Проблема с viceice.com в Firefox

[GreyKnight]

Здравствуйте.

 

В какой-то момент после перезагрузки компьютера в Firefox вместо обычной стартовой страницы стал открываться viceice.com, а также сбросились все настройки дополнений и разлогинило со всех сайтов. При каждом перезапуске браузера в качестве стартовой страницы задаётся пресловутый сайт и все настройки сбрасываются.

 

Прогнал Dr.Web CureIt, он что-то нашёл и обезвредил (см. скрин), но это не помогло.

 

Скрин и логи прикрепляю (логи Farbar прикрепил по аналогии с http://forum.kasperskyclub.ru/index.php?showtopic=49678).

 

CollectionLog-2016.05.15-03.40.zip

Farbar.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Denis\AppData\Roaming\taskmgr\taskmgr.exe','');
 DeleteFile('C:\Users\Denis\AppData\Roaming\taskmgr\taskmgr.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-491558738-2948265542-2143667977-1000\...\Winlogon: [Shell] C:\Users\Denis\AppData\Roaming\taskmgr\taskmgr.exe [153449984 2016-05-14] () <==== ATTENTION
FF DefaultSearchEngine: viceice
FF SelectedSearchEngine: viceice
FF Homepage: hxxp://www.viceice.com
CHR HomePage: Default -> hxxp://www.viceice.com/
CHR StartupUrls: Default -> "hxxp://www.viceice.com/" 
CHR DefaultSearchURL: Default -> hxxp://www.google.com/?cx=partner-pub-0900663996874144%3A4435833467&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.viceice.com%2F&ref=&ss=
CHR DefaultSearchKeyword: Default -> viceice.com
2016-05-14 16:30 - 2016-05-15 02:19 - 00000000 _RSHD C:\Users\Denis\AppData\Roaming\taskmgr
C:\Users\Denis\AppData\Local\Temp\130754205386674880.exe
C:\Users\Denis\AppData\Local\Temp\130754205613437850.exe
CustomCLSID: HKU\S-1-5-21-491558738-2948265542-2143667977-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Denis\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-491558738-2948265542-2143667977-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Denis\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-491558738-2948265542-2143667977-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Denis\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-491558738-2948265542-2143667977-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Denis\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-491558738-2948265542-2143667977-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Denis\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-491558738-2948265542-2143667977-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Denis\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-491558738-2948265542-2143667977-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Denis\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-491558738-2948265542-2143667977-1000_Classes\CLSID\{9A872070-0A06-11D1-90B7-00A024CE2744}\localserver32 -> G:\Program Files\National Instruments\LabVIEW 2013\LabVIEW.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-491558738-2948265542-2143667977-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Denis\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-491558738-2948265542-2143667977-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Denis\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-491558738-2948265542-2143667977-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Denis\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-491558738-2948265542-2143667977-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Denis\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-491558738-2948265542-2143667977-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Denis\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => No File
Task: {CC31CD30-B65B-41C0-81E0-AF2D0A177A26} - System32\Tasks\IntelMemoryDiagnostic => C:\Users\Denis\AppData\Local\Temp\d3dx10.exe <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[GreyKnight]

Доброе утро!

 

Благодарю за оперативный ответ.

 

Выполнил ваши рекомендации, не помогло.

 

Высылаю логи и ответ newvirus@kaspersky.com.

 

Карантин весит 115 Мб, поэтому не аттачится к письму напрямую, а цепляется ссылкой. Так что ответ выглядит так:

 

newvirus@kaspersky.com:

 

KLAN-4274541200

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

mail_ru_attachments.htm

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

 

 

Как мне его отправить в итоге?

 

Отвечал по мотивам других тем, т.к. с шаблоном у вас что-то не то, как мне кажется. Заранее извиняюсь, если что-то не так понял.

CollectionLog-2016.05.15-11.08.zip

Fixlog.txt

Изменено 15 мая, 2016 пользователем GreyKnight

[thyrex]

Архив с карантином выложите на Яндекс диск и ссылку пришлите мне в личные сообщения.

 

Что с проблемой?

[GreyKnight]

Прошёлся Malwarebytes Anti-Malware - вроде попустило.