Удаление расширения fast search 1.1.3 ( Google Chrome)

[VasikRnD]

По глупости скачал странный файл и установилось расширение  fast search 1.1.3 в Google Chrome. Расширение перенаправляет с поисковика по умолчанию на mail.ru. Простое удаление из расширений браузера и Dr.Web Curelt! не помогли, после перезагрузки браузера устанавливается снова. В Mozillа то же самое.

 

upd: После анализа ОС сборщиком логов в списке расширений стало указано, что "fast search 1.1.3 могло быть повреждено", перенаправления на mail.ru перестали происходить, но расширение все равно не удаляется. Несмотря на это, все же хотелось бы удалить полностью вредоносное ПО.

CollectionLog-2017.01.26-02.04.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\users\vadim\appdata\roaming\safeweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Vadim\AppData\Roaming\SafeWeb\python\pythonw.exe', '');
 QuarantineFile('C:\Users\Vadim\AppData\Roaming\SafeWeb\ml.py', '');
 QuarantineFile('C:\Users\Vadim\AppData\Roaming\SafeWeb\updater.py', '');
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb2" /F', 0, 15000, true);
 DeleteFile('C:\Users\Vadim\AppData\Roaming\SafeWeb\python\pythonw.exe', '32');
 DeleteFile('C:\Users\Vadim\AppData\Roaming\SafeWeb\ml.py', '32');
 DeleteFile('C:\Users\Vadim\AppData\Roaming\SafeWeb\updater.py', '32');
 DeleteFileMask('c:\users\vadim\appdata\roaming\safeweb', '*', true);
 DeleteDirectory('c:\users\vadim\appdata\roaming\safeweb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SafeWeb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SafeWeb');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.