Автоматически переустанавливаются программы : Crossbrowse, infonaut и т.д [not-a-virus:AdWare.Win32.PriceGong.a, not-a-virus:AdWare.Win32.SearchProtect.rw ]

[LeeRoyJenk]

Автоматически переустанавливаются программы : Crossbrowse, infonaut, CinemaPlus, oursurfing, windowsWinsearch, SmartWeb. Также "Microsoft Office профессиональный плюс 2010" висит в недавно установленных, хотя я его не устанавливал. В браузерах баннеры выскакивают. При кликах по страницам браузера загружаются левые сайты.
Программы через панель управления удаляются не все, а те , которые удаляются - восстанавливаются сразу же либо после перезагрузки ПК.

Проблемы начались во время установки игры. Программы установились автоматически.

Прошу помочь.

[Info_bot]

Уважаемый(ая) LeeRoyJenk, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\7491~1.-\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Users\Аделя.Аделя-ПК\AppData\Roaming\newSI_1\s_inst.exe','');
 QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','');
 QuarantineFile('C:\Program Files\CinemaPlus-4.5vV25.05\14b40f46-d575-4b4e-8f53-aed1f1ab7a26-7.exe','');
 QuarantineFile('C:\Program Files\CinemaPlus-4.5vV25.05\14b40f46-d575-4b4e-8f53-aed1f1ab7a26-3.exe','');
 QuarantineFile('C:\Program Files\CinemaPlus-4.5vV25.05\14b40f46-d575-4b4e-8f53-aed1f1ab7a26-11.exe','');
 QuarantineFile('C:\Program Files\CinemaPlus-4.5vV25.05\14b40f46-d575-4b4e-8f53-aed1f1ab7a26-10.exe','');
 DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
 QuarantineFile('C:\Users\Аделя.Аделя-ПК\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\Аделя.Аделя-ПК\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\Users\Аделя.Аделя-ПК\AppData\Local\Microsoft\Windows\toolbar.exe','');
 QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
 QuarantineFile('C:\Windows\system32\drivers\qknfd.sys','');
 DeleteService('qknfd');
 QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','');
 QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_13.sys','');
 DeleteService('innfd_1_10_0_14');
 DeleteService('innfd_1_10_0_13');
 QuarantineFile('C:\Program Files\globalUpdate\Update\globalupdate.exe','');
 DeleteService('globalUpdatem');
 DeleteService('globalUpdate');
 SetServiceStart('WindowsMangerProtect', 4);
 DeleteService('WindowsMangerProtect');
 SetServiceStart('insvc_1.10.0.14', 4);
 DeleteService('insvc_1.10.0.14');
 SetServiceStart('IHProtect Service', 4);
 DeleteService('IHProtect Service');
 SetServiceStart('gogunofi', 4);
 DeleteService('gogunofi');
 SetServiceStart('fogezyny', 4);
 DeleteService('fogezyny');
 QuarantineFile('C:\Users\Аделя.Аделя-ПК\AppData\Local\SmartWeb\swhk.dll','');
 QuarantineFile('C:\Program Files\XTab\SupTab.dll','');
 QuarantineFile('C:\Program Files\XTab\IeWatchDog.dll','');
 QuarantineFile('C:\Program Files\XTab\BrowerWatchCH.dll','');
 TerminateProcessByName('c:\program files\xtab\protectservice.exe');
 QuarantineFile('c:\program files\xtab\protectservice.exe','');
 TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
 QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
 TerminateProcessByName('c:\users\Аделя.Аделя-ПК\appdata\roaming\00000000-1428492836-0000-0000-6c626de0e04d\nsub46b.tmp');
 QuarantineFile('c:\users\Аделя.Аделя-ПК\appdata\roaming\00000000-1428492836-0000-0000-6c626de0e04d\nsub46b.tmp','');
 TerminateProcessByName('c:\users\Аделя.Аделя-ПК\appdata\roaming\00000000-1428492836-0000-0000-6c626de0e04d\jnsn4338.tmp');
 QuarantineFile('c:\users\Аделя.Аделя-ПК\appdata\roaming\00000000-1428492836-0000-0000-6c626de0e04d\jnsn4338.tmp','');
 TerminateProcessByName('c:\program files\infonaut_1.10.0.14\service\insvc.exe');
 QuarantineFile('c:\program files\infonaut_1.10.0.14\service\insvc.exe','');
 TerminateProcessByName('c:\program files\xtab\hpnotify.exe');
 QuarantineFile('c:\program files\xtab\hpnotify.exe','');
 TerminateProcessByName('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe');
 QuarantineFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe','');
 TerminateProcessByName('c:\program files\xtab\cmdshell.exe');
 QuarantineFile('c:\program files\xtab\cmdshell.exe','');
 DeleteFile('c:\program files\xtab\cmdshell.exe','32');
 DeleteFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe','32');
 DeleteFile('c:\program files\xtab\hpnotify.exe','32');
 DeleteFile('c:\program files\infonaut_1.10.0.14\service\insvc.exe','32');
 DeleteFile('c:\users\Аделя.Аделя-ПК\appdata\roaming\00000000-1428492836-0000-0000-6c626de0e04d\jnsn4338.tmp','32');
 DeleteFile('c:\users\Аделя.Аделя-ПК\appdata\roaming\00000000-1428492836-0000-0000-6c626de0e04d\nsub46b.tmp','32');
 DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
 DeleteFile('c:\program files\xtab\protectservice.exe','32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome.dll','32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome_child.dll','32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome_elf.dll','32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\ffmpegsumo.dll','32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\libegl.dll','32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\libglesv2.dll','32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\pdf.dll','32');
 DeleteFile('C:\Program Files\XTab\BrowerWatchCH.dll','32');
 DeleteFile('C:\Program Files\XTab\IeWatchDog.dll','32');
 DeleteFile('C:\Program Files\XTab\SupTab.dll','32');
 DeleteFile('C:\Users\Аделя.Аделя-ПК\AppData\Local\SmartWeb\swhk.dll','32');
 DeleteFile('C:\Program Files\globalUpdate\Update\globalupdate.exe','32');
 DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_13.sys','32');
 DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
 DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_7FFF8747505DBDFC8004124C719F75E4');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pcket_x86');
 DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
 DeleteFile('C:\Users\Аделя.Аделя-ПК\AppData\Local\Baidu\Baidu\1.3.1.157\Baidu.exe','32');
 DeleteFile('C:\Users\Аделя.Аделя-ПК\AppData\Local\Microsoft\Windows\toolbar.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduClient','command');
 DeleteFile('C:\Users\Аделя.Аделя-ПК\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\Аделя.Аделя-ПК\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Program Files\CinemaPlus-4.5vV25.05\14b40f46-d575-4b4e-8f53-aed1f1ab7a26-10.exe','32');
 DeleteFile('C:\Program Files\CinemaPlus-4.5vV25.05\14b40f46-d575-4b4e-8f53-aed1f1ab7a26-11.exe','32');
 DeleteFile('C:\Program Files\CinemaPlus-4.5vV25.05\14b40f46-d575-4b4e-8f53-aed1f1ab7a26-3.exe','32');
 DeleteFile('C:\Program Files\CinemaPlus-4.5vV25.05\14b40f46-d575-4b4e-8f53-aed1f1ab7a26-7.exe','32');
 DeleteFile('C:\Windows\Tasks\14b40f46-d575-4b4e-8f53-aed1f1ab7a26-7.job','32');
 DeleteFile('C:\Windows\Tasks\14b40f46-d575-4b4e-8f53-aed1f1ab7a26-3.job','32');
 DeleteFile('C:\Windows\Tasks\14b40f46-d575-4b4e-8f53-aed1f1ab7a26-11.job','32');
 DeleteFile('C:\Windows\Tasks\14b40f46-d575-4b4e-8f53-aed1f1ab7a26-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\Windows\Tasks\Crossbrowse.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Users\Аделя.Аделя-ПК\AppData\Roaming\newSI_1\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\newSI_1.job','32');
 DeleteFile('C:\Windows\Tasks\ZqzLOp08Ryz3L.job','32');
 DeleteFile('C:\Windows\system32\Tasks\14b40f46-d575-4b4e-8f53-aed1f1ab7a26-11','32');
 DeleteFile('C:\Windows\system32\Tasks\14b40f46-d575-4b4e-8f53-aed1f1ab7a26-3','32');
 DeleteFile('C:\Windows\system32\Tasks\14b40f46-d575-4b4e-8f53-aed1f1ab7a26-7','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
 DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','32');
 DeleteFile('C:\Windows\system32\Tasks\DealPly','32');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','32');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_1','32');
 DeleteFile('C:\Users\7491~1.-\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Сделайте новые логи по правилам

[LeeRoyJenk]

Скрипт выполнил, карантин отправил, логи прикрепил.

После перезагрузки выскакивает надоедливая системная ошибка "Запуск программы невозможен, так как на компьютере отсутствует swhk.dll. Попробуйте переустановить программу.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[LeeRoyJenk]

Готово

[thyrex]

Какая версия расширения AdBlock установлена во всех браузерах?

