Помогите очисть ПК от goinf [not-a-virus:WebToolbar.Win32.Agent.bgn, not-a-virus:Downloader.NSIS.Agent.rw ]

[n-ravshan]

Здравствуйте !
При открытии новой вкладки в браузере Firefox загружается страничка goinf. То же самое возникает при открытии новой вкладки Google Chrome. При этом goinf загружается не каждый раз при открытии новых вкладок. Установлена 64-разрядная ОС, поэтому и прикрепил 2 файла как указано в инструкции.
Спасибо.

[Info_bot]

Уважаемый(ая) n-ravshan, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

procedure DeleteDirectoryF(N: String);
begin
 DeleteFileMask(N, '*', true);
 DeleteDirectory(N);
end;

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\rav\AppData\Roaming\newSI_1\s_inst.exe','');
 QuarantineFile('C:\Users\rav\AppData\Local\SystemDir\nethost.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Network\Downloader\downloader.exe','');
 QuarantineFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','');
 QuarantineFile('C:\PROGRA~3\Mozilla\uwtagmh.exe','');
 DelBHO('{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6}');
 QuarantineFile('C:\Program Files (x86)\VK Downloader\Toolbar32.dll','');
 QuarantineFile('C:\Users\rav\1157010.exe','');
 DeleteService('TicnoIndexator');
 SetServiceStart('Update Service for VK Downloader', 4);
 DeleteService('Update Service for VK Downloader');
 TerminateProcessByName('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe');
 QuarantineFile('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe','');
 DeleteFile('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe','32');
 DeleteFile('TicnoIndexator.sys','32');
 DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
 DeleteFile('C:\Users\rav\1157010.exe','32');
 DeleteFile('C:\Program Files (x86)\VK Downloader\Toolbar32.dll','32');
 DeleteFile('C:\PROGRA~3\Mozilla\uwtagmh.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\iyghqwa','64');
 DeleteFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','64');
 DeleteFile('C:\ProgramData\Microsoft\Network\Downloader\downloader.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft Network Downloader','64');
 DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
 DeleteFile('C:\Users\rav\AppData\Local\SystemDir\nethost.exe','32');
 DeleteFile('C:\Users\rav\AppData\Roaming\newSI_1\s_inst.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_1','64');
DeleteDirectoryF('C:\Users\rav\AppData\Roaming\newSI_1');
DeleteDirectoryF('C:\Users\rav\AppData\Local\SystemDir');
DeleteDirectoryF('C:\Program Files (x86)\VK Downloader');
DeleteDirectoryF('C:\ProgramData\Kbupdater Utility');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;	
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

TuneUp Utilities удалите. От подобных программ больше вреда, чем пользы.

Расширение для браузеров VK Downloader (Загрузчик ВКонтакте) удалите во всех браузерах, если найдется

Сделайте новые логи

[n-ravshan]

Выполнил скрипт.
Выслал запрошенный карантин.
Сделал новые логи.

[thyrex]

Логи AVZ где?

Что с проблемой?

[n-ravshan]

вот лог AVZ. первый раз почему то не прикрепился.

[thyrex]

Еще раз прикрепите карантин вместо логов, отправитесь на пару дней учиться читать.

В первом сообщении логи правильные прикрепили, а тут слабо повторить?

[n-ravshan]

я извиняюсь, ошибся. Вот лог.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[n-ravshan]

