подозрение на активность вируса [not-a-virus:RemoteAdmin.Win32.Ammyy.fi ]

подозрение на вирусную активность вируса. Программы самопроизвольно устанавливались и на столах появлялись их ярлыки (после установки браузера опера) вот файлы

Уважаемый(ая) [B]tehnik[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[NOTICE]Внимание !!! База поcледний раз обновлялась 23.02.2014 [B]необходимо обновить базы[/B] при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.43[/NOTICE]

Обновите базы и переделайте логи. Для 64-битной версии Windows нужно выполнить только 2-й стандартный скрипт в AVZ.

Сделаны новые логи после обновления баз AVZ

Удалите CiPlus-4.5vV23.07, Crossbrowse через установку прогамм в панели управления

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
DelBHO('{6302DA44-093B-4153-9D0E-22129D91F801}');
StopService('comyninu');
StopService('hyverumu');
StopService('pebocimi');
QuarantineFile('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30\hnsvD650.tmp','');
QuarantineFile('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30\jnsiB4BD.tmp','');
QuarantineFile('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30\knsu85D7.tmpfs','');
QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-6.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-7.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-10.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-11.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-3.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-5.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-6.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-7.exe','');
QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','');
QuarantineFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe','');
QuarantineFileF('C:\ProgramData\WindowsMangerProtect', '*', false,'', 0, 0);
QuarantineFile('C:\Users\Пользователь\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Users\Пользователь\appdata\local\smartweb\smartwebapp.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Users\Пользователь\appdata\local\smartweb\swhk.dll','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.emorhc.bat','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\qGzj0G7OtrUE1r.exe','');
DeleteFile('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30\jnsiB4BD.tmp','32');
DeleteFile('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30\knsu85D7.tmpfs','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-6.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-10.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-11.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-3.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-5.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-6.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-7.exe','32');
DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','32');
DeleteFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Users\Пользователь\appdata\local\smartweb\smartwebapp.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Users\Пользователь\appdata\local\smartweb\swhk.dll','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\qGzj0G7OtrUE1r.exe','32');
DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-6','64');
DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-7','64');
DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-11','64');
DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-3','64');
DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-5','64');
DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-6','64');
DeleteFile('C:\Windows\system32\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-7','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','64');
DeleteFile('C:\Windows\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core','64');
DeleteFile('C:\Windows\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update','64');
DeleteFileMask('C:\ProgramData\WindowsMangerProtect', '*', true, ' ');
DeleteDirectory('C:\ProgramData\WindowsMangerProtect');
DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\Browsers', '*', true, ' ');
DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\Browsers');
DeleteFileMask('C:\Users\Пользователь\appdata\local\smartweb', '*', true, ' ');
DeleteDirectory('C:\Users\Пользователь\appdata\local\smartweb');
DeleteFileMask('C:\Users\Пользователь\AppData\Local\Kometa', '*', true, ' ');
DeleteDirectory('C:\Users\Пользователь\AppData\Local\Kometa');
DeleteFileMask('C:\Program Files (x86)\WordSurfer_1.10.0.19', '*', true, ' ');
DeleteDirectory('C:\Program Files (x86)\WordSurfer_1.10.0.19');
DeleteFileMask('C:\Program Files (x86)\Crossbrowse\Crossbrowse', '*', true, ' ');
DeleteDirectory('C:\Program Files (x86)\Crossbrowse\Crossbrowse');
DeleteFileMask('C:\Program Files (x86)\CiPlus-4.5vV23.07', '*', true, ' ');
DeleteDirectory('C:\Program Files (x86)\CiPlus-4.5vV23.07');
DeleteFileMask('C:\Program Files (x86)\AnyProtectEx', '*', true, ' ');
DeleteDirectory('C:\Program Files (x86)\AnyProtectEx');
DeleteFileMask('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30', '*', true, ' ');
DeleteDirectory('C:\Program Files (x86)\63D7A017-1437651742-5BD2-E69C-D850E6524C30');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-6.job','64');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-1-7.job','64');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-10_user.job','64');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-11.job','64');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-3.job','64');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-5.job','64');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-5_user.job','64');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-6.job','64');
DeleteFile('C:\Windows\Tasks\8b75a6a8-54ef-498c-a38d-685a2cd61b97-7.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\Crossbrowse.job','64');
DeleteFile('C:\Windows\Tasks\qGzj0G7OtrUE1r.job','64');
DeleteService('comyninu');
DeleteService('hyverumu');
DeleteService('pebocimi');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_1BB8204478EB23873EB78136BAE51D79');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
Код:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.

