Стал зависать браузер chrome, антивирус mse обнаружил вирусы

[Roman_Five]

удаляйте все найденное в AdwCleaner 

вручную удалите 

C:\USERS\ANDREYHOMEPC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FEEILHMLFCPFCHPBGOKNOEEFDKBGIONJ\1.0.0_0\WIZE SEARCH
C:\USERS\ANDREYHOMEPC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FCGNIGMOFEKCLLGBIEJHMIGGGMGEHKIP\1.2.0_0\WIKI-SEARCH.ME

новый лог AdwCleaner приложите

[Andreyuser]

Удалил все найденное в  AdwCleaner . Удалить WIZE SEARCH не получается, т.к. этого файла нет.

Также нет папки /FCGNIGMOFEKCLLGBIEJHMIGGGMGEHKIP в указанном расположении. 

Вот новый лог AdwCleaner 

[Roman_Five]

вот это ещё удалите в AdwCleaner

 

Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10921475-03CE-4E04-90CE-E2E7EF20C814}

[SQ]

 WIZE SEARCH и WIKI-SEARCH.ME мне не известны. Сделал новый лог  AdwCleaner и также выполнил указанный скрипт в uvs

- Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2016-07-24_18-05-27.7z), если архив отсутствует, то заархивируйте папку ZOO в zip архив с паролем virus и отправьте по адресу newvirus@kaspersky.com.

- Полученный ответ сообщите здесь (с указанием номера KLAN).

[Andreyuser]

вот это ещё удалите в AdwCleaner

 

Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10921475-03CE-4E04-90CE-E2E7EF20C814}

Удалил данный ключ в AdwCleaner 

Отправил ZOO в zip на анализ в newvirus@kaspersky.com

 

вот ответ:[KLAN-4764513353] 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

BETAFRESH.DLL._41B1902D55396A636D8827B895057C2C381A9237 - not-a-virus:AdWare.Win32.Agent.jvrn

Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление баз.

BETAFRESH.DLL._41B1902D55396A636D8827B895057C2C381A9237.txt,
CLOUDPRINTER.EXE._71E18056D451E2F4E8775A8961945F962B155D20,
DLL.DLL._D93767ADC004AF6A6EDFA42F525DC05F932DA953,
DLL.DLL._D93767ADC004AF6A6EDFA42F525DC05F932DA953.txt,
DREAMSCENES.EXE._E115F60EAB872AED28E34F7234D8CC6ED6890525,
DREAMSCENES.EXE._E115F60EAB872AED28E34F7234D8CC6ED6890525.txt,
RONZAP.EXE.---.txt

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

LAUNCHER.EXE._8233E3A8DEEC50F0B71E56779010039AB0A279EA

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"
 

Изменено 29 июля, 2016 пользователем SQ
убрал емайл

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Andreyuser]

Выполнил логи

[SQ]

