Нежелательная интеграция www-searching.com в браузеры [not-a-virus:AdWare.Win32.ELEX.arn, not-a-virus:HEUR:AdWare.Win32.ELEX.gen ]

**chervikan** · 16.02.2017, 13:54

Добрый день, форумчане!
Прошу помочь со следующей проблемой:

На данный при запуске мозиллы или хрома стартовой страницей выставляется что-то типа удалено, а также нежелательный поиск по умолчанию

Хронология событий:
1. Несколько месяцев назад проник mail.ru со своим софтом. Пару раз удалял их софт из Удаления программ и расширения из браузеров, но периодически появлялось снова. Может и имеет отношение к текущей проблеме.
2. Пару недель назад неожиданно начались загружаться и устанавливаться программы, открываться веб-страницы, блокироваться экран и Диспетчер задач. Я физически вырубил инет и перезагрузил ноут. Поудалял нежелательный софт из Удаления программ, почистил мозиллу, в реестре почистил автозагрузку от нежелательных запусков, поиском по реестру и файловой системе поудалял все связанные записи и файлы. После этого стало возможным хотя бы что-то спокойно делать с подключенным инетом. В принципе, внешне почти все исправилось. Запустил проверку авастом и доктор вебом, еще что-то удалилось.
3. Осталось одна видимая проблема:
при запуске мозиллы или хрома стартовой страницей выставляется что-то типа удалено, а также нежелательный поиск по умолчанию, хотя в настройках выставлен Гугл. Профиль заново создавал для мозиллы, но это не помогло. Настройки браузеров при этом кажутся чистыми.
Также изредка мигает окно консоли, что наталкивает на подозрительные мысли

Прошу помочь очистить браузер от нежелательного поиска, а также помочь проверить, не осталось ли лазейки для очередного подобного проникновения.
Заранее благодарен!

P.S. Mail.ru не пользуюсь, порталом yandex.ru изредка, поэтому все их расширения и установки считать нежелательными

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.02.2017, 13:55

Уважаемый(ая) chervikan, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Сомнение** · 17.02.2017, 14:01