- Сделайте лог [URL=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]Check Browsers' LNK[/URL] и приложите его в теме.

[ATTACH]582951[/ATTACH][ATTACH]582952[/ATTACH][QUOTE=SQ;1299274] Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

- Сделайте лог Check Browsers' LNK и приложите его в теме.[/QUOTE]

файлы по запросу

1. Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Результат загрузки

Файл сохранён как 150814_160124_quarantine_55cdd8948cfd7.zip
Размер файла 3637359
MD5 448b9d2c5e4c4873b2a4cc21e93dd0e4

2.- Подготовьте лог AdwCleaner и приложите его в теме.
Прикреплён файл

3. - Сделайте лог и приложите его в теме.
Прикреплён файл

4. - логи AVZ повторить ?

Обновленные файлы и логи.

1. Как убрать (удалить) с автозагрузки амиго,
VKontakteDJ.exe /H
\amigo.exe --no-startup-window
\Mail.Ru\MailRuUpdater.exe

2. Вызывает подозрение
HKCU\..\Run: [CNAP2 Launcher] C:\Windows\system32\spool\DRIVERS\x64\3\CNAP2LAK.EXE

3. Проблема захода на некоторые сайты к примеру [url]https://www.wikipedia.org/[/url] (как с буквой S так и без нее), сайт mail.ru заходит а в категорию ответы -> [url]https://otvet.mail.ru/[/url] так же не заходит открывается чистая страница с ошибкой страница не найдена и еще на некоторые сайты.

Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
[list][*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

Отметьте и удалите в AdwCleaner все найденные записи

Сделал новые логи AdwCleaner и hijackthis.log? логи в авз не могу сделать зависает, прикладываю скрин на каком месте. пробовали 4 раза.

после того как отметили и удалили в AdwCleaner все найденные записи компьютер перегрузился и выдал отчет AdwCleaner[C1] прикреплен.

Но все ровно пока открывает рекламу.

Судя по скриншоту, Вы выполняете 3 стандартный скрипт "Скрипт лечения/карантина и сбора информации", да еще и выбрали все пункты в "Области поиска". Выполните 2 стандартный скрипт "Скрипт сбора информации для раздела "Помогите" virusinfo.info". В области поиска самостоятельно галочки не устанавливайте. Ждем результатов попытки сделать новый лог AVZ.

mrak74 можно ли как то в АВЗ сделать скрипт или выполнить действие что бы он файл собрал в карантин, что бы подкрепить вверху темы "Прислать запрошенный карантин" вот название файла SMART_IO.CRD расположен на съемном диске F:\, его удаляешь, через время он снова оказывается там именно на этом флеш накопителе, при вставление других такого нету.

P.S при выполнение скрипта галочка с диска C слетает,
сейчас ссылки на сайты стали открывается интересно в чем была причина.
Но реклама пока появляется.
просьба удалить некоторые файлы, места почти не осталось места для подкрепления новых, все в этой теме. не тот файл еще удалю вдруг.

[quote="tehnik;1307602"]mrak74 можно ли как то в АВЗ сделать скрипт или выполнить действие что бы он файл собрал в карантин, что бы подкрепить вверху темы "Прислать запрошенный карантин"[/quote]

[quote="SQ;1299274"]Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.[/quote]

[quote="tehnik;1304312"]Файл сохранён как 150814_160124_quarantine_55cdd8948cfd7.zip
Размер файла 3637359
MD5 448b9d2c5e4c4873b2a4cc21e93dd0e4[/quote]
Карантин у Вас просили всего один раз и Вы его успешно прислали. Больше не надо, без дополнительного запроса.

