Amigo + Mail.ru + реклама в браузере

[neotrance]

Всем привет.

После перехода на Win10 нашел на ноуте Амиго (в списке всех програм, в ПУ не было), Меил Апдейтер и началась запускаться реклама при открытии Г.Хром.

Помогите удалить  вирусы. 

CollectionLog-2015.09.30-17.53.zip

Изменено 30 сентября, 2015 пользователем neotrance

[thyrex]

HP Defender удалите через Установку программ

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Olichka\AppData\Local\Browsers\browser2.bat','');
QuarantineFile('C:\ProgramData\Browsers\browser6.bat','');
QuarantineFile('C:\ProgramData\Browsers\browser0.bat','');
SetServiceStart('HHandler Service', 4);
DeleteService('HHandler Service');
TerminateProcessByName('c:\program files (x86)\hp defender\hhandler.exe');
QuarantineFile('c:\program files (x86)\hp defender\hhandler.exe','');
DeleteFile('c:\program files (x86)\hp defender\hhandler.exe','32');
DeleteFile('C:\ProgramData\Browsers\browser0.bat','32');
DeleteFile('C:\ProgramData\Browsers\browser6.bat','32');
DeleteFile('C:\Users\Olichka\AppData\Local\Browsers\browser2.bat','32');
DeleteFileMask('c:\program files (x86)\hp defender', '*', true);
DeleteDirectory('c:\program files (x86)\hp defender');
DeleteFileMask('C:\ProgramData\Browsers', '*', true);
DeleteDirectory('C:\ProgramData\Browsers');
DeleteFileMask('C:\Users\Olichka\AppData\Local\Browsers', '*', true);
DeleteDirectory('C:\Users\Olichka\AppData\Local\Browsers');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[neotrance]

1. Выполнил первый скрипт

2. [KLAN-3182457448]

3. Прикрепил новые логи

4. Удалил HP Defender

CollectionLog-2015.09.30-18.43.zip

ClearLNK-30.09.2015_18-38.log

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[neotrance]

Отчеты

Addition.txt

FRST.txt

[thyrex]

Remote Desktop Access удалите через Установку программ

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
Task: {024F5CD0-1E49-4DC7-B42F-BB00F9DB2953} - \chrome5 -> No File <==== ATTENTION
Task: {0CE7380F-2058-4D41-B45E-8AAA3B4573F7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {14417AAE-5E3C-45B0-964A-039D6FC67B36} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {2286D07D-FF81-4632-938B-53C1091A591B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {33C628CB-7561-40CE-A7FA-9A38A605C3C1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {44D5FA90-0E6E-4DAA-9530-E23748547FF7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {63F06329-2565-46FD-AD4B-8CB444C6B497} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {9784C369-F7F9-4A27-A7B0-62FF6D7BDB62} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {99D3DC0C-98C6-4768-B8BD-F17900DA39C1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {CAE6D40D-0BB3-473A-B6A6-7BD6CE006BB9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {D8691495-8F05-4927-9583-3FE0E26C13D4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {E2261D42-797C-43B4-9CC3-339E726582BD} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {E9E613C7-BA09-4587-BBD3-81AAAC8D4D03} - \chrome5_logon -> No File <==== ATTENTION
HKLM\...\RunOnce: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1503277481-863528806-1219388389-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
BHO-x32: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Olichka\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-1503277481-863528806-1219388389-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: NetFilterPRO - C:\Users\Olichka\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\admin@netfilter.pro [2015-03-19]
OPR Extension: (Quick Searcher) - C:\Users\Olichka\AppData\Roaming\Opera Software\Opera Stable\Extensions\adokjfanaflbkibffcbhihgihpgijcei [2015-09-24]
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=blackbear9"
OPR StartupUrls: "hxxp://mail.ru/cnt/10445"],"urls_signature":"XMIrv1PkTw/0HjiEPkLtsPxaWfAsoCAQ4dR7hDrA6uPcPVZKQRy9brk3r6oRerLG"},"speeddial":{"bookmarks_folder_guid":"E4A8074C-733B-4A22-AD5E-06C514A89B57","imported_to_bookmarks":true},"spellcheck":{"dictionaries":["ru"
FF DefaultSearchEngine: Поиск@Mail.Ru
FF SelectedSearchEngine: Поиск@Mail.Ru
FF Homepage: hxxp://mail.ru/cnt/10445?gp=blackbear9
FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
2015-09-27 12:16 - 2015-03-19 22:47 - 00000000 ____D C:\Users\Olichka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.
  

[neotrance]

лог-файл (Fixlog.txt)

Fixlog.txt

[thyrex]

Что с проблемой?

[neotrance]

Вроде все хорошо. Спасибо!