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 TerminateProcessByName('d:\program files (x86)\elex-tech\yac\isafetray.exe');
 TerminateProcessByName('d:\program files (x86)\elex-tech\yac\isafesvc2.exe');
 TerminateProcessByName('d:\program files (x86)\elex-tech\yac\isafesvc.exe');
 TerminateProcessByName('d:\program files (x86)\firefox\bin\firefoxupdate.exe');
 TerminateProcessByName('d:\program files (x86)\amulece\ed2k.exe');
 StopService('iSafeKrnlBoot');
 StopService('iSafeKrnlR3');
 StopService('iSafeKrnlMon');
 StopService('iSafeKrnlKit');
 StopService('iSafeKrnl');
 StopService('WinSAPSvc');
 StopService('serverss');
 StopService('iThemes5');
 StopService('iSafeService');
 StopService('FirefoxU');
 StopService('ed2kidle');
 QuarantineFile('D:\Program Files (x86)\Common Files\Warmstatis\uninstall.dat', '');
 QuarantineFile('D:\Program Files (x86)\Common Files\Warmstatis\uninstall.exe', '');
 QuarantineFile('D:\ProgramData\wintools\WintoolUprI.exe', '');
 QuarantineFile('D:\ProgramData\SearchModule\smhe.js', '');
 QuarantineFile('D:\ProgramData\smp2.exe', '');
 QuarantineFile('D:\Users\Admini\AppData\Roaming\Event Monitor\em.exe', '');
 QuarantineFile('D:\Users\Admini\AppData\Local\BrowserAir\48.0.0.0\updater.exe', '');
 QuarantineFile('D:\Program Files (x86)\Cizeck\plubapy.exe', '');
 QuarantineFile('D:\Program Files (x86)\Cherperksterrot Engine\local64spl.dll', '');
 QuarantineFile('D:\Users\Admini\AppData\Roaming\WinSAPSvc\WinSAP.dll', '');
 QuarantineFileF('D:\Program Files (x86)\Cizeck', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('D:\Program Files (x86)\Common Files\Warmstatis', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('D:\Windows\system32\DRIVERS\iSafeKrnlBoot.sys', '');
 QuarantineFile('D:\Windows\Temp\86D3.tmp', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys', '');
 QuarantineFile('d:\program files (x86)\gubed\gubedzl.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\SSLEAY32.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\sqlite3.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\libpng.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\LIBEAY32.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\libcurl.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iTPPush.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iTPProtect.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iTPNodisturb.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iTPMsgCenter.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iTPFloaty.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iTPDesk.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iTPAutoClean.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iSvc2.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iSvc.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\isafeupbiz.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\isaferpt.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\isafepxy.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iSafenpf.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\isafemc.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMonCall.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlCall.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeDisp.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iSafebs.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeBase.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeAdless.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\ipcproxy.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iImportLib.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iCommu.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\iCommon.dll', '');
 QuarantineFile('D:\Program Files (x86)\Elex-tech\YAC\curlpp.dll', '');
 QuarantineFile('D:\Program Files (x86)\Common Files\Services\iThemes.dll', '');
 QuarantineFile('d:\program files (x86)\elex-tech\yac\isafetray.exe', '');
 QuarantineFile('d:\program files (x86)\elex-tech\yac\isafesvc2.exe', '');
 QuarantineFile('d:\program files (x86)\elex-tech\yac\isafesvc.exe', '');
 QuarantineFile('d:\program files (x86)\firefox\bin\firefoxupdate.exe', '');
 QuarantineFile('d:\program files (x86)\amulece\ed2k.exe', '');
 DeleteFile('d:\program files (x86)\elex-tech\yac\isafesvc2.exe', '32');
 DeleteFile('d:\program files (x86)\elex-tech\yac\isafetray.exe', '32');
 DeleteFile('D:\Program Files (x86)\Common Files\Services\iThemes.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\curlpp.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iCommon.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iCommu.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iImportLib.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\ipcproxy.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeAdless.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeBase.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iSafebs.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeDisp.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlCall.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMonCall.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\isafemc.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iSafenpf.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\isafepxy.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\isaferpt.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\isafeupbiz.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iSvc.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iSvc2.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iTPAutoClean.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iTPDesk.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iTPFloaty.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iTPMsgCenter.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iTPNodisturb.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iTPProtect.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iTPPush.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\libcurl.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\LIBEAY32.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\libpng.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\sqlite3.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\SSLEAY32.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys', '32');
 DeleteFile('D:\Program Files (x86)\amuleCe\ed2k.exe', '32');
 DeleteFile('D:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe', '32');
 DeleteFile('D:\Windows\Temp\86D3.tmp', '32');
 DeleteFile('D:\Windows\system32\DRIVERS\iSafeKrnlBoot.sys', '32');
 DeleteFile('D:\Program Files (x86)\Gubed\GubedZL.dll', '32');
 DeleteFile('D:\Users\Admini\AppData\Roaming\WinSAPSvc\WinSAP.dll', '32');
 DeleteFile('D:\Program Files (x86)\Cherperksterrot Engine\local64spl.dll', '32');
 DeleteFile('D:\Program Files (x86)\Cizeck\plubapy.exe', '32');
 DeleteFile('D:\Users\Admini\AppData\Local\BrowserAir\48.0.0.0\updater.exe', '32');
 DeleteFile('D:\Users\Admini\AppData\Roaming\Event Monitor\em.exe', '32');
 DeleteFile('D:\ProgramData\smp2.exe', '32');
 DeleteFile('D:\ProgramData\SearchModule\smhe.js', '32');
 DeleteFile('D:\ProgramData\wintools\WintoolUprI.exe', '32');
 DeleteFile('D:\Program Files (x86)\Common Files\Warmstatis\uninstall.exe', '32');
 DeleteFile('D:\Program Files (x86)\Common Files\Warmstatis\uninstall.dat', '32');
 DeleteService('iSafeKrnlBoot');
 DeleteService('iSafeKrnlR3');
 DeleteService('iSafeKrnlMon');
 DeleteService('iSafeKrnlKit');
 DeleteService('iSafeKrnl');
 DeleteService('WinSAPSvc');
 DeleteService('serverss');
 DeleteService('iThemes5');
 DeleteService('iSafeService');
 DeleteService('FirefoxU');
 DeleteService('ed2kidle');
 DeleteFileMask('D:\Program Files (x86)\Common Files\Warmstatis', '*', true);
 DeleteFileMask('D:\Users\Admini\AppData\Roaming\WinSAPSvc', '*', true);
 DeleteFileMask('D:\Program Files (x86)\Elex-tech\YAC', '*', true);
 DeleteFileMask('d:\program files (x86)\amulece', '*', true);
 DeleteDirectory('CD:\Program Files (x86)\Common Files\Warmstatis');
 DeleteDirectory('D:\Users\Admini\AppData\Roaming\WinSAPSvc');
 DeleteDirectory('D:\Program Files (x86)\Elex-tech\YAC');
 DeleteDirectory('d:\program files (x86)\amulece');
 DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\GubedZL\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters', 'ServiceDll');
 ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Перетащите лог Check_Browsers_LNK.log из папки с AutoLogger'ом на утилиту ClearLNK, как показано на картинке.
Лог результата работы программы прикрепите в ответном письме.