[quote="tehnik;1307602"]SMART_IO.CRD расположен на съемном диске F:\, его удаляешь, через время он снова оказывается там именно на этом флеш накопителе, при вставление других такого нету.[/quote]
Можете самостоятельно проверить этот файл на [url]https://www.virustotal.com/[/url], думаю что он не представляет угрозы.

В последнем логе AVZ порядок. Что с проблемой ?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[quote="tehnik;1307602"]Но реклама пока появляется.[/quote]
[URL="http://virusinfo.info/showthread.php?t=128635#post948932"][I]очистите кэш и cookies-файлы браузеров[/I][/URL]

[quote="tehnik;1307602"]просьба удалить некоторые файлы, места почти не осталось места для подкрепления новых, все в этой теме. не тот файл еще удалю вдруг.[/quote]
Удалил вложения из первого поста. Что с проблемой после очистки кэш и cookies-файлы браузеров ?

[QUOTE=mrak74;1307623]Что с проблемой после очистки кэш и cookies-файлы браузеров ?[/QUOTE]

Очистил в трех браузерах EI, Opera, гугл хром. ситуация не изменилась. (так же через 7- 10 идет перекидка на дополнительное окно сайта)

[URL="http://virusinfo.info/showthread.php?t=121767"][B]Сделайте полный образ автозапуска uVS[/B][/URL]

Не хватает 195 кб свободного места.

[quote="tehnik;1307983"]Не хватает 195 кб свободного места.[/quote]
Выложите на [url]http://rghost.ru/[/url], ссылку с результатом загрузки опубликуйте в следующем сообщении.

[url]http://rghost.ru/8chLGTMkv[/url]
c 5 раза загрузил, в черный список файл отправлял:O

Выполните скрипт в uVS [URL="http://virusinfo.info/showthread.php?t=121769"]Как выполнить скрипт в uVS[/URL]
[CODE];uVS v3.85.16 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\AMIGO\APPLICATION\32.0.1725.115\DELEGATE_EXECUTE.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\KOMETA\APPLICATION\43.0.2357.130\DELEGATE_EXECUTE.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\0.3.0.5_0\CHROME HOTWORD SHARED MODULE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\43.0.2357.132\RESOURCES\GOOGLE_NOW\GOOGLE NOW
deltmp
delnfr
restart[/CODE]

Проверьте работу браузеров.

Все ровно всплывает реклама :( хотя писал что то удаляет при нажатии выполнить скрипт. папки ZOO не было.
повторно логи AVZ делать?

[quote="tehnik;1308050"]повторно логи AVZ делать?[/quote]
Да. Повторите логи virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил).

Вы из Тулы ? 89.108.106.89,8.8.8.8 - эти DNS у Вас прописаны в сетевых настройках 1-й Московский, 2-ой Google Public DNS. Настройки Вашего провайдера точные знаете ?

Скрипты сейчас повторю, если 3 пункт удастся сделать.

Да из Тулы, точных настроек не знаю, про DNS тоже хотел спросит, второй как раз меня смутил цифрами 8.8.8.8

[quote="tehnik;1308057"]второй как раз меня смутил цифрами 8.8.8.8[/quote]
Это нормально. Инфа [url]https://ru.wikipedia.org/wiki/Google_Public_DNS[/url] в нормальной связке он 8.8.8.8 и 8.8.4.4.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[quote="tehnik;1308057"]точных настроек не знаю[/quote]
Узнать бы, у провайдера, звонок в тех поддержку.

Новые логи AVZ и hijackthis.log , файл новый в карантине сделала программа от сегодняшнего числа прикрепить в верху темы?.

[quote="tehnik;1308098"]файл новый в карантине сделала программа от сегодняшнего числа прикрепить в верху темы?.[/quote]
Прикрепите.