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
(SoftBrain Technologies Ltd.) C:\Users\Аделя.Аделя-ПК\AppData\Local\SmartWeb\SmartWebApp.exe
HKLM\...\Run: [gmsd_ru_193] => [X]
HKLM\...\Run: [gmsd_ru_250] => [X]
Startup: C:\Users\Аделя.Аделя-ПК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk [2015-05-25]
ShortcutTarget: SmartWeb.lnk -> C:\Users\Аделя.Аделя-ПК\AppData\Local\SmartWeb\SmartWebHelper.exe (SoftBrain Technologies Ltd.)
Startup: C:\Users\Аделя.Аделя-ПК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk [2015-05-25]
ShortcutTarget: SmartWeb.lnk -> C:\Users\Аделя.Аделя-ПК\AppData\Local\SmartWeb\SmartWebHelper.exe (SoftBrain Technologies Ltd.)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-591312062-2813764780-135271271-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-591312062-2813764780-135271271-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-591312062-2813764780-135271271-501\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oursurfing.com/?type=hp&ts=1432572475&z=76052ea5aaa6d9f6d03fac3g0zdc5obwfmbo3z3mbz&from=cmi&uid=395049983_1052515_60183A5D
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1432572475&z=76052ea5aaa6d9f6d03fac3g0zdc5obwfmbo3z3mbz&from=cmi&uid=395049983_1052515_60183A5D&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1432572475&z=76052ea5aaa6d9f6d03fac3g0zdc5obwfmbo3z3mbz&from=cmi&uid=395049983_1052515_60183A5D
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1432572475&z=76052ea5aaa6d9f6d03fac3g0zdc5obwfmbo3z3mbz&from=cmi&uid=395049983_1052515_60183A5D&q={searchTerms}
HKU\S-1-5-21-591312062-2813764780-135271271-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2dec5d7c115c7c07e6b1a099ca166db0&text={searchTerms}
HKU\S-1-5-21-591312062-2813764780-135271271-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oursurfing.com/?type=hp&ts=1432572475&z=76052ea5aaa6d9f6d03fac3g0zdc5obwfmbo3z3mbz&from=cmi&uid=395049983_1052515_60183A5D
HKU\S-1-5-21-591312062-2813764780-135271271-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp
HKU\S-1-5-21-591312062-2813764780-135271271-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1432572475&z=76052ea5aaa6d9f6d03fac3g0zdc5obwfmbo3z3mbz&from=cmi&uid=395049983_1052515_60183A5D
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432572475&z=76052ea5aaa6d9f6d03fac3g0zdc5obwfmbo3z3mbz&from=cmi&uid=395049983_1052515_60183A5D&q={searchTerms}
SearchScopes: HKLM -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = 
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432572475&z=76052ea5aaa6d9f6d03fac3g0zdc5obwfmbo3z3mbz&from=cmi&uid=395049983_1052515_60183A5D&q={searchTerms}
SearchScopes: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052515_60183A5D&ts=1432572527&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> 87020CAB038E357611FB119198A6519A URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052515_60183A5D&ts=1432572527&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052515_60183A5D&ts=1432572527&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052515_60183A5D&ts=1432572527&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052515_60183A5D&ts=1432572527&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052515_60183A5D&ts=1432572527&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> {1D2C06EF-739A-4DDC-A881-C6F2CCAB7BDD} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052515_60183A5D&ts=1432572527&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052515_60183A5D&ts=1432572527&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052515_60183A5D&ts=1432572527&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> {5334EEA8-B6A5-4E04-BA0E-F55B88209959} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052515_60183A5D&ts=1432572527&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> {823F6346-FD75-4D00-83E8-11534957E68D} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052515_60183A5D&ts=1432572527&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> {8FC4305B-7719-48FE-910B-4F611A790447} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052515_60183A5D&ts=1432572527&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> {C19D5658-7473-4F4D-ADBE-EE1ADC2DDEC4} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052515_60183A5D&ts=1432572527&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052515_60183A5D&ts=1432572527&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> {FF72D531-1C55-46D3-984C-BA0A8F559D62} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052515_60183A5D&ts=1432572527&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052515_60183A5D&ts=1432572527&type=default&q={searchTerms}
Toolbar: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-591312062-2813764780-135271271-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-591312062-2813764780-135271271-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\IEExt\OnlineBanking\online_banking_bho.dll No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Tcpip\..\Interfaces\{320D0F73-89B8-4295-B337-61DBBE552DC6}: [NameServer] 89.189.150.5
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.oursurfing.com/?type=sc&ts=1432572475&z=76052ea5aaa6d9f6d03fac3g0zdc5obwfmbo3z3mbz&from=cmi&uid=395049983_1052515_60183A5D
FF Extension: SuperMegaBest.com - C:\Users\Аделя.Аделя-ПК\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2014-09-03]
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\Mozilla Firefox\extensions\[email protected]
FF Extension: No Name -  C:\Users\Аделя.Аделя-ПК\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [not found]
FF Extension: No Name -  C:\Users\Аделя.Аделя-ПК\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
CHR Extension: (CinemaPlus-4.5vV25.05) - C:\Users\Аделя.Аделя-ПК\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-05-25]
OPR Extension: (CinemaPlus-4.5vV25.05) - C:\Users\Аделя.Аделя-ПК\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-05-25]