3. Сделайте и пришлите в ответном сообщении лог AdwCleaner и новый лог AutoLogger'a.

**chervikan** · 18.02.2017, 13:06

Спасибо, пропустил сообщение, так как не подписался на тему эту)
Сегодня вечером попробую

**chervikan** · 19.02.2017, 16:53

Спасибо за ответ!)
Выполнил все шаги согласно инструкции и прикрепил все указанные файлы.

После запуска скрипта из п. 1 и перезагрузки ноута слетела снандартная тема Windows 7 и установилась упрощенная http://i.imgur.com/VdpZLxP.png. Гугл помог исправить проблему с темой

**Сомнение** · 19.02.2017, 17:56

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 TerminateProcessByName('d:\program files (x86)\elex-tech\yac\isafetray.exe');
 TerminateProcessByName('d:\program files (x86)\elex-tech\yac\isafesvc2.exe');
 TerminateProcessByName('d:\program files (x86)\elex-tech\yac\isafesvc.exe');
 SetServiceStart('iSafeService', 4);
 StopService('iSafeKrnlBoot');
 StopService('iSafeKrnlR3');
 StopService('iSafeKrnlKit');
 StopService('iSafeKrnl');
 StopService('iSafeService');
 StopService('AdobeReferenceAssemblies');
 DeleteFile('d:\program files (x86)\elex-tech\yac\isafesvc2.exe', '32');
 DeleteFile('d:\program files (x86)\elex-tech\yac\isafetray.exe', '32');
 DeleteFile('D:\Program Files (x86)\Reference Assemblies\AdobeReferenceAssemblies.dll', '32');
 DeleteFile('D:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe', '32');
 DeleteFile('D:\Windows\system32\DRIVERS\iSafeKrnlBoot.sys', '32');
 DeleteFile('D:\Program Files (x86)\Cizeck\plubapy.exe', '32');
 DeleteFile('D:\Users\Admini\AppData\Local\BrowserAir\48.0.0.0\updater.exe', '32');
 DeleteFile('D:\Users\Admini\AppData\Roaming\Event Monitor\em.exe', '32');
 DeleteFile('D:\Program Files (x86)\Common Files\Warmstatis\uninstall.exe', '32');
 DeleteFile('D:\Program Files (x86)\Common Files\Warmstatis\uninstall.dat', '32');
 DeleteFile('D:\ProgramData\wintools\WintoolUprI.exe', '32');
 DeleteFile('D:\Users\Admini\AppData\Local\Hostinstaller\2402844219_installcube.exe', '32');
 DeleteFile('D:\ProgramData\SearchModule\smhe.js', '32');
 DeleteFile('D:\ProgramData\smp2.exe', '32');
 DeleteFileMask('d:\program files (x86)\elex-tech\yac', '*', true);
 DeleteDirectory('d:\program files (x86)\elex-tech\yac');
 DeleteService('iSafeKrnlBoot');
 DeleteService('iSafeKrnlR3');
 DeleteService('iSafeKrnlKit');
 DeleteService('iSafeKrnl');
 DeleteService('iSafeService');
 DeleteService('AdobeReferenceAssemblies');
 ExecuteFile('schtasks.exe', '/delete /TN "SMW_P" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SMW_UpdateTask_Time_323539313339333333322d2a23452a2d4534415b573232" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WinTOOL" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Zazshzerfertain" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{5D0DF5B6-5CD3-4953-A1E4-05F46E639685}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Cherperksterrot Engine" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "IBUpd" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "IBUpd2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "RunAtStartup" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Удалите все найденное AdwCleaner'ом.
Потребуется перезагрузка компьютера. Лог сформированный после удаления предоставьте в ответном сообщении.

