Вирус устанавливает непонятные программы и плагины в браузер

[ListigerWolf]

Доброе время. Прошу помощи в борьбе с вирусом. Примерно месяц назад поймал вирус который открывал всплывающие окна с рекламой, прямо на рабочем столе, устанавливал сторонние непонятные программы (майловский софт, браузеры амиго, хром, яндекс, которыми я вообще не пользуюсь, какие то защитники от вирусов). Постоянно менял стартовую страницу в браузере на майловскую. Перенаправлял с поисковика гугла на майл, опять же. С помощью стартера, фара и бесплатного касперского как то удалось это все дело победить, кроме самоустанвки плагина "Антимат" в файрфоксе. Я его просто отключал, но после каждой перезагрузки он устанавливался/включался заново. Т.к. компьютер перезагружается очень редко, он мне особо не мешал а потому решил оставить как есть. Сейчас опять, спустя где то месяц, начал устанавливаться непонятный софт (qksee, uncheckit, YAC), браузер хром. прошу помочь в удалении этой заразы, заранее спасибо.

CollectionLog-2016.05.19-13.43.zip

[mike 1]

Лог старый. Пришлите новый.

[ListigerWolf]

готово

CollectionLog-2016.05.23-13.26.zip

[mike 1]

Деинсталлируйте:

qksee [2016/05/17 13:18:34]-->C:\Program Files (x86)\qksee\uninstall.exe
YAC(Yet Another Cleaner!) [2016/05/18 12:21:49]-->C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

[ListigerWolf]

готово

AdwCleanerS1.txt

[mike 1]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[ListigerWolf]

готово

после отправки последнего сообщения, с логом, файрфркс перезагрузился, а потом выдал сообщение что другая программа хочет его изменить с помощью плагина "антимат"

AdwCleanerC1.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[ListigerWolf]

Готово.

А можно Uncheckit удалить ?

FRST.txt

Addition.txt

[mike 1]

Удаляйте.

 

Everything 1.3.4.686 (x64) (HKLM\...\Everything) (Version:  - )

 

Еще если это незнакомо, то тоже деинсталлируйте.

 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
File: C:\Program Files\Everything\Everything.exe
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1795656496-799760380-2165950513-1005\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Extension: Антимат - C:\Users\Ivan\AppData\Roaming\Mozilla\Firefox\Profiles\yrwxqfn9.ListigerWolf\Extensions\helper@helper [2016-05-24] [not signed]
OPR Extension: (Advertising block) - C:\Users\Ivan\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-05-24]
2016-05-18 12:19 - 2016-05-18 12:19 - 00003872 _____ C:\Windows\System32\Tasks\UncheckitTaskMN
2016-05-18 12:19 - 2016-05-18 12:19 - 00003540 _____ C:\Windows\System32\Tasks\WenessUpdateTaskMachineCore
2016-05-18 12:19 - 2016-05-18 12:19 - 00003456 _____ C:\Windows\System32\Tasks\WenessUpdateTaskMachineUA
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Users\Все пользователи\Weness
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Users\Все пользователи\Uncheckit
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Users\Все пользователи\uckt
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Users\Ivan\AppData\Roaming\Uncheckit
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\ProgramData\Weness
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\ProgramData\Uncheckit
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\ProgramData\uckt
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uncheckit
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Program Files (x86)\Weness
2016-05-18 12:19 - 2016-05-18 12:19 - 00000000 ____D C:\Program Files (x86)\Uncheckit
2016-03-25 16:57 - 2016-03-29 17:43 - 00000000 ____D C:\Program Files\908b85227a38fde4fd5636c5d20bef5b
2016-03-24 17:09 - 2016-05-24 10:36 - 00000438 _____ C:\Windows\Tasks\6B67773331_1037.job
2016-03-24 17:09 - 2016-04-11 11:43 - 00000000 ____D C:\Users\Ivan\AppData\Roaming\6B67773331_1037
2016-03-23 15:53 - 2016-03-23 15:53 - 00073216 _____ C:\Windows\taskmgr.exe
2016-03-23 15:53 - 2016-03-23 15:53 - 00028819 _____ C:\Windows\decred.cl
2016-03-23 15:53 - 2016-03-23 15:53 - 00000000 ____D C:\Windows\Azart
2016-03-23 15:52 - 2016-03-23 15:52 - 00000000 ____D C:\Users\Ivan\AppData\Roaming\MyDesktop
Task: {4373510E-E6C2-4D1B-9706-699577AD7A2B} - \6B67773331_1037 -> No File <==== ATTENTION
Task: {A34FC11C-9F30-496E-8356-31C0714FF2BE} - System32\Tasks\Microsoft Windows Video => C:\Users\Ivan\AppData\Roaming\Microsoft\Video\pokk.exe [2016-03-23] ()
Task: {E1D179AC-3887-4EEB-A200-F2066D456087} - System32\Tasks\UncheckitTaskMN => C:\Program Files (x86)\Uncheckit\cktSvc.exe [2016-05-17] (EVANGEL TECHNOLOGY (HK) LIMITED)
Task: {F160F242-F57E-4C78-9F69-ED1E80586499} - System32\Tasks\WenessUpdateTaskMachineCore => C:\Program Files (x86)\Weness\Update\WenessUpdate.exe [2016-05-18] ()
Task: C:\Windows\Tasks\6B67773331_1037.job => C:\Users\Ivan\AppData\Roaming\6B67773331_1037\Wl8W0TkDwQ.exe
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

[ListigerWolf]

Everything это я ставил. Мониторит ФС.

upload.zip не было

Fixlog.txt

[mike 1]

Что с проблемой?

[ListigerWolf]

Проблема ушла ! Спасибо большое за помощь !

[mike 1]

• Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
  

• Запустите DelFix
  

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  
  
  

• В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
  

• Нажмите на кнопку Run