Прошу помочь в устранении проблем на ПК [not-a-virus:AdWare.Win32.SearchProtect.nf, Trojan.Win32.Radonskra.b ]

[Huligan]

Привет всем. Прошу помощи, ребят такая произошла ерунда. Скачать моды для игры, сохранил но не установливал. И началось: откуда не возьмись появилась опера (был яндекс), затем начали появлятся ярлыки на приборной понеле (однокассники, вконтакте, фейсбук), затем какой то покемон с китайскими или японскими иероглифами, так же появился какой то видеоплеер работающий через интернет. После включения ноутбука всплывает загрузка Asus vebi fan cenre до этого ничего не было, также появился значек какого то интернет браузера Searh protekt, clic to configyre он пытается что то загрузить из интернета, так же просит что то установить. Прошу Вас о помощи, очень мешает работать.
Следуя инструкциям на сайте я сделал необходимые для помощи действия,

[Info_bot]

Уважаемый(ая) Huligan, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
 DelBHO('{FB4F6285-4C32-49F2-950F-A5998F9CEC6C}');
 QuarantineFile('D:\IQIYI Video\Common\Accelerator\IEHelper.dll','');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\Browsers\exe.rehcnualebivsusa.bat','');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\Андрей\AppData\Local\Yandex\browser.bat','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 QuarantineFile('wpnfd_1_10_0_6.sys','');
 DeleteService('wpnfd_1_10_0_6');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\VOPackage\JOSrv.exe','');
 DeleteService('serverjo');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\VOPackage\nsd894.tmpfs','');
 DeleteService('bykeqyle');
 SetServiceStart('WindowsMangerProtect', 4);
 DeleteService('WindowsMangerProtect');
 SetServiceStart('IHProtect Service', 4);
 DeleteService('IHProtect Service');
 QuarantineFile('C:\Windows\system32\drivers\{e65048d8-bd76-44ed-ac28-c25d339ab590}Gw64.sys','');
 QuarantineFile('C:\Program Files (x86)\XTab\SupTab.dll','');
 QuarantineFile('C:\Program Files (x86)\XTab\IeWatchDog.dll','');
 QuarantineFile('C:\Program Files (x86)\XTab\BrowserAction.dll','');
 TerminateProcessByName('c:\users\Андрей\appdata\local\microsoft\windows\vkmusicdownloader.exe');
 QuarantineFile('c:\users\Андрей\appdata\local\microsoft\windows\vkmusicdownloader.exe','');
 QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
 TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
 TerminateProcessByName('c:\program files (x86)\xtab\protectservice.exe');
 QuarantineFile('c:\program files (x86)\xtab\protectservice.exe','');
 TerminateProcessByName('c:\program files (x86)\xtab\hpnotify.exe');
 QuarantineFile('c:\program files (x86)\xtab\hpnotify.exe','');
 TerminateProcessByName('c:\program files (x86)\xtab\cmdshell.exe');
 QuarantineFile('c:\program files (x86)\xtab\cmdshell.exe','');
 DeleteFile('c:\program files (x86)\xtab\cmdshell.exe','32');
 DeleteFile('c:\program files (x86)\xtab\hpnotify.exe','32');
 DeleteFile('c:\program files (x86)\xtab\protectservice.exe','32');
 DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
 DeleteFile('c:\users\Андрей\appdata\local\microsoft\windows\vkmusicdownloader.exe','32');
 DeleteFile('C:\Program Files (x86)\XTab\BrowserAction.dll','32');
 DeleteFile('C:\Program Files (x86)\XTab\IeWatchDog.dll','32');
 DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll','32');
 DeleteFile('C:\Windows\system32\drivers\{e65048d8-bd76-44ed-ac28-c25d339ab590}Gw64.sys','32');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\VOPackage\nsd894.tmpfs','32');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\VOPackage\JOSrv.exe','32');
 DeleteFile('wpnfd_1_10_0_6.sys','32');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vkmusicdownloader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Vkmusicdownloader','command');
 DeleteFile('C:\Users\Андрей\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\Browsers\exe.rehcnualebivsusa.bat','32');
 DeleteFile('D:\IQIYI Video\Common\Accelerator\IEHelper.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\Vkmusicdownloader','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;	
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте логи RSIT
Сделайте лог Check Browsers' LNK

[Huligan]

Сделал как указано!

[thyrex]

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=...BN406P7JAT11EX
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1423577980&from=face&uid=HitachiXHTS545050B9A300_120221PBN406P7JAT11EX&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1423577980&from=face&uid=HitachiXHTS545050B9A300_120221PBN406P7JAT11EX&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.mail.ru/?ieverfix=1&fr=ieverfix_sg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=...BN406P7JAT11EX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423577959&from=face&uid=HitachiXHTS545050B9A300_120221PBN406P7JAT11EX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1423577959&from=face&uid=HitachiXHTS545050B9A300_120221PBN406P7JAT11EX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=...BN406P7JAT11EX
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://isearch.omiga-plus.com/web/?type=ds&ts=1423577959&from=face&uid=HitachiXHTS545050B9A300_120221PBN406P7JAT11EX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://isearch.omiga-plus.com/web/?type=ds&ts=1423577959&from=face&uid=HitachiXHTS545050B9A300_120221PBN406P7JAT11EX&q={searchTerms}

Содержимое папки C:\Users\Андрей\AppData\Roaming\Browsers заархивируйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

Удалите вручную

C:\Windows\system32\drivers\{e65048d8-bd76-44ed-ac28-c25d339ab590}Gw64.sys
C:\ProgramData\IHProtectUpDate
C:\Program Files (x86)\XTab
C:\Users\Андрей\AppData\Roaming\AnyProtectEx
C:\Program Files (x86)\AnyProtectEx
C:\ProgramData\WindowsMangerProtect
C:\Users\Андрей\AppData\Roaming\omiga-plus
C:\Users\Андрей\AppData\Roaming\IQIYI Video
C:\Users\Андрей\AppData\Roaming\Browsers
C:\ProgramData\TimeTasks
C:\iехplоrе.bаt.exe
C:\iexplore.bat
C:\Users\Андрей\AppData\Roaming\eTranslator
C:\Program Files (x86)\Application Installer

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\xtab\protectservice.exe - not-a-virus:AdWare.Win32.SearchProtect.nf
  2. c:\users\андрей\appdata\local\microsoft\windows\vk musicdownloader.exe - Trojan.Win32.Radonskra.b ( BitDefender: Gen:Variant.Graftor.166220, AVAST4: Win32:Trojan-gen )