Удалите Advanced SystemCare и IObit через установку программ в панели управления.
 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  SearchScopes: HKLM-x32 -> DefaultScope value is missing
  FF Homepage: C:\ProgramData\Ronzaps\ff.HP
  FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7BD8339FFD-8076-469C-AD1E-3746C3479DFE%7D&gp=811006
  FF NewTab: C:\ProgramData\Ronzaps\ff.NT
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=821268"
  CHR DefaultSearchURL: Default -> hxxp://feed.wizesearch.com/?fext=true&publisherid=51554&publisher=defaultwize&st=ed&q={searchTerms}
  CHR DefaultSearchKeyword: Default -> Wize
  CHR Extension: (Wize) - C:\Users\Andreyhomepc\AppData\Local\Google\Chrome\User Data\Default\Extensions\feeilhmlfcpfchpbgoknoeefdkbgionj
  S3 BitTorrent; C:\Program Files\BitTorrent\BitTorrent.exe [383488 2016-07-24] () [File not signed] <==== ATTENTION
  2016-07-24 19:30 - 2016-07-24 19:30 - 00041472 _____ C:\Users\Andreyhomepc\AppData\Local\K-it.dat
  2016-07-24 19:30 - 2016-07-24 19:30 - 00000187 _____ C:\Users\Andreyhomepc\AppData\Local\K-it.exe.config
  2016-07-24 19:30 - 2016-07-24 19:30 - 00000000 ____D C:\Program Files\BitTorrent
  2016-07-24 19:29 - 2016-07-24 19:29 - 07105536 _____ C:\Users\Andreyhomepc\AppData\Roaming\agent.dat
  2016-07-24 19:29 - 2016-07-24 19:29 - 02279413 _____ C:\Users\Andreyhomepc\AppData\Roaming\Nam-It.bin
  2016-07-24 19:29 - 2016-07-24 19:29 - 01881636 _____ C:\Users\Andreyhomepc\AppData\Roaming\Hot-Ex.tst
  2016-07-24 19:29 - 2016-07-24 19:29 - 00189679 _____ () C:\Users\Andreyhomepc\AppData\Roaming\Voyatotam.bin
  2016-07-24 19:29 - 2016-07-24 19:29 - 00126464 _____ C:\Users\Andreyhomepc\AppData\Roaming\noah.dat
  2016-07-24 19:29 - 2016-07-24 19:29 - 00126464 _____ C:\Users\Andreyhomepc\AppData\Roaming\lobby.dat
  2016-07-24 19:29 - 2016-07-24 19:29 - 00072716 _____ C:\Users\Andreyhomepc\AppData\Roaming\Ontoity.tst
  2016-07-24 19:29 - 2016-07-24 19:29 - 00070752 _____ C:\Users\Andreyhomepc\AppData\Roaming\Config.xml
  2016-07-24 19:29 - 2016-07-24 19:29 - 00054272 _____ C:\Users\Andreyhomepc\AppData\Roaming\ApplicationHosting.dat
  2016-07-24 19:29 - 2016-07-24 19:29 - 00018432 _____ C:\Users\Andreyhomepc\AppData\Roaming\Main.dat
  2016-07-24 19:29 - 2016-07-24 19:29 - 00005568 _____ C:\Users\Andreyhomepc\AppData\Roaming\md.xml
  2016-07-24 19:29 - 2016-07-24 19:29 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
  2016-07-24 19:29 - 2016-07-24 19:29 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
  2016-07-24 19:29 - 2016-07-24 19:28 - 00677376 _____ C:\Users\Andreyhomepc\AppData\Roaming\Ontoity.exe
  2016-07-24 19:29 - 2016-07-24 19:28 - 00677376 _____ C:\Users\Andreyhomepc\AppData\Roaming\Hot-Ex.exe
  2016-07-24 19:28 - 2016-07-24 19:28 - 00848437 _____ C:\Users\Andreyhomepc\AppData\Roaming\Hotfax.bin
  2016-07-24 19:28 - 2016-07-24 19:28 - 00129024 _____ C:\Users\Andreyhomepc\AppData\Roaming\Installer.dat
  2016-07-24 19:28 - 2016-07-24 19:28 - 00019536 _____ C:\Users\Andreyhomepc\AppData\Roaming\InstallationConfiguration.xml
  2016-07-17 16:13 - 2016-07-17 19:00 - 00000000 ___HD C:\Users\Все пользователи\{F66F5828-6EF5-4CEE-93A1-CB534D874C67}
  2016-07-17 16:13 - 2016-07-17 19:00 - 00000000 ___HD C:\ProgramData\{F66F5828-6EF5-4CEE-93A1-CB534D874C67}
  2016-07-17 16:11 - 2016-07-17 19:00 - 00000000 __HDC C:\Users\Все пользователи\{9C3F823B-4738-4CAF-A6B2-69E87FB636C0}
  2016-07-17 16:11 - 2016-07-17 19:00 - 00000000 __HDC C:\ProgramData\{9C3F823B-4738-4CAF-A6B2-69E87FB636C0}
  Folder: C:\Autoruns
  2016-07-24 19:29 - 2016-07-24 19:29 - 7105536 _____ () C:\Users\Andreyhomepc\AppData\Roaming\agent.dat
  2016-07-24 19:29 - 2016-07-24 19:29 - 0054272 _____ () C:\Users\Andreyhomepc\AppData\Roaming\ApplicationHosting.dat
  2016-07-24 19:29 - 2016-07-24 19:29 - 0070752 _____ () C:\Users\Andreyhomepc\AppData\Roaming\Config.xml
  2016-07-24 19:29 - 2016-07-24 19:28 - 0677376 _____ () C:\Users\Andreyhomepc\AppData\Roaming\Hot-Ex.exe
  2016-07-24 19:29 - 2016-07-24 19:29 - 1881636 _____ () C:\Users\Andreyhomepc\AppData\Roaming\Hot-Ex.tst
  2016-07-24 19:28 - 2016-07-24 19:28 - 0848437 _____ () C:\Users\Andreyhomepc\AppData\Roaming\Hotfax.bin
  2016-07-24 19:28 - 2016-07-24 19:28 - 0019536 _____ () C:\Users\Andreyhomepc\AppData\Roaming\InstallationConfiguration.xml
  2016-07-24 19:28 - 2016-07-24 19:28 - 0129024 _____ () C:\Users\Andreyhomepc\AppData\Roaming\Installer.dat
  2016-07-24 19:29 - 2016-07-24 19:29 - 0126464 _____ () C:\Users\Andreyhomepc\AppData\Roaming\lobby.dat
  2016-07-24 19:29 - 2016-07-24 19:29 - 0018432 _____ () C:\Users\Andreyhomepc\AppData\Roaming\Main.dat
  2016-07-24 19:29 - 2016-07-24 19:29 - 0005568 _____ () C:\Users\Andreyhomepc\AppData\Roaming\md.xml
  2016-07-24 19:29 - 2016-07-24 19:29 - 2279413 _____ () C:\Users\Andreyhomepc\AppData\Roaming\Nam-It.bin
  2016-07-24 19:29 - 2016-07-24 19:29 - 0126464 _____ () C:\Users\Andreyhomepc\AppData\Roaming\noah.dat
  2016-07-24 19:29 - 2016-07-24 19:28 - 0677376 _____ () C:\Users\Andreyhomepc\AppData\Roaming\Ontoity.exe
  2016-07-24 19:29 - 2016-07-24 19:29 - 0072716 _____ () C:\Users\Andreyhomepc\AppData\Roaming\Ontoity.tst
  2016-07-24 19:30 - 2016-07-24 19:30 - 0001150 _____ () C:\Users\Andreyhomepc\AppData\Roaming\uninstall_temp.ico
  2016-07-24 19:29 - 2016-07-24 19:29 - 0189679 _____ () C:\Users\Andreyhomepc\AppData\Roaming\Voyatotam.bin
  2016-07-24 19:30 - 2016-07-24 19:30 - 0041472 _____ () C:\Users\Andreyhomepc\AppData\Local\K-it.dat
  2016-07-24 19:30 - 2016-07-24 19:30 - 0000187 _____ () C:\Users\Andreyhomepc\AppData\Local\K-it.exe.config
  C:\ProgramData\Ronzaps
  Task: {0FD4950B-2E76-461D-AB57-089179107AE5} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Andreyuser]