Попробуйте установить 8.8.8.8 и 8.8.4.4 эти DNS вместо 89.108.106.89 и 8.8.8.8
[URL="http://virusinfo.info/showthread.php?t=128635&p=968385&viewfull=1#post968385"]Очистите кэш DNS с помощью CCleaner после воздействия вредоносных программ, подменяющих DNS[/URL]

"Родные" параметры сетевых настроек у провайдера узнали ?
+
Скачайте утилиту [URL="https://yadi.sk/d/HeoPGwfQZEaMW"]MiniToolBox[/URL] и сохраните на рабочем столе.

Запустите [U]при подключённом интернете[/U], отметьте следующие пункты:

[LIST=1][*]Список настроек прокси Internet Explorer[*]Список настроек прокси Firefox[*]Список из файла Hosts[*]Список настроек IP[*]Список настроек Winsock[*]Список последних 10 записей журнала событий[*]Список установленных программ[*]Только проблемных[*]Список юзеров, разделов и размера памяти[*]Список дампа памяти[*]список точек восстановления[/LIST]

и нажмите Старт.

После завершения сбора информации откроется отчет [b]Result.txt[/b], прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.

Да вот DNS
212/12/0/2
212/12/0/3
Поставил родные или заменить как посоветовали 8.8.8.8 - 8.8.4.4

Файл был в папке поместил в архив с паролем virus
Файл сохранён как 150826_174247_2015-08-14_55ddc257656f7.zip
Размер файла 388217
MD5 459b6fd01a14351763c182761bf24465

В утилите MiniToolBox все по английски написано как бы не то что не нужно не поставить галочку, но вроде где нужно поставил.

[quote="tehnik;1308125"]Файл был в папке поместил в архив с паролем virus
Файл сохранён как 150826_174247_2015-08-14_55ddc257656f7.zip
Размер файла 388217
MD5 459b6fd01a14351763c182761bf24465[/quote]
В карантине программа удаленного доступа [URL="http://www.ammyy.com/ru/downloads.html"]Ammyy Admin[/URL], думаю Вы в курсе про нее.

Лог MiniToolBox - а, мне нужен сделанным после ...
[quote="tehnik;1308125"]Да вот DNS
212/12/0/2
212/12/0/3
Поставил родные или заменить как посоветовали 8.8.8.8 - 8.8.4.4[/quote]
Хочу видеть в Вашем логе другие DNS, либо от провайдера, либо от google. Пока что в логе [QUOTE]DNS-�ࢥ��. . . . . . . . . . . : 89.108.106.89
8.8.8.8[/QUOTE]
Соответственно нет смысла спрашивать есть ли изменения с рекламой в браузере. Переделайте лог MiniToolBox.

Переделанный лог MiniToolBox.

P.S может это поможет? Сегодня антивирус ругнулся на расширение в браузере, а точнее на поисковую систему Istartsurf.
Что она имеет плохую репутацию, и ее удалить. когда посмотрел, в поисковых системах к примеру гугл то поисковая строка для поиска стоит --> Istartsurf (точка) соm/ длиный набор цифр и букв.
как можно исправить?

[quote="tehnik;1308388"]Сегодня антивирус ругнулся на расширение в браузере, а точнее на поисковую систему Istartsurf.
Что она имеет плохую репутацию, и ее удалить. когда посмотрел, в поисковых системах к примеру гугл то поисковая строка для поиска стоит --> Istartsurf (точка) соm/ длиный набор цифр и букв.
как можно исправить?[/quote]
На примере Google Chrome - Настройки - Поиск - Настроить поисковые системы - Выделите поисковую систему Istartsurf, удалите крестиком справа - Готово.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]

