Неудаляющийся вирус

Здравствуйте!

Когда вчера села за комп и зашла в интернет через Файрфокс, заметила, что браузер запускается с одной страницы

[URL="http://www.nicesearches.com?type=hp&ts=1474843411&from=25470926&uid=st3360320as_6qf2f4apxxxx6qf2f4ap&z=4214f095c906ee594dfe8b6gazdm3z9t5e6bee2w1z"]http://www.nicesearches.com?type=hp&ts=1474843411&from=25470926&uid=st3360320as_6qf2f4apxxxx6qf2f4ap&z=4214f095c906ee594dfe8b6gazdm3z9t5e6bee2w1z

[/URL]
Пыталась удалить через настройки ничего не выходило. Заподозрила неладное и когда решила посмотреть программы через Revo uninstaller, то нашла программу, которой раньше не было. Во всяком случае я её точно не устанавливала. Превью внизу.

[URL="http://radikal.ru/big/a2p8hw20160dz"][IMG]http://s008.radikal.ru/i305/1610/21/210e7ba0eadbt.jpg[/IMG][/URL]

Хотела удалить с помощью деинсталлятора, но под самый конец остаточные файлы удалялись ужасно медленно и я оставила затею. Нашла папку в Program Files где эта программа была, под названием Elex-tech

[URL="http://radikal.ru/big/kikaci8l91quk"][IMG]http://s020.radikal.ru/i708/1610/bf/1b65d6cbe1aft.jpg[/IMG][/URL]

хотела удалить вручную - не дало удалить. Unlocker тоже не помог, так как сразу выскочило сообщение о закрытии компьютера.

В диспетчере задач нашла процессы, которые запускаются из этой папки, причём парочка из них отмечена как системные.

[URL="http://radikal.ru/big/oa254ffebauie"][IMG]http://s019.radikal.ru/i643/1610/81/1b4acf6a4e17t.jpg[/IMG][/URL]

Просканировала антивирусом Аваст, он обнаружил угрозу, но вроде тоже не смог удалить эти же самые файлы. Даже запустила сканирование антивирусом при загрузке системы до появления рабочего стола на мониторе, но он нашёл какие-то другие вирусы, которые я и удалила. Но ту папку прошёл как ни в чём не бывало...

Логи AVZ как раз содержат сведения о тех же самых файлах. Пожалуйста посмотрите и скажите - есть ли возможность как-то удалить этот злополучный вирус?

Уважаемый(ая) [B]Necky[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

YAC (Yet Another Cleaner!) удалите через Установку программ.

Сделайте новые логи

Мда, ларчик-то просто открывался. Удалила как вы и сказали через утилиту из Control Panel. Папка удалилась, процессов тоже нет. Но сайт с которого загружается Файрфокс по-прежнему тот же.

Новые логи прикреплены.

П.С. Я всё забыла сказать, что hijackthis я не могла запустить от имени администратора, так как пароля не знаю и запускала прямо так. Надеюсь, это не сильно искажает всю работу..

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/url]

Здравствуйте.

Сделала.

Удалите в МВАМ все найденное.

Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
3. Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].
4. Прикрепите этот отчет к своему следующему сообщению.

Сделала.

Правда, появился красный значок от файрвола:

[url=http://radikal.ru][img]http://s020.radikal.ru/i717/1610/3c/108a13e37b87.png[/img][/url]


и проблема с файрфоксом опять не решилась..

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Здравствуйте! Сделала.