3. Нажмите "Пуск" - "Выполнить" - cmd. Далее пропишите sfc /scannow и дождитесь окончания процедуры. Перезагрузитесь.

4. Еще раз сделайте лог AutoLogger'a.

**chervikan** · 20.02.2017, 10:46

1. Выполнил скрипт, но архив карантина не обновился. Удалил предыдущий архив карантина, пробовал несколько раз, с выключенным антивирусом. Но файл архива так и не появился

2. Выполнил, добавил лог

3. Выполнил, сообщило, что исправлено не все. Но видимых проблем не наблюдаю

4. Добавил лог

Сама стартовая страница несколько раз менялась, но все еще остается

**Сомнение** · 20.02.2017, 11:33

1. В карантин файлы не добавлялись, по ошибке шаблон скопировался.

2. Сделайте данную процедуру - VirusDetector.
Загрузите карантин по данной ссылке.
Полученную ссылку после загрузки карантина, предоставьте в ответном сообщении.

3. Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**chervikan** · 22.02.2017, 00:36

Спасибо

2. Ссылка на анализ http://virusinfo.info/virusdetector/...A85610120C6B54

3. Логи добавил

**Сомнение** · 22.02.2017, 12:49

1. Удалите YAC(Yet Another Cleaner!) и Winsnare через "Установку и удаление программ".

