не загружается в окне вложений[/quote]Заархивируйте

MD5 fb5ef75a2ba2755814615e2e16220be6
Не получилось отправить в сообщении, прислал как карантин вверху темы, стартовая страница в Chrome нормализовалась, но поисковая машина все равно сбивается на нежелательную.

Удалите в МВАМ все, [B]кроме[/B]
[CODE]Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 1956, , [b40aa6e6a6f3c571561698d8b14f4fb1]

Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [b40aa6e6a6f3c571561698d8b14f4fb1],
HackTool.AutoKMS, C:\Users\Home\Downloads\KMSAuto Net 2014 v1.2.7 Portable RU\KMSAuto Net.exe, , [8638bcd047520432bf37b05113ef03fd],
RiskWare.Tool.HCK, C:\Users\Home\Downloads\FinalWire AIDA64 v5.xx Beta Portable\Keygen-CHiLi NEW\chili-keygen.exe, , [e8d6a2ea782175c148dbbe86e919a15f],
RiskWare.Tool.CK, C:\Users\Home\Downloads\UltraISO Premium Edition v9.5.3.2901 Final Ml_Rus\Retail\Keygens\Keygen-ZWT\keygen.exe, , [95290c806e2bb3835665b130857b5da3],
HackTool.Agent, C:\Program Files (x86)\Microsoft Office\KMS\mKMSAct.exe, , [d7e73e4e13866ec841cbdfa7cd3426da],
RiskWare.Tool.HCK, D:\Adobe\Adobe Photoshop CC 2015\adobe.snr.patch-painter.exe, , [9a245933b9e088aec80154cdd03160a0],
RiskWare.Tool.HCK, D:\Downloads\Adobe Photoshop CC 2015.0.1 (20150722.r.168) Ml_Rus\NEW 1.5 for CC-2015 patch-painter\adobe.snr.patch-painter.exe, , [546a6a222d6c2115efdaa67b3ac7857b], [/CODE]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\home\appdata\roaming\c731200 - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Andromeda.662 )[*] c:\users\home\appdata\roaming\microsoft\windows\themes\kvkgkq.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.Packed.29982 )[*] c:\users\home\appdata\roaming\update\explorer.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Andromeda.662 )[*] c:\users\home\appdata\roaming\windows live\lpobrfyapo.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.IRC.NgrBot.42 )[*] c:\users\home\appdata\roaming\windowsupdate\live.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.IRC.NgrBot.42 )[*] c:\users\home\appdata\roaming\windowsupdate\msupdate.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.IRC.NgrBot.42 )[*] c:\users\home\appdata\roaming\windowsupdate\updater.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Andromeda.662 )[/LIST][/LIST]