Стал зависать браузер chrome, антивирус mse обнаружил вирусы

[Andreyuser]

Сегодня при попытке обновить anvir task manager на версию 8.1.2 вместе с программой установились программы паразиты типа менеджер браузеров, на панели быстрого доступа появились значки яндекс-браузера и т.д. Стартовая страница coogle chrome была изменена на mail.ru.

При сканировании антивирус обнаружил вирусы: trojan.win32/spursint.A!cl; softwarebundler win32/dlhelper.

В автозагрузке появился элемент Операционная система Microsoft Windows - команда explorer

Попробовал удалить лишние элементы автозагрузки через autoruns и при попытке снять галочку в разделе

Sidebar Gadgets - элемент aswSidebar.gadget приложение зависает. Помогите  

[SQ]

Здравствуйте,


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 QuarantineFile('C:\Users\Andreyhomepc\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','');
 DeleteFile('C:\Users\Andreyhomepc\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wlgyrbizvf','command');
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

- Подготовьте лог AdwCleaner и приложите его в теме.

[Andreyuser]

Выполнил скрипт и подготовил лог  вот.

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Andreyuser]

Выполнил рекомендации

Программы остались в списке и на панели быстрого доступа

Изменено 22 июля, 2016 пользователем Andreyuser

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Andreyuser]

Сделал логи

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx
  2016-07-17 18:36 - 2016-07-17 18:39 - 00000000 ____D C:\Users\Andreyhomepc\AppData\Local\ZetaGamesViewer
  2016-07-17 18:35 - 2016-07-17 18:39 - 00000000 ____D C:\Users\Andreyhomepc\AppData\Roaming\Rutube
  2016-07-17 18:35 - 2016-07-17 18:39 - 00000000 ____D C:\Users\Andreyhomepc\AppData\Local\ZetaGamesNews
  Folder: C:\ProgramData\{F66F5828-6EF5-4CEE-93A1-CB534D874C67}
  Folder: C:\ProgramData\{9C3F823B-4738-4CAF-A6B2-69E87FB636C0}
  C:\Users\Andreyhomepc\AppData\Local\Temp\AnVir.exe
  C:\Users\Andreyhomepc\AppData\Local\Temp\{064C0680-475A-4759-9A25-90D7DD87EC3D}.exe
  Task: {3C5D73BC-763F-4AF6-995C-E704B59CD165} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wlgyrbizvf]
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[Andreyuser]

Выполнил рекомендации. 

Изменено 24 июля, 2016 пользователем Andreyuser

[SQ]

Сообщите, что с проблемой?

[Andreyuser]

В списке программ рекламщиков и на панели задач остались менеджер браузеров , яндекс браузер и какой-то значок круглый Кинопоиск(окрывает браузер ie). Сделал скриншот рабочего стола.

Утилита контроля автозапуска autoruns по прежнему зависает, когда хочу снять галочку с элемента aswsidebar.gadget

 

 

[SQ]

Сами ставили?
 

CHR Extension: (Flash Video Downloader) - C:\Users\Andreyhomepc\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiimdkdngfcipjohbjenkahhlhccpdbc [2016-07-08]

Уточните пожалуйста, удаляется ли менеджер браузеров в панели управления?

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

[Andreyuser]

CHR Extension: (Flash Video Downloader) - C:\Users\Andreyhomepc\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiimdkdngfcipjohbjenkahhlhccpdbc [2016-07-08]

 

Нет я это не ставил. Что творится в системе!Сейчас опять несколько программ паразитов пробовали прописаться в автозагрузку, хорошо сработал anvir task manager, я нажимал везде удалить процессы и исполняемый файл, однако на панели задач и в списке программ появились значки -vk, однокласники, mail.ru, iobit uninstaller, advanced systemcare, амиго, snapdo. Стартовая страница google chrome изменилась на http://mail.ru/cnt/10445?gp=811001

 

 

Через панель управления программы удалить? А если в реестре останутся следы программ?

Сделал лог uvs 

Изменено 24 июля, 2016 пользователем Andreyuser

[SQ]

Знакома ли Вам WIZE SEARCH и WIKI-SEARCH.ME?

C:\USERS\ANDREYHOMEPC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FEEILHMLFCPFCHPBGOKNOEEFDKBGIONJ\1.0.0_0\WIZE SEARCH
C:\USERS\ANDREYHOMEPC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FCGNIGMOFEKCLLGBIEJHMIGGGMGEHKIP\1.2.0_0\WIKI-SEARCH.ME

Выполните скрипт в uVS:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
BREG
zoo %SystemDrive%\PROGRAMDATA\CLOUDPRINTER\CLOUDPRINTER.EXE
zoo %SystemDrive%\PROGRAMDATA\RONZAP\BETAFRESH.DLL
zoo %SystemDrive%\PROGRAMDATA\\RONZAP\\RONZAP.EXE
zoo %SystemDrive%\USERS\ANDREYHOMEPC\APPDATA\LOCAL\TEMP\RARSFX0\DREAMSCENES.EXE
zoo %SystemDrive%\USERS\ANDREYHOMEPC\APPDATA\ROAMING\RUTUBE\LAUNCHER.EXE
zoo %SystemRoot%\W7FBC\DLL.DLL
deldir %SystemDrive%\PROGRAMDATA\CLOUDPRINTER
deldir %SystemDrive%\PROGRAMDATA\RONZAP
deldir %SystemDrive%\USERS\ANDREYHOMEPC\APPDATA\ROAMING\RUTUBE
delref %SystemDrive%\PROGRAMDATA\\RONZAP\RONZAP.EXE
delref %SystemDrive%\PROGRAMDATA\\RONZAP\\RONZAP.EXE
delref %SystemDrive%\USERS\ANDREYHOMEPC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA\2.0.4.11_0\ПОИСК  ЯНДЕКСA
delref %SystemDrive%\USERS\ANDREYHOMEPC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AIIMDKDNGFCIPJOHBJENKAHHLHCCPDBC\16.1.1_0\FLASH VIDEO DOWNLOADER
delref %SystemDrive%\USERS\ANDREYHOMEPC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
delref %SystemDrive%\USERS\ANDREYHOMEPC\APPDATA\LOCAL\K-IT.EXE
delref HTTP://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGIJVKXLYIP4NYE17AVLWUCBJWJ6MZZJCVFY3KXNVETSPBZGZIG5I8A3P-XJTE4VA0TOYGFBJNC8NFSQXHKBAHAAWBXUHYGTQIZMQI-SPLKRLJPUJSU5N6IIHHVGYFEVGFYJL5XWIXWKD1PCFGB7CPBBN8CWIOEYW-G_OLV_JIFZZMWC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHIGNEEFEBKCAGNPNPBIBGANPMFGEBNK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCGNIGMOFEKCLLGBIEJHMIGGGMGEHKIP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
deltmp
restart
  

- Подготовьте новый лог AdwCleaner и приложите его в теме.

 

[Andreyuser]

 WIZE SEARCH и WIKI-SEARCH.ME мне не известны. Сделал новый лог  AdwCleaner и также выполнил указанный скрипт в uvs

Изменено 25 июля, 2016 пользователем Andreyuser