Здравствуйте.При проверке AdwCleaner выдает 2 вируса mail в Chrome, их удаляешь,но по факту снова появляются. Еще часто вылезает Амиго,хотя в программах его нет.Dr Web никаких угроз не обнаруживает!
Printable View
Здравствуйте.При проверке AdwCleaner выдает 2 вируса mail в Chrome, их удаляешь,но по факту снова появляются. Еще часто вылезает Амиго,хотя в программах его нет.Dr Web никаких угроз не обнаруживает!
Уважаемый(ая) [B]lana137371[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Отчёт
Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/url]
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
IFEO\MRT.exe: [Debugger] C:\WINDOWS\TEMP\oua8157.tmp\secondu71\Gubed.exe -Yrrehs
ShellExecuteHooks: - {2FAAE966-AB3E-11E6-8B06-64006A5CFC23} - No File [ ]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
HKU\S-1-5-21-2949970287-2913718873-2654453432-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6
HKU\S-1-5-21-2949970287-2913718873-2654453432-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2949970287-2913718873-2654453432-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2949970287-2913718873-2654453432-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6&q={searchTerms}
FF HKLM-x32\...\Firefox\Extensions: [{5B33CA02-0B06-69AD-3CE3-595585A0C33D}] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\k3j0cf9a.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{CD40230E-8134-1B97-F009-343A30D54C34}] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\k3j0cf9a.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{5B267AC3-AFCF-53BB-7CE5-B5949AE6E934}] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\k3j0cf9a.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{A7DAAC17-6FE9-79B2-C0AF-D5017C8309C2}] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\k3j0cf9a.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{D5EDD0A2-546E-0C21-DE14-F3D2E9DB7BC2}] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\k3j0cf9a.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{D0257E93-80D6-F21A-2A4D-A151489C7581}] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\k3j0cf9a.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{69BCB1DC-37AB-9BB4-D4D5-094CCD66F88A}] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\k3j0cf9a.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{E7A87F6F-E583-859E-DDFA-7814007F03AD}] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\k3j0cf9a.default\extensions\[email protected] => not found
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.amisites.com/?type=sc&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6
CHR StartupUrls: Profile 4 -> "hxxp://mail.ru/cnt/10445?gp=811009","hxxp://www.amisites.com/?type=hp&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6"
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.amisites.com/?type=sc&ts=1481267739&z=9271343415ba93fff496533g2z8b7gdobm6eet0w2t&from=archer1028&uid=WDCXWD5000LPVX-80V0TT0_WD-WXL1EB3JHYJ6JHYJ6
OPR Extension: (Новости) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-06-04]
OPR Extension: (Smart Browser™) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-07-09]
2016-12-09 11:15 - 2016-12-09 11:15 - 00000000 ____D C:\Program Files (x86)\UvConverter
2016-12-07 17:47 - 2016-12-09 11:15 - 00000000 ____D C:\Program Files (x86)\WinArcher
2016-12-07 17:47 - 2016-12-07 17:47 - 00003432 _____ C:\WINDOWS\System32\Tasks\ChelfNotify Task
2016-12-07 17:46 - 2016-12-07 17:46 - 00000000 ____D C:\Program Files (x86)\yywuaavy
2016-12-06 21:24 - 2016-12-06 21:24 - 00003550 _____ C:\WINDOWS\System32\Tasks\f6a63bbfe553147895993c7e8697a131
2016-12-06 21:23 - 2016-12-07 18:42 - 00000000 ____D C:\Program Files (x86)\Chokeseckurigh
2016-12-06 21:23 - 2016-12-06 23:27 - 00000000 ____D C:\Users\1\AppData\Roaming\Rafage
2016-12-06 21:23 - 2016-12-06 21:24 - 00000000 ____D C:\Users\1\AppData\Local\Kernishwusied
2016-12-06 20:33 - 2016-12-06 21:22 - 00000000 ____D C:\Users\Все пользователи\vCore
2016-12-06 20:33 - 2016-12-06 21:22 - 00000000 ____D C:\ProgramData\vCore
2016-12-06 20:33 - 2016-12-06 20:38 - 00000000 ____D C:\Users\1\AppData\Roaming\ArchiverApp
2016-12-06 20:32 - 2016-12-06 20:45 - 00000000 ____D C:\Users\1\AppData\Roaming\PBot
2016-12-06 01:04 - 2016-12-06 01:04 - 02107060 _____ C:\WINDOWS\55c5bfd32c148eafb959ae36ec8ba148.exe
C:\Windows\SysWOW64\Drivers\328a972995786525434a569f47a01a11.sys
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [314]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [314]
Task: {1CD459EA-AEA8-4180-8A50-D51C37E8985D} - \Microsoft\extsetupSB -> No File <==== ATTENTION
Task: {3B78F3F7-0743-4ED3-B126-1E75088B8ED8} - \Microsoft\Windows\A744FFBCA-AAEA-4110-A013-64697E99A475 -> No File <==== ATTENTION
Task: {B0DD64E6-E992-4AA1-A4E8-693589F9916B} - \Microsoft\Windows\extsetupSB -> No File <==== ATTENTION
Task: {1DC2C79F-A672-4E44-84D1-3D9465BB882A} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) <==== ATTENTION
Task: {BDFAFD28-7EB3-4E19-AB6F-90A996944170} - System32\Tasks\Famuther Community => C:\Program Files (x86)\Chokeseckurigh\qerwele.exe
Task: {C9B1B0E8-9086-41C0-B519-6E2E8EFA5A1E} - System32\Tasks\f6a63bbfe553147895993c7e8697a131 => Rundll32.exe "C:\Program Files (x86)\Windows Multimedia Platform\dprtox.dll",e62dc6c6547f46bda862da2d05af6862 <==== ATTENTION
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]
Отчёт, логи
Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
3. Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].
4. Прикрепите этот отчет к своему следующему сообщению.