2.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-748403006-2674792070-3708215606-1000\...\MountPoints2: {002d7320-e24a-11e6-8b5d-507b9d575976} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-748403006-2674792070-3708215606-1000\...\MountPoints2: {3ab7e3f8-00c7-11e6-bdbf-507b9d575976} - G:\HPLauncher.exe
HKU\S-1-5-21-748403006-2674792070-3708215606-1000\...\MountPoints2: {a095133d-073a-11e6-986d-507b9d575976} - C:\AutoRun.exe
HKU\S-1-5-21-748403006-2674792070-3708215606-1000\...\MountPoints2: {a0951340-073a-11e6-986d-507b9d575976} - I:\Autoplay.exe -auto
HKU\S-1-5-21-748403006-2674792070-3708215606-1000\...\MountPoints2: {a0951344-073a-11e6-986d-507b9d575976} - I:\Autoplay.exe -auto
HKU\S-1-5-21-748403006-2674792070-3708215606-1000\...\MountPoints2: {ce103ac9-79f9-11e6-988f-507b9d575976} - G:\HiSuiteDownLoader.exe
HKLM\...\Providers\k0agg4el: D:\Program Files (x86)\Cherperksterrot Engine\local64spl.dll
ShellExecuteHooks: No Name - {8DA1928A-DE4A-11E6-BFAC-64006A5CFC23} - D:\Users\Admini\AppData\Roaming\Ckeose\Reerdoty.dll -> No File
HKU\S-1-5-21-748403006-2674792070-3708215606-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPhvbdxaOKCIAw4PgSfSXHOy7zQfzoqYNkijF44ceMdjXE0Jr4Ckt7iN9zmcr3cKZ8BVUyUrswsrDx9t8jwgEyccfPZG5FnGLw5CxaehugAEwCCHpeZlx9fxZD-RqqF8_K6g9etsgqTC7oXmHB7gXH7t_9qi00ue2NDB9pLQ,,
SearchScopes: HKLM-x32 -> DefaultScope value is missing
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPhvbdxaOKCIAw4PgSfSXHOy7zQfzoqYNkijF44ceMdjXE0Jr4Ckt7iN9zmcr3cKZ8BVUyUrswsrDx9tNfc8RbMt2Mak4OhBzYl7b-ZzjP0w0J7UZiw_WhVDGQO88uctiZ96Myml4nzOKlBbA6AeR0qB6xAX-vFVqTYRBb2w,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-748403006-2674792070-3708215606-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPhvbdxaOKCIAw4PgSfSXHOy7zQfzoqYNkijF44ceMdjXE0Jr4Ckt7iN9zmcr3cKZ8BVUyUrswsrDx9tNfc8RbMt2Mak4OhBzYl7b-ZzjP0w0J7UZiw_WhVDGQO88uctiZ96Myml4nzOKlBbA6AeR0qB6xAX-vFVqTYRBb2w,,&q={searchTerms}
FF ProfilePath: D:\Users\Admini\AppData\Roaming\Firefox\Firefox\naweriweentcofise\Profiles\o1wgywa4.default\Profiles\o1wgywa4.default [not found]
FF user.js: detected! => D:\Users\Admini\AppData\Roaming\Mozilla\Firefox\Profiles\o1wgywa4.default\user.js [2017-02-16]
FF NewTab: Mozilla\Firefox\Profiles\o1wgywa4.default -> chrome://fvd.speeddial/content/fvd_about_blank.html
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\o1wgywa4.default -> luck
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\o1wgywa4.default -> luck
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\o1wgywa4.default -> luck
FF Homepage: Mozilla\Firefox\Profiles\o1wgywa4.default -> hxxp://www.luckysearch123.com?type=hp&ts=1487239138&from=14a10216&uid=liteonxcv1-8b512_sd0j21063l1th5b1027y&z=0f0e3aba20a857c30e360e2g5z8b1m0o4cct0g7caq
FF Keyword.URL: Mozilla\Firefox\Profiles\o1wgywa4.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BF0A6FA4E-44CF-4655-9257-12AB76A7DA0A%7D&gp=822328
SearchScopes: HKU\S-1-5-21-748403006-2674792070-3708215606-1000 -> a8942140-87fb-11e6-abf0-507b9d575976 URL = hxxps://yandex.ua/search/?win=248&clid=2256028&text={searchTerms}
SearchScopes: HKU\S-1-5-21-748403006-2674792070-3708215606-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BF39968AB-8EEE-48CD-955D-8C260A9B1FAD%7D&gp=822368
FF SearchPlugin: D:\Users\Admini\AppData\Roaming\Mozilla\Firefox\Profiles\o1wgywa4.default\searchplugins\luck.xml [2017-02-16]
FF NewTab: Firefox\Firefox\Profiles\o1wgywa4.default -> chrome://fvd.speeddial/content/fvd_about_blank.html
