Баннеры на компьютере от Zaxar Game Browser

[yobot]

Есть компьютер с Windows XP. На компьютере есть Kaspersky Internet Security с действующей подпиской. Компьютер был поражен Zaxar Game Browser. Его я удалил. но осталась проблема с баннерами (антивирус их не ловит). Как можно извести хвосты от Zaxar Game Browser? Логи прилагаю. При сканировании был создан автокарантин.

[Info_bot]

Уважаемый(ая) yobot, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\xtab\suptab.dll','');
 QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\pfnfd_1_10_0_8.sys','');
 DeleteService('pfnfd_1_10_0_8');
 SetServiceStart('WindowsMangerProtect', 4);
 DeleteService('WindowsMangerProtect');
 TerminateProcessByName('c:\documents and settings\all users\application data\windowsmangerprotect\protectwindowsmanager.exe');
 QuarantineFile('c:\documents and settings\all users\application data\windowsmangerprotect\protectwindowsmanager.exe','');
 DeleteFile('c:\documents and settings\all users\application data\windowsmangerprotect\protectwindowsmanager.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\pfnfd_1_10_0_8.sys','32');
 DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 DeleteFile('C:\Program Files\xtab\suptab.dll','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Сделайте новые логи по правилам

[yobot]

Скрипт выполнил. При загрузке карантина было выдано сообщение о том, что такой файл уже загружен. Новые логи прилагаю

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[yobot]

Сканирование выполнил. Логи прилагаю:

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1432134245&z=16512d7a15315376e7b6949g8z8c7oag8cdz2g4z6z&from=wpm05203&uid=ST3250318AS_5VM2LS8JXXXX5VM2LS8J
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1428321645&from=tugs&uid=ST3250318AS_5VM2LS8JXXXX5VM2LS8J&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1432134245&z=16512d7a15315376e7b6949g8z8c7oag8cdz2g4z6z&from=wpm05203&uid=ST3250318AS_5VM2LS8JXXXX5VM2LS8J
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1428321645&from=tugs&uid=ST3250318AS_5VM2LS8JXXXX5VM2LS8J&q={searchTerms}
HKU\S-1-5-21-1708537768-2000478354-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1432134245&z=16512d7a15315376e7b6949g8z8c7oag8cdz2g4z6z&from=wpm05203&uid=ST3250318AS_5VM2LS8JXXXX5VM2LS8J&q={searchTerms}
HKU\S-1-5-21-1708537768-2000478354-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1432134245&z=16512d7a15315376e7b6949g8z8c7oag8cdz2g4z6z&from=wpm05203&uid=ST3250318AS_5VM2LS8JXXXX5VM2LS8J
HKU\S-1-5-21-1708537768-2000478354-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1432134245&z=16512d7a15315376e7b6949g8z8c7oag8cdz2g4z6z&from=wpm05203&uid=ST3250318AS_5VM2LS8JXXXX5VM2LS8J&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1428321645&from=tugs&uid=ST3250318AS_5VM2LS8JXXXX5VM2LS8J&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1428321645&from=tugs&uid=ST3250318AS_5VM2LS8JXXXX5VM2LS8J&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&ieverfix=1&fr=ieverfix_dse
SearchScopes: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004 -> {E88E0043-C9D4-4e33-8555-FEE4F5B63060} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
BHO: No Name -> {CC59E0F9-7E43-44FA-9FAA-8377850BF205} ->  No File
Toolbar: HKLM - ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll No File
Toolbar: HKU\.DEFAULT -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1428321645&from=tugs&uid=ST3250318AS_5VM2LS8JXXXX5VM2LS8J
FF NewTab: hxxp://www.delta-homes.com/newtab/?type=nt&ts=1432134245&z=16512d7a15315376e7b6949g8z8c7oag8cdz2g4z6z&from=wpm05203&uid=ST3250318AS_5VM2LS8JXXXX5VM2LS8J
FF Extension: shoppilation - C:\Documents and Settings\COMPUTER\Application Data\Mozilla\Firefox\Profiles\xczswrd7.default\Extensions\[email protected] [2015-05-18]
FF Extension: cheap-o - C:\Documents and Settings\COMPUTER\Application Data\Mozilla\Firefox\Profiles\xczswrd7.default\Extensions\jqkvexwlxqg_lgwxk@rtcjy_qnyswbralrkov.net [2015-05-06]
FF Extension: coolncheaap - C:\Documents and Settings\COMPUTER\Application Data\Mozilla\Firefox\Profiles\xczswrd7.default\Extensions\[email protected] [2015-04-28]
FF Extension: QuickSearch - C:\Documents and Settings\COMPUTER\Application Data\Mozilla\Firefox\Profiles\xczswrd7.default\Extensions\[email protected] [2015-05-20]
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe http://www.delta-homes.com/?type=sc&ts=1432134245&z=16512d7a15315376e7b6949g8z8c7oag8cdz2g4z6z&from=wpm05203&uid=ST3250318AS_5VM2LS8JXXXX5VM2LS8J
2015-05-28 16:51 - 2015-04-06 15:39 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\WindowsMangerProtect
2011-02-14 13:42 - 2011-01-14 09:45 - 0136192 _____ () C:\Program Files\install.doc
2015-05-06 08:51 - 2015-05-18 08:49 - 0000079 _____ () C:\Program Files\prefs.js
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{3139de55-4560-4239-9330-2230f9b89929}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_17_84.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{37bcb01c-0b25-45b6-8a7e-8e56b77d18ff}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_58_60.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{56C2D5F5-0F32-45cb-AD75-87AF17CFDC27}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_E_87.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{57963704-EE80-4bc5-8421-66098E5832AE}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_E_87.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{68C0D34D-264F-4d64-AEF1-51C728DFDAD8}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_E_87.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{68F469E6-0D31-41FE-A9B6-95ADE76761F1}\InprocServer32 -> C:\DOCUME~1\COMPUTER\APPLIC~1\GARANT~1\@com\f1shell.dll No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{6a8f8752-e2ec-485d-8e46-b2509f668d26}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_20_60.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{6b0424b6-7ac3-4521-8b5c-894cdaffd92e}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_21_49.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{6da75278-e916-4a18-934f-1d90b2cebabd}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_20_60.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{7365bebe-ac14-47f3-bff2-252f9ead5c7b}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_58_60.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{7446bb6e-5720-405b-8839-464d958a95d5}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_58_60.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{767f9370-451a-43b0-b590-d32f7b1e5f8c}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_17_84.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{7baafa79-37ac-411c-88a9-573ae46e3065}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_21_49.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{9ee0a337-0726-4400-95e8-77e893ec681c}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_20_60.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{a12ffdf7-199d-4469-8c20-98a3de73ed2c}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_17_84.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{a70b6806-f2e5-44a5-abb2-14a63cedf752}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_20_60.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{a87602aa-13fc-4d6a-b2e8-e02787e59dad}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_58_60.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{cdfb4d3f-01e2-4259-b016-fd6ede8b8204}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_21_49.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{d0b2a3c2-dda6-48d3-8193-a3bb748d6440}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_21_49.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{e7727e52-306a-4026-a1f3-0a67008f443d}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_20_60.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{F62D2442-FE48-4cbc-9FCA-E19FC839461B}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_E_87.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{0a3f4dfe-fd14-49c7-9d51-748d15a767d2}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_58_60.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{122D5FEF-8711-4d87-A5BC-41ED5DF77258}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_E_87.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{13cae5e0-317d-4dc4-9f06-a01ce92c698c}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_21_49.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{144e696e-5d45-49b9-94bd-507f7462eb84}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_17_84.tmp No File
CustomCLSID: HKU\S-1-5-21-1708537768-2000478354-1417001333-1004_Classes\CLSID\{1a87d67b-23d3-4b8f-9f9b-7cd30c1c95bd}\InprocServer32 -> C:\Documents and Settings\COMPUTER\Local Settings\Temp\v8_17_84.tmp No File
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[yobot]

Скрипт выполнен. Лог прилагаю.

[thyrex]

Что с проблемой?

[yobot]

Проблема исправлена. Спасибо. Тему можно закрывать.