Удаляются все программы защитного и антирекламного характера

[Александр234]

Здравствуйте, на днях скачивал что-то и при установки установились всего рода меил.ру расширений,амиго и т.д. Все удалил, но после перезагрузки постоянно удаляются AdBlock и ASC. Сканирование на вирусы и последующем лечением ничего не изменило.

[Info_bot]

Уважаемый(ая) Александр234, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\QGNA\qGNA.exe','');
 QuarantineFile('C:\Program Files\AMD\CNext\CNext\cnext.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\94217EBB-1B10-401A-8749-1B18E0387303\DBCA1B96-E881-4A88-8AC8-62379AA7FC3E.exe','');
 QuarantineFile('C:\Users\sanek_000\AppData\Local\GoogleUpdater_KB4F7D632E.exe','');
 QuarantineFile('C:\Users\sanek_000\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\combase.dll','');
 QuarantineFile('C:\WINDOWS\System32\drivers\levw.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\Thetta64.sys','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\ntdll.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\VfWWDM32.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\wdmaud.drv','');
 QuarantineFile('FileMonitor.sys','');
 QuarantineFile('C:\Users\sanek_000\AppData\Roaming\nssm.exe', '');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\94217EBB-1B10-401A-8749-1B18E0387303\DBCA1B96-E881-4A88-8AC8-62379AA7FC3E.exe','32');
 DeleteFile('C:\Users\sanek_000\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\GoogleUpdateManager','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\extsetup','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\SafeBrowser','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A94217EBB-1B10-401A-8749-1B18E0387303','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\extsetup','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','extsetup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','94217EBB-1B10-401A-8749-1B18E0387303');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000');
  BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


- Подготовьте лог AdwCleaner и приложите его в теме.

- Сделайте лог Check Browsers' LNK и приложите его в теме.

[Александр234]

Все выполнил, прилагаю

[SQ]

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Александр234]

Спасибо, проблема решена, прикрепляю отчеты

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Александр234]

Выполнил сканирование

[SQ]

Знакомы расширения для браузера Chrome?

Код:

CHR Extension: (Marc Ecko) - C:\Users\sanek_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\opjonmehjfmkejjifhhknofdnacklmjk [2016-02-25]
CHR Extension: (FastSmart) - C:\Program Files (x86)\Common Files\{CF2D8042-8F60-437F-AC9D-2E929DA1FADF} [2016-02-27]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-1329901886-1944787945-4084469973-1001\...\MountPoints2: E - "E:\Setup.exe" 
  HKU\S-1-5-21-1329901886-1944787945-4084469973-1001\...\MountPoints2: {e4a310b9-3e64-11e5-8267-bcee7b9a702c} - "E:\setup.exe" 
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  CHR Plugin: (Widevine Content Decryption Module) - C:\Users\sanek_000\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.8.823\_platform_specific\win_x86\widevinecdmadapter.dll => No File
  Folder: C:\ProgramData\BDLogging
  2016-02-27 08:16 - 2016-02-27 08:16 - 00000000 ____D C:\ProgramData\{D76294E6-03B8-4971-AF2E-3F846161A690}
  2016-02-27 08:16 - 2016-02-27 08:16 - 00000000 ____D C:\ProgramData\{ACBCD40A-42A8-4FF9-BD42-ABCD14998CBA}
  2016-02-28 21:32 - 2015-09-28 19:32 - 00000080 _____ C:\Users\sanek_000\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦
  2016-02-27 09:02 - 2015-09-27 19:41 - 00000000 ____D C:\ProgramData\ProductData
  2015-09-03 18:13 - 2015-09-03 18:13 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
  Task: {02C14D20-CC89-4DC6-9A0B-760E616DF589} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
  Task: {43ABE848-DD18-4C96-9D1B-327AD3D7E72B} - \GoogleUpdateManager -> No File <==== ATTENTION
  Task: {63F3E95A-8D39-4C97-AE47-0FCEBBE59DBB} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION
  Task: {6D5C6AC4-5EB0-4308-88A6-7EFDFA8416E6} - \Microsoft\extsetup -> No File <==== ATTENTION
  Task: {717B5081-DE3D-4FBA-8D0D-269E31907D1D} - \Microsoft\Windows\A94217EBB-1B10-401A-8749-1B18E0387303 -> No File <==== ATTENTION
  Task: {C826230F-8F39-4069-B72F-EF4232618760} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
  Task: {F0FA6115-EF50-4A1D-A0D3-F99F4AEADFF1} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
  Task: {F439710A-DA31-4EAC-A8BD-2D5AFCC13010} - \Microsoft\SafeBrowser -> No File <==== ATTENTION
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Александр234]

MarcEcko знакомо, это оформление для браузера, а вот FastSmart даже незнаю что это. Фикс выполнил, лог вложил.

[SQ]

а вот FastSmart даже незнаю что это.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  CHR Extension: (FastSmart) - C:\Program Files (x86)\Common Files\{CF2D8042-8F60-437F-AC9D-2E929DA1FADF} [2016-02-27]

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер возможно будет перезагружен.

Что с проблемой?

[Александр234]

Проблема решена, спасибо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 11
• В ходе лечения вредоносные программы в карантинах не обнаружены