FF DefaultSearchEngine: Firefox\Firefox\Profiles\o1wgywa4.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Firefox\Firefox\Profiles\o1wgywa4.default -> Поиск@Mail.Ru
FF Homepage: Firefox\Firefox\Profiles\o1wgywa4.default -> hxxp://www.searchinme.com/?type=hp&ts=1486739843074&z=b2ce34da299373c34fd011egfz3beq9m1c8t3bdz1t&from=official&uid=LITEONXCV1-8B512_SD0J21063L1TH5B1027Y
FF Keyword.URL: Firefox\Firefox\Profiles\o1wgywa4.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BF0A6FA4E-44CF-4655-9257-12AB76A7DA0A%7D&gp=822328
FF Extension: (FF Adr) - D:\Users\Admini\AppData\Roaming\Firefox\Firefox\Profiles\o1wgywa4.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-02-10] [not signed]
FF SearchPlugin: D:\Users\Admini\AppData\Roaming\Firefox\Firefox\Profiles\o1wgywa4.default\searchplugins\searchinme.xml [2017-02-10]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin: adobe.com/AdobeAAMDetect -> D:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
FF Plugin HKU\S-1-5-21-748403006-2674792070-3708215606-1000: @citrixonline.com/appdetectorplugin -> D:\Users\Admini\AppData\Local\Citrix\Plugins\104\npappdetector.dll [No File]
FF Plugin-x32: @adobe.com/ShockwavePlayer -> D:\Windows\system32\Adobe\Director\np32dsw_1220162.dll [No File]
FF Plugin-x32: @adobe.com/AuthorwarePlayer -> D:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [No File]
CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.luckysearch123.com/search.php?type=ds&ts=1487239138&from=14a10216&uid=liteonxcv1-8b512_sd0j21063l1th5b1027y&z=0f0e3aba20a857c30e360e2g5z8b1m0o4cct0g7caq&q={searchTerms}
CHR DefaultSearchKeyword: ChromeDefaultData -> luck
CHR Profile: D:\Users\Admini\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-02-21] <==== ATTENTION
CHR HKU\S-1-5-21-748403006-2674792070-3708215606-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
S2 LiveUpdateSvc; D:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
S1 vdi1njg1; D:\Windows\SysWOW64\Drivers\vdi1njg1.sys [13312 2017-02-20] () [File not signed]
S3 dbx; system32\DRIVERS\dbx.sys [X]
S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]
U2 OKOControlSvc; no ImagePath
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2017-02-05 17:45 - 2017-02-05 21:45 - 00000000 ____D D:\Program Files\f09er35s
2017-02-05 12:01 - 2017-02-07 08:59 - 00000000 ____D D:\Program Files\k0agg4el
2017-02-04 20:24 - 2017-02-12 12:05 - 00000000 ____D D:\Program Files (x86)\Cizeck
2017-02-04 20:24 - 2017-02-09 10:14 - 00000000 ____D D:\Program Files (x86)\Cherperksterrot Engine
2017-02-04 20:24 - 2017-02-04 20:44 - 00000000 ____D D:\Users\Admini\AppData\Roaming\Ckeose
2017-02-04 20:24 - 2017-02-04 20:25 - 00000000 ____D D:\Users\Admini\AppData\Roaming\{a1b-81-1c-e940c-9a581-6618-55059}
2017-02-04 20:24 - 2017-02-04 20:25 - 00000000 ____D D:\Users\Admini\AppData\Local\Lgicavly
2017-02-04 20:24 - 2017-02-04 20:24 - 01908115 _____ D:\Users\Admini\AppData\Roaming\Lexi-Warm.tst
2017-02-04 20:24 - 2017-02-04 20:24 - 00983040 _____ D:\Users\Admini\AppData\Roaming\Lexi-Warm.exe
2017-02-04 20:24 - 2017-02-04 20:24 - 00278518 _____ D:\Users\Admini\AppData\Roaming\VilaHatjob.bin
2016-11-23 11:44 - 2016-11-23 11:44 - 00000000 ____H D:\Users\Все пользователи\DP45977C.lfl
AlternateDataStreams: D:\Users\Admini:id [32]
FirewallRules: [{80AFBFE2-9F3A-452B-AD18-E62E2ECA6B04}] => (Allow) D:\Program Files (x86)\Tooltony\Application\chrome.exe
FirewallRules: [{2A937319-EB5F-45F2-9F0C-5C80D2443BE7}] => (Allow) D:\Program Files\UBar\ubar.exe