И ещё на всякий случай - несколько дней назад я немного почистила папку Temp и таким образом освободила место, которое было занято приличным размером файлов.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-1390067357-261903793-1801674531-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://newtab.certified-toolbar.com/nie?si=41460&tid=592&new=true" <======= ATTENTION
HKU\S-1-5-21-1390067357-261903793-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://newtab.certified-toolbar.com/nie?si=41460&tid=592&new=true" <======= ATTENTION
FF NewTab: C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\g0xyofq4.default -> hxxp://www.nicesearches.com?type=hp&ts=1474843411&from=25470926&uid=st3360320as_6qf2f4apxxxx6qf2f4ap&z=4214f095c906ee594dfe8b6gazdm3z9t5e6bee2w1z
FF DefaultSearchEngine: C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\g0xyofq4.default -> nice
FF SearchEngineOrder.1: C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\g0xyofq4.default -> nice
FF SelectedSearchEngine: C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\g0xyofq4.default -> nice
FF Homepage: C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\g0xyofq4.default -> hxxp://www.nicesearches.com?type=hp&ts=1474843411&from=25470926&uid=st3360320as_6qf2f4apxxxx6qf2f4ap&z=4214f095c906ee594dfe8b6gazdm3z9t5e6bee2w1z
FF NewTab: C:\Documents and Settings\User\Application Data\Firefox\Firefox\Profiles\89fsa2pc.default-1449334517281 -> hxxp://www.trotux.com/?z=6a6020977cde593b2400660g7zem3eet8g1q6wbb0g&from=tur&uid=ST3360320AS_6QF2F4APXXXX6QF2F4AP&type=hp
FF DefaultSearchEngine: C:\Documents and Settings\User\Application Data\Firefox\Firefox\Profiles\89fsa2pc.default-1449334517281 -> trotux
FF DefaultSearchEngine.US: C:\Documents and Settings\User\Application Data\Firefox\Firefox\Profiles\89fsa2pc.default-1449334517281 -> data:text/plain,browser.search.defaultenginename.US=trotux
FF Homepage: C:\Documents and Settings\User\Application Data\Firefox\Firefox\Profiles\89fsa2pc.default-1449334517281 -> hxxp://chenyefa.ru/?utm_source=startpage03&utm_content=10af6346b6e955f751859b3c24ad41b0&utm_term=8EA4A2FB781B711A2D46BBDE6DAD8248&utm_d=20160625
FF Extension: (No Name) - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\89fsa2pc.default-1449334517281\extensions\[email protected] [not found]
FF Extension: (No Name) - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\89fsa2pc.default-1449334517281\extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [not found]
FF SearchPlugin: C:\Documents and Settings\User\Application Data\Firefox\Firefox\Profiles\89fsa2pc.default-1449334517281\searchplugins\0hdl0x2q.xml [2016-08-12]
FF DefaultSearchEngine.US: C:\Documents and Settings\User\Application Data\Profiles\kz36tm66.default -> data:text/plain,browser.search.defaultenginename.US=trotux
FF SelectedSearchEngine: C:\Documents and Settings\User\Application Data\Profiles\kz36tm66.default -> trotux
FF Homepage: C:\Documents and Settings\User\Application Data\Profiles\kz36tm66.default -> hxxp://www.trotux.com/?z=7fd6833f037b93cb46f6c1bg4z4meect7gfq5c6t2w&from=tur&uid=ST3360320AS_6QF2F4APXXXX6QF2F4AP&type=hp
FF Keyword.URL: C:\Documents and Settings\User\Application Data\Profiles\kz36tm66.default -> hxxp://www.trotux.com/search/?z=7fd6833f037b93cb46f6c1bg4z4meect7gfq5c6t2w&from=tur&uid=ST3360320AS_6QF2F4APXXXX6QF2F4AP&type=sp&q=
FF Extension: (Fast search v 0.25) - C:\Documents and Settings\User\Application Data\Profiles\kz36tm66.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2016-08-12] [not signed]
FF Extension: (VKontakte.ru Downloader) - C:\Documents and Settings\User\Application Data\Profiles\qcun13iq.default\Extensions\[email protected] [2016-08-13]
CHR HKLM\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - hxxps://clients2.google.com/service/update2/crx
C:\Documents and Settings\User\Local Settings\Temp\Rd0W5WceTZok.exe
C:\Documents and Settings\User\Local Settings\Temp\runprog.exe
C:\Documents and Settings\User\Local Settings\Temp\RunWizards.exe
C:\Documents and Settings\User\Local Settings\Temp\YrqIGU5QbV4N.exe
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:0F8F5844 [126]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:15E76ABF [260]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:41ADDB8A [151]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:56E2E879 [134]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:A064CECC [136]
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]

Сделала.

Должна заметить, что в тексте, который вы предложили я нашла знакомое слово "trotux". Если я правильно помню, с него тоже запускался Файрфокс, но это было ещё за несколько дней (даже намного раньше) до поданной мною заявки. То есть, когда комп включался, то сначала Хром, а потом и Файрфокс запускались самостоятельно, с какими-то сайтами. Разумеется, меня дико раздражало это и с помощью утилиты автогрузки я вычислила что именно не совсем обычное запускается прямо при включении. Также с помощью программы Reg Organizer я удалила строку-ссылку и сопутствующие ей. Помню что было написано вроде - "granena.ru..."

Наверное, мне уже тогда надо было обратиться сюда, но что получилось - то получилось...

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Сделано.

Удалите в МВАМ все найденное

Сделала, но не помогло. Каждый раз удаляла и даже вручную - то же самое. Всё равно начинается с этой ссылки.

Сделайте [URL="http://virusinfo.info/showthread.php?t=146192"]лог AdwCleaner[/URL]

Здравствуйте. Сделала.

Отметьте и удалите все найденное

Удалила. Но, честно говоря, я до сих пор не понимаю как и откуда эта ссылка вновь открывается, тем более, что сбрасывала даже через браузерное about:config.

***

Mail.ru Updater кстати не удаляется, когда попробовала сделать это ещё раз AdwCleaner-ом. Этот файл тоже сам собой возобновляется. Удалить вручную или как-то иначе?