Выполнил Farbar Recovery Scan Tool.
Прикрепил

- - - - -Добавлено - - - - -

в дополнение

[thyrex]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
  CHR HKU\S-1-5-21-1811296360-3996129244-712978593-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
  HKU\S-1-5-21-1811296360-3996129244-712978593-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
  HKU\S-1-5-21-1811296360-3996129244-712978593-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://terra.im/
  HKU\S-1-5-21-1811296360-3996129244-712978593-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://terra.im/
  SearchScopes: HKU\S-1-5-21-1811296360-3996129244-712978593-1000 -> {F857121E-A9E5-4fb4-8C54-C2851C5F22C9} URL = http://search.ticno.com/?c=t&q={searchTerms}
  Toolbar: HKLM-x32 - No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  CHR dev: Chrome dev build detected! <======= ATTENTION
  CHR Extension: (Загрузчик VK) - C:\Users\rav\AppData\Local\Google\Chrome\User Data\Default\Extensions\fneleoohaagcejefkfmanhhdoboipapk [2015-01-12]
  CHR Extension: (Купоинт – дает скидки) - C:\Users\rav\AppData\Local\Google\Chrome\User Data\Default\Extensions\ifpjamfehjeobjanpappgckkmnhjnpgi [2014-07-22]
  CHR Extension: (Поделиться ВКонтакте) - C:\Users\rav\AppData\Local\Google\Chrome\User Data\Default\Extensions\kneggodalbcmgdkkfhbhbicbbahnacjb [2014-12-27]
  CHR HKU\S-1-5-21-1811296360-3996129244-712978593-1000\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - No Path
  CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - No Path
  CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path
  CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - No Path
  CHR HKLM-x32\...\Chrome\Extension: [nhgcieglcpdegkhamigiokdphfhhnlhh] - No Path
  CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - No Path
  2015-01-18 13:59 - 2015-01-18 13:59 - 00000000 ____D () C:\Users\rav\AppData\Roaming\VK Downloader
  2015-01-12 14:57 - 2015-01-18 01:30 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\advPlugin
  2015-01-12 14:57 - 2015-01-12 14:57 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\VK Downloader
  Task: {2AC9EA5B-5122-4DC8-80CA-9821DA19449F} - \AmiUpdXp No Task File <==== ATTENTION
  Task: {336C323F-D8E2-43F2-8063-E686BBBBDE4E} - \iyghqwa No Task File <==== ATTENTION
  Task: {82B3EA69-ADBC-4524-AD97-5CA8069E9581} - \Updater21806.exe No Task File <==== ATTENTION
  Task: {8D326EED-EEE9-4C7F-893B-EA2213642E3C} - \Kbupdater Utility No Task File <==== ATTENTION
  Task: {B6797253-A3EC-4CE7-8CB5-55D668AAA320} - \nethost task No Task File <==== ATTENTION
  Task: {D3307140-7789-4E7B-8852-E3CCA4C9F36C} - \Microsoft Network Downloader No Task File <==== ATTENTION
  Task: {F75D8B8E-34DB-441E-8479-15FE37FE9E93} - \newSI_1 No Task File <==== ATTENTION
  AlternateDataStreams: C:\Program Files\Common Files\System:YvutWuUDyOYovcNl85TNYfSD5SJS
  AlternateDataStreams: C:\ProgramData\Microsoft:2Z82AuAiSqLYeiZOopNhjEJU
  AlternateDataStreams: C:\ProgramData\Microsoft:cGaR5sILdXsaJTrbnzGNWd2p
  AlternateDataStreams: C:\ProgramData\Microsoft:oSgqVpa07NY3CFSN8re7y
  AlternateDataStreams: C:\ProgramData\TEMP:58A5270D
  AlternateDataStreams: C:\Users\rav\Cookies:pjL1igviMJWQTQBxq7X1Ef1Bz
  AlternateDataStreams: C:\Users\rav\Local Settings:wa
  AlternateDataStreams: C:\Users\rav\AppData\Local:wa
  AlternateDataStreams: C:\Users\Все пользователи\Microsoft:2Z82AuAiSqLYeiZOopNhjEJU
  AlternateDataStreams: C:\Users\Все пользователи\Microsoft:cGaR5sILdXsaJTrbnzGNWd2p
  AlternateDataStreams: C:\Users\Все пользователи\Microsoft:oSgqVpa07NY3CFSN8re7y
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:58A5270D
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Просмотрите список установленных расширений для Firefox и Chrome и удалите те, что сами не устанавливали

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\vk downloader\toolbar32.dll - not-a-virus:WebToolbar.Win32.Agent.bgn
  2. c:\programdata\microsoft\network\downloader\downlo ader.exe - not-a-virus:Downloader.NSIS.Agent.rw