Lowcostbar 99.1.9

Добрый день, поймал на компьютер кучу различных программ самовольно установившихся, амиго, майлрупоиск и прочий мусор. Все удалил в безопасном режиме, не поддается удалению, расширение для хрома, Lowcostbar. Помогите пожалуйста. Перед этим устанавливал скачаную с оф.сайта программу "КОМПАС"

Уважаемый(ая) [B]WWWst[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\16CCF429-0D35-46B6-ABF3-FDFE86A90E2B\15223258-5EED-49ED-81A2-7DCE70D9C376.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\F283A891-22B5-453C-8F88-E9E2EA5BC6FC.exe','');
QuarantineFile('C:\Users\WWWst\AppData\Local\Microsoft\Extensions\extsetup.exe','');
DeleteFile('C:\Users\WWWst\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\F283A891-22B5-453C-8F88-E9E2EA5BC6FC.exe','32');
DeleteFile('C:\Program Files (x86)\Common Files\16CCF429-0D35-46B6-ABF3-FDFE86A90E2B\15223258-5EED-49ED-81A2-7DCE70D9C376.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','E81C468B-3960-43D1-946B-D7E1AFC24240');
DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','32');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\SafeBrowser','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\extsetup','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\AE81C468B-3960-43D1-946B-D7E1AFC24240','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

Скачайте AVZ4.46, обновите его базы.

[B][COLOR="Red"]Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи[/COLOR][/B]

Пишет "Ошибка загрузки. Данный файл уже был загружен"

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

логи

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

логи

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => No File
ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll [2016-09-29] ()
CHR HKU\S-1-5-21-891314573-4044397162-229778189-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
S2 Doackarerviing; C:\Program Files (x86)\Grretionanhiing\Phkhelper.dll [X]
2016-09-29 20:01 - 2016-10-05 09:35 - 00000292 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
2016-09-29 20:01 - 2016-09-29 20:58 - 00002556 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
2016-09-29 19:56 - 2016-09-29 21:22 - 00000000 ____D C:\Program Files (x86)\KuaiZip
2016-09-29 19:55 - 2016-10-05 09:58 - 00000456 _____ C:\Windows\Tasks\UCBrowserUpdater.job
2016-09-29 19:55 - 2016-09-29 20:00 - 00003430 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
2016-09-29 19:55 - 2016-08-29 18:50 - 00081792 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\Windows\system32\Drivers\ucguard.sys
2016-09-29 19:54 - 2016-09-29 19:54 - 00000000 ____D C:\Users\WWWst\AppData\Roaming\Softlink
2016-09-29 19:54 - 2016-09-29 19:54 - 00000000 ____D C:\Users\WWWst\AppData\Roaming\Kuaizip
2016-09-29 19:53 - 2016-10-05 10:07 - 00002274 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk
2016-09-29 19:52 - 2016-10-05 10:07 - 00001805 _____ C:\Users\WWWst\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk
2016-09-29 19:51 - 2016-10-05 09:35 - 00000416 _____ C:\Windows\Tasks\MzIzNTM0Mzc=.job
2016-09-29 19:51 - 2016-09-29 19:52 - 00003104 _____ C:\Windows\System32\Tasks\MzIzNTM0Mzc=
MSCONFIG\Services: 99f733f28c2b950a2bb316b2e1ba8f0d => 2
MSCONFIG\Services: HPReyos Service => 2
MSCONFIG\Services: MaohaWifiSvr => 2
MSCONFIG\Services: qyjeqoxi => 2
MSCONFIG\startupreg: app => C:\Program Files (x86)\sbqh\uc.exe
MSCONFIG\startupreg: DiskPower => "C:\Program Files (x86)\DPower\DiskPower.exe"
MSCONFIG\startupreg: hdtask => "C:\ProgramData\hdtask\hdtask.exe"
MSCONFIG\startupreg: mailruhomesearch => "C:\Users\WWWst\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred
MSCONFIG\startupreg: msiql => C:\Users\WWWst\AppData\Local\Temp\00028164\msiql.exe /RUNNING
MSCONFIG\startupreg: prof2you => "C:\Users\WWWst\AppData\Roaming\prof2you\launcher.exe" 5000
MSCONFIG\startupreg: svchost0 => "C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe"\UUC0789.exe
MSCONFIG\startupreg: WMIproviders => C:\Program Files (x86)\WMIprovider\WMI Providers.exe
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk => C:\Windows\pss\Zaxar Games Browser.lnk.CommonStartup
AlternateDataStreams: C:\Users\WWWst\Documents\1.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\WWWst\Documents\1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\WWWst\Documents\2.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\WWWst\Documents\2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\WWWst\Documents\2ндфл.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\WWWst\Documents\2ндфл.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\WWWst\Documents\2ндфл2.jpeg.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\WWWst\Documents\2ндфл2.jpeg.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\WWWst\Documents\3.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\WWWst\Documents\3.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\WWWst\Documents\4.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\WWWst\Documents\4.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\WWWst\Documents\Данные с холтера.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\WWWst\Documents\Данные с холтера.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\WWWst\Documents\заключение экг.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\WWWst\Documents\заключение экг.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\WWWst\Documents\экг1.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\WWWst\Documents\экг1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\WWWst\Documents\экг2.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\WWWst\Documents\экг2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\WWWst\Documents\экг3.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\WWWst\Documents\экг3.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\WWWst\Documents\экг4.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\WWWst\Documents\экг4.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\WWWst\Documents\экг5.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\WWWst\Documents\экг5.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
Task: C:\Windows\Tasks\MzIzNTM0Mzc=.job => C:\Users\WWWst\AppData\Local\MzIzNTM0Mzc=\s_inst.exe
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe
Task: {BA617C50-FCF8-44B6-8F80-B11B8C4F099D} - System32\Tasks\Pucogestaceried Client => C:\Program Files (x86)\Jomosprasether\prutas.exe
Task: {4286CDD9-7902-4810-985C-FD270086E1BD} - System32\Tasks\MzIzNTM0Mzc= => C:\Users\WWWst\AppData\Local\MzIzNTM0Mzc=\s_inst.exe
Task: {1475FA37-4133-46A4-8900-7FF5131E1582} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]

лог

Проблема решена?

Само расширение пропало давно. Но, при открытии хрома все еще загружается вот эта страница [url]http://navsmart.info/en-us.htm[/url], в настройках выбрано при запуске загружать ранее открытые вкладки.

Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/url]

лог

Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
3. Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].
4. Прикрепите этот отчет к своему следующему сообщению.

Сделано

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

При последующей перезагрузке, страница больше не открывалась. Спасибо вам большое!