Странный поисковик

:? Доброго времени суток. Сегодня установил гаджет для ГП. При загрузке отошел на 2-3 минуты. Когда вернулся, увидел, что кроме гаджета установились еще 3 неизвестных программы которые я успешно удалил. Далее Пошли проблемы:В Браузере Google chrome появилось не понятное расширение, которое я смог удалить только через AdwCleaner, но это полбеды во всех браузерах 1 страницей открывается поисковая система awesomehp которая ни в одном из браузеров не указана как домашняя страница и, тем более, как поисковик по умолчанию. Избавится от сей напасти не выходит Утилита Dr Web находит Вирус, но удалить его не может. он как будто "воскресает". Антивирус Аваст никак не реагирует на это. Все с вязанное с гаджетом, да и он сам удалено с компьютера. Система Win7. 32 bit.:(

Новые данные: При сканировании на архивном уровне нашел еще 4 вируса, все успешно удалились, вирусов на компьютере более нет. Проблема сохраняется.

Уважаемый(ая) [B]Nerik[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

amicosinglun - в установленных программах ничего такого не видно?

Программы от майл.ру сами ставили или они тоже довеском?

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

Программы от Майл ставил сам, активно пользуюсь Агентом и Игровым центром. В установленных такой программы нет, но на Диске С в папке Programs Files папка с таким именем есть. При чем очень странно то, что Файлы в ней за 2012г, хотя машина приобретена в середине 2013г. Так же в папке Perfeth есть файл с таким именем.

1) Создайте на всякий случай точку восстановления системы.

2) [url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM [/url] всё найденное.

3) Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFileF('C:\ProgramData\IePluginService\','*', true,'',0 ,0);
QuarantineFile('C:\ProgramData\IePluginS','');
QuarantineFile('C:\ProgramData\WPM\','');
QuarantineFileF('c:\program files\amicosinglun','*', true,'',0 ,0);
DeleteFileMask('c:\program files\amicosinglun', '*', true);
DeleteDirectory('c:\program files\amicosinglun', '');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color]) + mbam

отпишитесь, что с проблемой?

Карантин выслал. Проблема сохраняется, но я случайно удалил Google Chrome. Переустановил и, о чудо, ,эта триклятая страничка более в нем не открывается. В опере и IE всё по прежнему. Удалил все файлы с компьютера с именем amicosinglun а так же программу Donload Master - которая являлась источником этих файлов. Но результата это не дало. что же за зловред такой.....:(

Начинаю боятся того, что придется сносить систему.

Выполните скрипт в AVZ

[CODE]begin
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(false);
end.
[/CODE]

после перезагрузки проверьте проблему в IE.

[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url] только программу скачайте [url=http://yadi.sk/d/SWV-neIQAxrZ5]отсюда[/url]

Проблема в IE сохранилась. вот ссылка на Лог uVS (не хватает места во вложениях) -http://files.mail.ru/1E7452FFD7F54CC693FE7DB24E0BFE28

Скачайте утилиту [URL="http://oldtimer.geekstogo.com/OTL.exe"]OTL by OldTimer[/URL]. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:

[B]Scan All Users[/B]
[B]Include 64Bit Scans[/B] - в случае 64-разрядной системы;
Output: [B]Minimal Output[/B];
File Scans: [B]Use Company-Name WhiteList[/B] и [B]Skip Microsoft Files[/B];
[B]Lop Check[/B];
[B]Purity Check[/B];

Остальные параметры оставьте по умолчанию и нажмите [B][COLOR="#0000CD"]Run Scan[/COLOR][/B]. По окончании сканирования программа создаст в той же папке, где находится она сама, два файла: [B]OTL.txt[/B] и [B]Extras.txt[/B]. Упакуйте их в архив и прикрепите к своему следующему сообщению.

вот

п.с: Сможет ли мне помочь откат системы?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Что это значит? (Выделеное красным?)И как от этого избавится

[LIST][*]Запустите повторно [URL="http://oldtimer.geekstogo.com/OTL.exe"]OTL by OldTimer[/URL] или [URL="http://oldtimer.geekstogo.com/OTL.com"]OTL.com[/URL] или [URL="http://oldtimer.geekstogo.com/OTL.scr"]OTL.scr[/URL].