Выполнил логи и удалил Advanced SystemCare и IObit

[SQ]

Сообщите, что с проблемой?

[Andreyuser]

Стартовая страница браузера chrome запускается сайт http://mail.ru/cnt/10445?gp=811001.
Остались списке программ:  менеджер браузеров, Snapdo ,Yandex браузер; а также кнопка Yandex браузер и кинопоиск и амиго на панели задач. Это все можно удалить через панель управления, а на кнопки нажать- изъять из панели задач?
Утилита autoruns по прежнему зависает когда снимаю галочку с элемента aswsidebar.gadget в автозагрузке.

Еще у меня такой вопрос. Чтобы ярлыки на рабочем столе были анимированны, установил программу rocketdock, не вредная ли это программа или лучше установить другую для анимации ярлыков. (например winstep nexus dock). 

Изменено 31 июля, 2016 пользователем Andreyuser

[SQ]

Стартовая страница браузера chrome запускается сайт http://mail.ru/cnt/10445?gp=811001.

Приложите новый лог полного образа автозапуска uVS.

 

Остались списке программ:  менеджер браузеров, Snapdo ,Yandex браузер; а также кнопка Yandex браузер и кинопоиск и амиго на панели задач. Это все можно удалить через панель управления, а на кнопки нажать- изъять из панели задач?

Пробуйте деисталировать через установку программ в панеле управления. Сообщите результат.

SnapDo (HKLM-x32\...\{E58C9017-971B-4D9B-AF15-FC0D9FEC286C}) (Version: 1.0.0.0 - Resoft) <==== ATTENTION
UmmyVideoDownloader (HKLM-x32\...\{E028DBDA-EEE7-48A0-ADF7-D250589A02C5}_is1) (Version: 1.6.0.5 - ) <==== ATTENTION
Yandex (HKU\S-1-5-21-1876319354-3419700300-3357018529-1000\...\YandexBrowser) (Version: 16.6.1.30165 - ООО «ЯНДЕКС»)
Менеджер браузеров (HKU\S-1-5-21-1876319354-3419700300-3357018529-1000\...\{a4e708c3-efaf-49b0-aa5a-394305338e7b}) (Version: 2.2.1.614 - Яндекс)
Менеджер браузеров (x32 Version: 2.2.1.614 - Яндекс) Hidden

 

Утилита autoruns по прежнему зависает когда снимаю галочку с элемента aswsidebar.gadget в автозагрузке.

В безопасном режиме также воспроизводиться зависание?

 

Еще у меня такой вопрос. Чтобы ярлыки на рабочем столе были анимированны, установил программу rocketdock, не вредная ли это программа или лучше установить другую для анимации ярлыков. (например winstep nexus dock).

По предварительной информации, ничего плохого нет, но лучше отправьте запрос в антивирусную лабораторию на анализ.

[Andreyuser]

Сделал новый лог uvs. Все программы удалил, кроме SnapDo которая не удаляется ни в обычном ни в безопасном режимах.Утилита autoruns  и в безопасном  режиме зависает когда снимаю галочку с элемента aswsidebar.gadget в автозагрузке.

[SQ]

 

Сделайте лог полного сканирования МВАМ

[Andreyuser]

Выполнил лог mbam. Да вот еще забыл написать, что когда я пробую удалить программу snapdo и работает браузер ghrome, то он автоматически закрывается 

Изменено 6 августа, 2016 пользователем Andreyuser