Вирус при запуске браузера

[Ice113]

С недавнего времени аваст начал находить вирус при запуске гугла и сменилась стартовая страница на ямблер. Удаление браузера и смена страницы в настройках не помогла. Так же появился странный значок в уведомлениях,от него тоже нужно избавиться. Помогите решить проблему.

[Info_bot]

Уважаемый(ая) Ice113, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Удалите Zaxar Game Browser через панель управления.

Сделайте полный образ автозапуска uVS.

[Ice113]

проблема в том что я его удалял,а значок в уведомлениях остался,это и напрягает

[Vvvyg]

Жду полный образ автозапуска uVS.

[Ice113]

полный образ автозапуска uVS.

[Vvvyg]

Выполните скрипт в uVS:

Код:

;uVS v3.81.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\ИГОРЬ\APPDATA\LOCAL\TEMP\RARSFX0\FILES\CHK_EXT.EXE
delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\LOCAL\TEMP\RARSFX0\FILES\CHK_EXT.EXE
delref %SystemDrive%\USERS\ИГОРЬ\APPDATA\LOCAL\SCHEDULE\SCHEDULE.EXE
delall %SystemDrive%\USERS\ИГОРЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ZAXAR GAMES BROWSER.LNK
delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE
exec MsiExec.exe /quiet /I{32A3A4F4-B792-11D6-A78A-00B0D0170210}
exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F86417002FF}
deltmp
restart

На вопросы об удалении программ рекомендую соглашаться.
Компьютер перезагрузится.

Уведомление

Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Скачайте и установите Java 7 Update 25. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности

Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый полный образ автозапуска uVS.
Проверьте, что с проблемами.

[Ice113]

Проблемы остались,архив ZOO запаковал с паролем и отправил; прикладываю новый uVS
http://files.mail.ru/3832314ACDE940C7981182238AEAF26B
Залил на файлообменник,сюда уже не пускает,памяти не хватает

[Vvvyg]

Выполните скрипт в uVS:

Код:

;uVS v3.81.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref HTTP://YAMBLER.NET/?IQ&UID=4999969A41EBBD176D8CB8715F4A62FD&IID=26097929
exec MsiExec.exe /quiet /I{32A3A4F4-B792-11D6-A78A-00B0D0170210}
deltmp
restart

Компьютер перезагрузится.

Скачайте AdwCleaner (by Xplode) и сохраните его на рабочем столе. Запустите его (в Windows Vista/7 необходимо запускать по правой кнопке мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в файле C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению.

[Ice113]

Добавил

[Vvvyg]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7 необходимо запускать по правой кнопке мыши от имени администратора), нажмите кнопку "Clean" и дождитесь окончания удаления.

Что с проблемой?

[Ice113]

нажал Clean,после чего комп перезапустился,проблема осталась,при входе в гугл все тот же ямблер с теми же вирусами

[Vvvyg]

Скачайте утилиту OTL by OldTimer. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:

Scan All Users
Include 64Bit Scans - в случае 64-разрядной системы;
Output: Minimal Output;
File Scans: Use Company-Name WhiteList и Skip Microsoft Files;
Lop Check;
Purity Check;

Остальные параметры оставьте по умолчанию и нажмите Run Scan. По окончании сканирования программа создаст в той же папке, где находится она сама, два файла: OTL.txt и Extras.txt. Упакуйте их в архив и прикрепите к своему следующему сообщению.

[Ice113]

http://files.mail.ru/2D6C4C4A24C24D7D854E3D9503D6B607
вот файлы OTL

[Vvvyg]

Отключите антивирус, запустите OTL, скопируйте скрипт ниже в окно Custom Scans/Fixes и нажмите Run Fix

Код:

:processes

:OTL
CHR - Extension: System Security Application = C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Default\Extensions\epcjbhgkehdidecpfkplcclbpedaioda\1.0_0\

:Files

recycler /alldrives

:Commands
[EMPTYTEMP]
[EMPTYJAVA]
[EMPTYFLASH]
[purity]
[Reboot]

Компьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.

[Ice113]

Сделал,прикрепляю,вирус остался

[Vvvyg]

Посмотрите в свойствах ярлыка Chrome не прописан запуск YAMBLER.NET?

[Ice113]

Вот что в хроме(свойства;ярлык)
1.Тип объекта : Приложение
2. Расположение : Appliсation
3.Объект : "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
4. Рабочая папка : "C:\Program Files (x86)\Google\Chrome\Application"
5. Быстрый вызов : нет
6. Окно: обычный размер
7. Комментарий: Access the Internet

Хром переустанавливался,вирус остался

- - - Добавлено - - -

C:\Program Files\Zaxar
Нашел папку этого браузера захара,удалять следует?

[Vvvyg]

Удалите.
Очистите кэш и cookies-файлы браузеров и проверьте, что с проблемой.

[Ice113]

Очистил,не помогло.
Случайно кликнув на расширения заметил что там расширение которое не было установлено;Emoticons+ v13.8.25
нажав рядом на разрешение там было : 1.Доступ к вашим данным на веб сайтах 2.Доступ к владкам и журналу посещений; удалить не получилось,может быть в этом дело???

- - - Добавлено - - -

перезагрузка компа после удаления расшерения не помогла,не удалилось

- - - Добавлено - - -

перезагрузка компа после удаления расшерения не помогла,не удалилось