[SIZE="1"]Обратите внимание, что утилиты необходимо запускать от имени [B]Администратора[/B]. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите "[B]Да[/B]".[/SIZE]
[*]В окно [B]Custom Scans/Fixes[/B] скопируйте следующую информацию:

[CODE]:processes
killallprocesses
:OTL
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files\Mobogenie\DaemonProcess.exe File not found
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - Reg Error: Value error. File not found
O8 - Extra context menu item: Закачать при помощи Download Master - Reg Error: Value error. File not found

:Services

:Files

autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c
ipconfig /release /c
ipconfig /renew /c
:Reg

:Commands
[EMPTYTEMP]
[purity]
[start explorer]
[Reboot][/CODE][*]Проверьте, что весь текст скрипта был скопирован / вставлен [U]верно[/U] и нажмите кнопку "[B]Run Fix[/B]"[*][B][I]Компьютер перезагрузится.[/I][/B][*]После перезагрузки откройте папку [b]"C:\_OTL\MovedFiles"[/b], найдите последний .log файл (лог в формате [b]mmddyyyy_hhmmss.log[/b]), откройте и скопируйте текст из него в следующее сообщение.[/LIST]

-----------------
файл после запуска которого это началось у вас сохранился?
Заархивируйте его в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[quote="Nerik;1090217"]Что это значит? (Выделеное красным?)[/quote]
это же ваш лог uVS.

[quote="Nerik;1090217"]Сможет ли мне помочь откат системы?[/quote]
давайте пока с этим подождём.

Запустил скрипт 1 раз - вышло сообщение об ошибке. 2 раз -синий экран.

Вот что пишет лог:


Files\Folders moved on Reboot...
File\Folder E:\AUTORUN.INF not found!


PendingFileRenameOperations files...


Registry entries deleted on Reboot...


Files\Folders moved on Reboot...
File move failed. E:\AUTORUN.INF scheduled to be moved on reboot.


PendingFileRenameOperations files...


Registry entries deleted on Reboot...

Файл к сожалению не сохранился. удалил сразу после появления проблемы в надежде на чудесное избавление....:(

[quote="Nerik;1090230"]Файл к сожалению не сохранился. удалил сразу после появления проблемы в надежде на чудесное избавление....[/quote]
откуда скачали тоже не помните?

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

К сожалению...

[url]http://files.mail.ru/1300EDF52DAB4ED18A765B4C485A90CEgt[/url]

Места во вложениях более нет

[QUOTE]Ошибка 404 — страница не найдена[/QUOTE]
попробуйте заархивировать файл
+ [url=http://virusinfo.info/showthread.php?t=130567]Как удалить вложения?[/url]

вот ЛОГ

Посмотрите эта папка (содержимое) вам знакомо?
[CODE]programdata\WPM[/CODE]

И на всякий случай ещё вручную проверьте, в свойствах ярлыков для запуска браузеров ничего лишнего не дописано?

По моему нет. Хмм.. странно запуск с корневого(в папке самого браузера) ярлыка не открывает эту страницу. неужели ярлыки?

[quote="Nerik;1090262"]странно запуск с корневого(в папке самого браузера) ярлыка не открывает эту страницу. неужели ярлыки?[/quote]
значит да. В предыдущем сообщение написал

[quote="regist;1090256"]проверьте, в свойствах ярлыков для запуска браузеров ничего лишнего не дописано?[/quote]
и папку
[CODE]c:\programdata\WPM[/CODE]
тоже проверьте, похоже от ad-aware

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[url="http://virusinfo.info/showpost.php?p=493610&postcount=2"]Удалите ComboFix[/url]

Вообще впервые вижу эту папку)))

Да и вообще появилось много папок (ну за исключением тех которые создали програмы) которые я раньше не видел на диске.

Заархивируйте эту папку в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.
После этого удалите.
Насчёт ярлыков не ответили. Напишите, какой путь там в свойствах указан?

:LИм определенно везет... я тут же поудалял к чертям все ярлыки браузеров. но вот я думаю... может всё таки откатить систему на недельку назад?

если проблема решена, то зачем откатывать? В принципе если за эту неделю никаких новых программы вы самостоятельно не устанавливали то можете и откатить.

А так проблема осталась?

Не устанавливал. (кроме злосчастного гаджета) Проблема вроде-бы решилась, но я всётаки откачу систему может быть появится предыдущая версия того гаджета. тогда я смогу сбросить вам ссылку на ту страничку. да сам гаджет.

ок, и не забудьте

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

Вот первоначальная версия гаджета. Рисковать 2 раз не стал по этому ссылку дать не могу. сам гаджет удаляю с своего железа на веки вечные... Спасибо за помощь (Столько времени убили.... жуть...) кстати название гаджета GPU Monitor версия 5.7

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]