StartMenuInternet: (HKLM) OperaStable - C:\Program Files\Opera\Launcher.exe http://www.oursurfing.com/?type=sc&ts=1432572475&z=76052ea5aaa6d9f6d03fac3g0zdc5obwfmbo3z3mbz&from=cmi&uid=395049983_1052515_60183A5D
Locked "4CE0F80F" service could not be unlocked. <===== ATTENTION
S1 BDAntiExp; system32\DRIVERS\BDAntiExp.sys [X]
S1 BDEnhanceBoost; system32\DRIVERS\BDEnhanceBoost.sys [X]
2015-05-25 22:56 - 2015-05-25 22:56 - 00000000 ____D () C:\Program Files\fbcb09d6-26c9-409d-a9b9-4a6581cfb8ae
2015-05-25 22:55 - 2015-05-27 02:44 - 00000000 ____D () C:\Program Files\CinemaPlus-4.5vV25.05
2015-05-25 22:52 - 2015-05-27 01:48 - 00000000 ____D () C:\Users\Аделя.Аделя-ПК\SupTab
2015-05-25 22:52 - 2015-05-25 22:52 - 00613255 _____ (CMI Limited) C:\Users\Аделя.Аделя-ПК\AppData\Local\nsi8FA6.tmp
2015-05-25 22:52 - 2015-05-25 22:52 - 00000000 __SHD () C:\Users\Аделя.Аделя-ПК\AppData\Roaming\AnyProtectEx
2015-05-25 22:51 - 2015-05-25 22:51 - 00000000 ____D () C:\Program Files\Edu App
2015-05-25 22:50 - 2015-05-25 22:55 - 00000000 ____D () C:\Program Files\globalUpdate
2015-05-25 22:50 - 2015-05-25 22:50 - 00000000 ____D () C:\Users\Аделя.Аделя-ПК\AppData\Local\globalUpdate
2015-05-25 22:49 - 2015-05-25 23:09 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse
2015-05-25 22:49 - 2015-05-25 22:53 - 00002296 _____ () C:\Users\Public\Desktop\Crossbrowse.lnk
2015-05-25 22:49 - 2015-05-25 22:53 - 00002167 _____ () C:\Users\Public\Desktop\Search.lnk
2015-05-25 22:49 - 2015-05-25 22:49 - 00000000 ____D () C:\Users\Гость\AppData\Local\Crossbrowse
2015-05-25 22:49 - 2015-05-25 22:49 - 00000000 ____D () C:\Users\Все пользователи\IHProtectUpDate
2015-05-25 22:49 - 2015-05-25 22:49 - 00000000 ____D () C:\Users\Аделя.Аделя-ПК\AppData\Local\Crossbrowse
2015-05-25 22:49 - 2015-05-25 22:49 - 00000000 ____D () C:\ProgramData\IHProtectUpDate
2015-05-25 22:48 - 2015-05-27 02:45 - 00000000 ____D () C:\Program Files\XTab
2015-05-25 22:48 - 2015-05-27 02:44 - 00000000 ____D () C:\Users\Все пользователи\WindowsMangerProtect
2015-05-25 22:48 - 2015-05-27 02:44 - 00000000 ____D () C:\ProgramData\WindowsMangerProtect
2015-05-25 22:48 - 2015-05-25 23:09 - 00000000 ____D () C:\Users\Аделя.Аделя-ПК\AppData\Roaming\oursurfing
2015-05-25 22:48 - 2015-05-25 22:48 - 00000000 ____D () C:\Program Files\Crossbrowse
2015-05-25 22:47 - 2015-05-25 23:09 - 00000000 ____D () C:\Program Files\Infonaut_1.10.0.14
2015-05-25 22:42 - 2015-05-25 22:42 - 04860088 _____ (Gaijin Entertainment ) C:\Users\Аделя.Аделя-ПК\Downloads\wt_launcher_1.0.1.530.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\1432566120.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\2641.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\2783.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\2jfuweif.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\3614.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\4325.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\6971.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\amigo_setup.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\amisetup3810_i1407082918.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\bes142E.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\bitool.dll
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\DGV1EBF.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\DGV2679.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\DGV56F7.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\DGV5947.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\DGV6363.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\DGV6603.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\DGV7FB1.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\DGV9FEB.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\DGVB77C.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\DGVD4BF.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\E2F8.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\install.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\InstallIMVU_516.0.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\jansi-32-git-Spigot-844.dll
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\kometa_vd.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\lite_installer.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\mailruhomesearch.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\nvSCPAPI.dll
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\nvStInst.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\patch_3050301.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\patch_3050403.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\patch_3050500.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\PicasaUpdater_44f6.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\PicasaUpdater_71bf.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\pps-qq-19.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\qweee.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\runprog.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\sender.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\Setup-barie.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\siinst.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\SkypeSetup.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\strings.dll
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\Uninstall.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\uttA111.tmp.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\uttD383.tmp.exe
C:\Users\Аделя.Аделя-ПК\AppData\Local\Temp\vuupc.exe
Task: {6F8FF9A6-08CF-479F-B61A-D2094B275CA0} - \DealPly No Task File <==== ATTENTION
Task: {FEE9C81C-3BD7-40C4-BE0F-7E7653546225} - \WPD\SqmUpload_S-1-5-21-591312062-2813764780-135271271-500 No Task File <==== ATTENTION
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[LeeRoyJenk]