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**chervikan** · 23.02.2017, 01:46

Все выполнил, лог добавил

Похоже, наконец смогли очистить. Огромное спасибо, Сомнение!

**Сомнение** · 23.02.2017, 14:57

Выполните:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После работы скрипта, в блокноте откроется файл avz_log.txt со ссылкам на обновление Вашей системы и критичных к безопасности программ, которые нужно загрузить и обновить в первую очередь.

http://virusinfo.info/showthread.php?t=121902

На этом все. Всего доброго.

**CyberHelper** · 23.02.2017, 15:07

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 46
В ходе лечения обнаружены вредоносные программы:
1. d:\program files (x86)\amulece\ed2k.exe - HEUR:Trojan.Win32.Generic
2. d:\program files (x86)\elex-tech\yac\curlpp.dll - not-a-virus:HEUR:Downloader.Win32.Elex.gen
3. d:\program files (x86)\elex-tech\yac\icommon.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
4. d:\program files (x86)\elex-tech\yac\icommu.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
5. d:\program files (x86)\elex-tech\yac\iimportlib.dll - not-a-virus:HEUR:AdWare.Win32.Elex.gen
6. d:\program files (x86)\elex-tech\yac\ipcproxy.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
7. d:\program files (x86)\elex-tech\yac\isafeadless.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
8. d:\program files (x86)\elex-tech\yac\isafebase.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
9. d:\program files (x86)\elex-tech\yac\isafebs.dll - not-a-virus:HEUR:AdWare.Win32.Elex.gen
10. d:\program files (x86)\elex-tech\yac\isafedisp.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
11. d:\program files (x86)\elex-tech\yac\isafekrnlcall.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
12. d:\program files (x86)\elex-tech\yac\isafekrnlkit.sys - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.469 )
13. d:\program files (x86)\elex-tech\yac\isafekrnlmoncall.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.494 )
14. d:\program files (x86)\elex-tech\yac\isafekrnlmon.sys - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.489 )
15. d:\program files (x86)\elex-tech\yac\isafekrnlr3.sys - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.470 )
16. d:\program files (x86)\elex-tech\yac\isafekrnl.sys - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.490 )
17. d:\program files (x86)\elex-tech\yac\isafemc.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
18. d:\program files (x86)\elex-tech\yac\isafenpf.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.525 )
19. d:\program files (x86)\elex-tech\yac\isafepxy.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
20. d:\program files (x86)\elex-tech\yac\isaferpt.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
21. d:\program files (x86)\elex-tech\yac\isafesvc.exe - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
22. d:\program files (x86)\elex-tech\yac\isafesvc2.exe - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
23. d:\program files (x86)\elex-tech\yac\isafetray.exe - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
24. d:\program files (x86)\elex-tech\yac\isafeupbiz.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
25. d:\program files (x86)\elex-tech\yac\isvc.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
26. d:\program files (x86)\elex-tech\yac\isvc2.dll - not-a-virus:HEUR:AdWare.Win32.Elex.gen
27. d:\program files (x86)\elex-tech\yac\itpautoclean.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
28. d:\program files (x86)\elex-tech\yac\itpdesk.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
29. d:\program files (x86)\elex-tech\yac\itpfloaty.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
30. d:\program files (x86)\elex-tech\yac\itpmsgcenter.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
31. d:\program files (x86)\elex-tech\yac\itpnodisturb.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
32. d:\program files (x86)\elex-tech\yac\itpprotect.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
33. d:\program files (x86)\elex-tech\yac\itppush.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
34. d:\program files (x86)\elex-tech\yac\libcurl.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
35. d:\program files (x86)\elex-tech\yac\libeay32.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
36. d:\program files (x86)\elex-tech\yac\ssleay32.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
37. d:\program files (x86)\firefox\bin\firefoxupdate.exe - not-a-virus:AdWare.Win32.ELEX.bcq
38. d:\program files (x86)\gubed\gubedzl.dll - not-a-virus:AdWare.Win32.ELEX.arn ( BitDefender: Gen:Trojan.Heur.LP.hu4@a0!brBmi )
39. d:\users\admini\appdata\roaming\winsapsvc\winsap.d ll - not-a-virus:AdWare.Win32.ELEX.atz
40. d:\windows\system32\drivers\isafekrnlboot.sys - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.481 )

Нежелательная интеграция www-searching.com в браузеры [not-a-virus:AdWare.Win32.ELEX.arn, not-a-virus:HEUR:AdWare.Win32.ELEX.gen ] (заявка № 209434)

Опции темы