Отчет FRST.txt и Addition.txt

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

[CODE]SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1437652319&z=41fd67f6f95827024b585b0g2zdc3meq0w3qde4eaw&from=face&uid=ST500DM002-1BD142_W3T02L7QXXXXW3T02L7Q&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1437652319&z=41fd67f6f95827024b585b0g2zdc3meq0w3qde4eaw&from=face&uid=ST500DM002-1BD142_W3T02L7QXXXXW3T02L7Q&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1437652319&z=41fd67f6f95827024b585b0g2zdc3meq0w3qde4eaw&from=face&uid=ST500DM002-1BD142_W3T02L7QXXXXW3T02L7Q&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2177409229-2083395496-568644430-1001 -> DefaultScope {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_W3T02L7QXXXXW3T02L7Q&ts=1437652408&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2177409229-2083395496-568644430-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_W3T02L7QXXXXW3T02L7Q&ts=1437652408&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2177409229-2083395496-568644430-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_W3T02L7QXXXXW3T02L7Q&ts=1437652408&type=default&q={searchTerms}
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-2177409229-2083395496-568644430-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1437652319&z=41fd67f6f95827024b585b0g2zdc3meq0w3qde4eaw&from=face&uid=ST500DM002-1BD142_W3T02L7QXXXXW3T02L7Q
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - https://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2177409229-2083395496-568644430-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION[/CODE][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

результат обработки Fixlog.txt

•Обратите внимание, что компьютер будет перезагружен. перезагрузки почему то не было :?

[quote="tehnik;1308444"]•Обратите внимание, что компьютер будет перезагружен. перезагрузки почему то не было[/quote]
Да. Моя ошибка в скрипте.

Что с проблемой ?

Антивирус сразу после скрипта заругался, что изменена стартовая страница, и IE и при запуске что произошли изменения что нет поисковика., пробую переходить по вкладкам.

[quote="tehnik;1308449"]Антивирус сразу после скрипта заругался, что изменена стартовая страница, и IE и при запуске что произошли изменения что нет поисковика[/quote]
Нормальные реакции. Стартовую страницу и поисковики можно задать вручную. В данный момент нас интересует осталось ли перебрасывание на левые страницы.

[QUOTE=mrak74;1308445]Да. Моя ошибка в скрипте.

Что с проблемой ?[/QUOTE]

Спасибо большое, проблема решена, походил по сайтам вроде больше не перекидывает(не открывает сторонние сайты), и переход стал быстрее немного чем был раньше (задержка 3-5сек).

P.S После удаления Avast (простой) нужно ли запускать какую ни будь утилиту чистки? что бы взамен поставить KIS 10. приобрели через сайт.

Заметил что название темы изменилась, список найденных вирусов в каждой теме пишите?

[quote="tehnik;1308460"]P.S После удаления Avast (простой) нужно ли запускать какую ни будь утилиту чистки?[/quote]
Лучше запускать. Находится [URL="https://www.avast.ru/uninstall-utility"][U]тут[/U][/URL].

[quote="tehnik;1308460"]Заметил что название темы изменилась, список найденных вирусов в каждой теме пишите?[/quote]
Автоматизировано. Спасибо админу сайта.

[URL="http://virusinfo.info/showthread.php?t=121902"][B]Советы и рекомендации после лечения компьютера[/B][/URL]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\ciplus-4.5vv23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-10.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B][*] c:\program files (x86)\ciplus-4.5vv23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-11.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.Bv1@kKXF9CiO )[*] c:\program files (x86)\ciplus-4.5vv23.07\8b75a6a8-54ef-498c-a38d-685a2cd61b97-7.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.gv1@kWVUpAjO )[*] c:\users\пользователь\appdata\local\smartweb\smartwebapp.exe - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845 )[*] c:\users\пользователь\appdata\local\smartweb\swhk.dll - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845, AVAST4: Win32:BHO-AOK [Adw] )[*] c:\users\пользователь\appdata\roaming\qgzj0g7otrue1r.exe - [B]not-a-virus:WebToolbar.Win32.CroRi.fte[/B][*] c:\users\пользователь\desktop\aa_v3.exe - [B]not-a-virus:RemoteAdmin.Win32.Ammyy.fi[/B] ( DrWEB: Program.RemoteAdmin.701 )[/LIST][/LIST]