Лог файл прикрепил.
AdBlock вообще не установлен

[thyrex]

AdBlock вообще не установлен

Лог FRST говорит об обратном

[LeeRoyJenk]

Не помню, чтобы устанавливал
AdBlock
Версия 39.0

[thyrex]

AdBlock
Версия 39.0

Удаляйте. Это фейковое расширение

[LeeRoyJenk]

Удалил

[thyrex]

Что с проблемой?

[LeeRoyJenk]

В браузере всё хорошо, только начальная страница в опере не изменяется, там рекламные сайты всегда открываются.
На рабочем столе остался еще ярлык windeskWinSearch - он вместе с остальными программами установился и при включении компа сверху выскакивает какой-то виджет, до установки этих программ его не было


P.S Премного благодарю за помощь!

[thyrex]

Сделайте еще раз лог FRST + Сделайте лог CheckBrowserLnk

[LeeRoyJenk]

Сделал

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
2015-05-25 22:51 - 2015-05-25 23:09 - 00000000 ____D () C:\Users\Аделя.Аделя-ПК\AppData\Local\Windesk_Winsearch
2015-05-25 22:51 - 2015-05-25 23:09 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindeskWinsearch
2015-05-25 22:51 - 2015-05-25 23:09 - 00000000 ____D () C:\Program Files\WindeskWinsearch
2015-05-25 22:51 - 2015-05-25 22:51 - 00001026 _____ () C:\Users\Public\Desktop\WindeskWinsearch.lnk
2015-05-29 05:05 - 2015-04-08 17:47 - 00000000 ____D () C:\Users\Аделя.Аделя-ПК\AppData\Local\SmartWeb
2015-05-27 02:44 - 2015-04-08 17:33 - 00000000 ____D () C:\Users\Аделя.Аделя-ПК\AppData\Roaming\00000000-1428492836-0000-0000-6C626DE0E04D
2015-05-27 02:44 - 2015-04-08 17:32 - 00000000 ____D () C:\Users\Аделя.Аделя-ПК\AppData\Roaming\Browsers
2015-06-01 02:13 - 2009-07-14 10:34 - 00019184 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-06-01 02:13 - 2009-07-14 10:34 - 00019184 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[LeeRoyJenk]

Готово.

WindeskWinSearch с рабочего стола исчез. Начальная страница во всех браузерах - нормальная.

[thyrex]

Порядок

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\xtab\browerwatchff.dll - not-a-virus:AdWare.Win32.SearchProtect.rw ( DrWEB: Adware.Mutabaha.119 )
  2. c:\users\аделя.аделя-пк\appdata\local\smartweb\smartwebapp.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845 )
  3. c:\users\аделя.аделя-пк\appdata\local\smartweb\smartwebhelper.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845 )
  4. c:\users\аделя.аделя-пк\appdata\local\smartweb\__u.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: archive:, AVAST4: Win32:Malware-gen )