Подмена поиска в браузере, установка стороннего ПО, ничто не помогает!

**Irkins** · 11.07.2015, 02:32

Здравствуйте!
При установке шрифта словила редкостную гадость, которая подменяет поисковую систему в браузерах на crossbrowser, istartsurf.com и еще пару других (каждый раз новые), устанавливает Smartweb, программу управление звуком, gamer сайт и неизвестный "антивирус". Минимум 4 объекта.
Avast free ничего не находит. Предупреждение об активности происходит только в момент установки из автозагрузки вредоносного ПО.
Dr.Web CureIT находит трояны и удаляет. Так же как и AdvCleaner4.
Но ровно через 10-12 часов все начинается по новой!

Провела сканирование согласно инструкции.
В приложении помимо фалов AVZ и hijackthis, выкладываю лог последней чистки Adwcleaner - там видны последние "подарки".

П.С.
спаситепомагите. 3 сутки чищу комп и все бестолку.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 11.07.2015, 02:33

Уважаемый(ая) Irkins, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Никита Соловьев** · 11.07.2015, 02:45

Выполните скрипт в AVZ:

Код:

BEGIN
 ClearQuarantine;
 TerminateProcessByName('c:\programdata\kmsauto\bin\kmsss.exe');
 QuarantineFile('C:\Users\User\Downloads\vcnb300.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Za5yHNO4.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\sgPG5yPRknun.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Sdgnt2IS5uDXnbUtzmVrQnJTP.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\i7XwVyJ4p.exe','');
 QuarantineFile('C:\ProgramData\KMSAuto\bin\KMSSS.exe','');
 QuarantineFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Service\wsasvc.exe','');
 QuarantineFile('C:\ProgramData\KMSAuto\bin\TunMirror.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\1E00DAE0-1436320596-A000-340C-002618AC8B9C\knspA5AC.tmp','');
 DeleteService('KMSEmulator');
 DeleteService('ficutify');
 DeleteService('TunMirror');
 DeleteService('wsasvc_1.10.0.19');
 DeleteFile('C:\Users\User\AppData\Roaming\1E00DAE0-1436320596-A000-340C-002618AC8B9C\knspA5AC.tmp','32');
 DeleteFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Service\wsasvc.exe','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\i7XwVyJ4p.exe','32');
 DeleteFile('C:\Windows\Tasks\i7XwVyJ4p.job','64');
 DeleteFile('C:\Users\User\AppData\Roaming\Sdgnt2IS5uDXnbUtzmVrQnJTP.exe','32');
 DeleteFile('C:\Windows\Tasks\Sdgnt2IS5uDXnbUtzmVrQnJTP.job','64');
 DeleteFile('C:\Users\User\AppData\Roaming\sgPG5yPRknun.exe','32');
 DeleteFile('C:\Windows\Tasks\sgPG5yPRknun.job','64');
 DeleteFile('C:\Windows\Tasks\Za5yHNO4.job','64');
 DeleteFile('C:\Users\User\Downloads\vcnb300.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{78F75BED-DFF5-4336-8A21-875798D9FBC4}','64');
 DeleteFile('C:\ProgramData\KMSAuto\bin\TunMirror.exe','32');
 DeleteFile('C:\ProgramData\KMSAuto\bin\KMSSS.exe','32');
 DeleteFileMask('C:\ProgramData\KMSAuto','*',true);
 DeleteFileMask('C:\Program Files (x86)\WordSurfer_1.10.0.19','*',true);
 DeleteFileMask('C:\Program Files (x86)\AnyProtectEx','*',true);
 DeleteDirectory('C:\ProgramData\KMSAuto');
 DeleteDirectory('C:\Program Files (x86)\WordSurfer_1.10.0.19');
 DeleteDirectory('C:\Program Files (x86)\AnyProtectEx');
 ExecuteSysClean;
 ExecuteWizard('SCU',2,2,true);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
END.

Компьютер будет перезагружен.

Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.

Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ.

**Irkins** · 11.07.2015, 03:28

Сделала.

**Никита Соловьев** · 11.07.2015, 03:45

Решена ли проблема?

**Irkins** · 11.07.2015, 14:01

Вроде как пока все нормально. Посмотрю что будет через несколько часов работы.
Спасибо большое за помощь, Никита!

Оставшиеся после скриптов архивы можно удалить?