Накачились вирусы по типу рекламы и программ

[DanuujI]

Накачились вирусы по типу рекламы и программ

Появилися амиго, маил, проги на компе, реклама в инете иногда выскакивает
Посмотреть вложение virusinfo_syscheck.zip - Это лог авз, но у меня почему-то сделался только syscheck
Посмотреть вложение hijackthis.zip - hijackthis
Посмотреть вложение DANUUJI_2016-05-31_08-10-41.7z - uvs
Я пока те проги(вирусные), что установились, не удалял. Можно ли это делать?

[mod2]Не знаю. Но вот чего ТОЧНО нельзя, так это давать ссылки на файлообменники. У нас это запрещено. Прошу учесть на будущее.
Файлы перезалил.

Модератор[/mod2]

 

[Гризлик]

Скопируйте код ниже в буфер обмена

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v388c
OFFSGNSAVE
delref HTTP:\\WWW.MAIL.RU\CNT\20775012?GP=820313
delref HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B140FE7A0-F455-44F1-B0E3-2A8792E79858%7D&GP=820333
delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7BB7B75D1A-84C9-479E-B712-83602FF80FC9%7D&GP=820333
delref HTTP://MAIL.RU/CNT/10445?GP=820323
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\DLYAGTA5\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\POHDEKLPACBPLBLJDKMCCEKIICHICGBA\0.0.0.1_0\MATPRIL
delref %SystemDrive%\USERS\DLYAGTA5\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI\11.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\TJCVLQS.EXE
delall %SystemDrive%\USERS\DLYAGTA5\APPDATA\LOCAL\IC\IC.EXE
delall %SystemDrive%\USERS\DLYAGTA5\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
delall %SystemDrive%\PROGRAMDATA\TORRENT_SEARCH_PED\RUNDLL32.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\DDG.XML
delall %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\MAILRU.XML
delref http://www.mail.ru/cnt/20775012?gp=820313
delref http://zivlingamer.org
deltmp
delnfr
restart

Закройте все браузеры. Запустите UVS под текущим пользователем. В меню: Скрипты---Выполнить из буфера обмена. После перезагрузки выложите лог сканирования Malwarebytes

 

[DanuujI]

Мне пока не удалять программы?

 

[Гризлик]

Все найденое удалить.
Далее выполните чистку в AdwCleaner. После окончания сканирования снимите галочки с записей Yandex (если таковые будут) и нажмите Очистить.
После перезагрузки выложите логи Farbar Recovery Scan Tool

 

[DanuujI]

Посмотри еще адв, там в блокноте написано, что не все удалено. Хотя я везде галочки оставил(где надо)

 

[DanuujI]

Про прогу ,у меня установилась IObit, а в этой папке еще advanced system care 8
Я их хочу удалить, и они вроде не пометились, как опасные. Можно ли сделать это по инструкции из инета? Или вы что-нить напишете?

 

[Гризлик]

Скопируйте код ниже в Блокнот

HKU\S-1-5-21-186933258-2069600751-1745540203-1001\...\Run: [mailruhomesearch] => "C:\Users\DlyaGTA5\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred
HKU\S-1-5-21-186933258-2069600751-1745540203-1001\...\Run: [Advanced SystemCare 8] => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASCTray.exe [2429728 2015-04-08] (IObit)
IFEO\CNC3.exe: [Debugger] 
IFEO\CNC3EP1.exe: [Debugger] 
IFEO\generals.exe: [Debugger] 
IFEO\RA3.exe: [Debugger] 
Tcpip\..\Interfaces\{1f57ec01-9384-4502-bb05-7cb9ba963cfb}: [DhcpNameServer] 7.254.254.254
Tcpip\..\Interfaces\{5f2cbb86-d89f-4f8d-9157-4996c1beb518}: [DhcpNameServer] 7.254.254.254
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll [2016-05-31] (IObit)
FF NetworkProxy: "http", "188.73.172.148"
FF NetworkProxy: "http_port", 3128
FF NetworkProxy: "socks", " 185.17.124.248"
FF NetworkProxy: "socks_port", 13002
FF NetworkProxy: "type", 0
FF Plugin HKU\S-1-5-21-186933258-2069600751-1745540203-1001: @mail.ru/GameCenter -> C:\Users\DlyaGTA5\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=820323
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=820323"
CHR Extension: (MatPril) - C:\Users\DlyaGTA5\AppData\Local\Google\Chrome\User Data\Default\Extensions\pohdeklpacbplbljdkmccekiichicgba [2016-05-31]
R2 AdvancedSystemCareService8; C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASCService.exe [821024 2015-08-05] (IObit)
R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-29] (IObit)
S2 mrupdsrv; "C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe" --s [X]
Task: {58F556EF-2A97-4DC8-A11C-EEDF9C36AAE0} - System32\Tasks\Uninstaller_SkipUac_DlyaGTA5 => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe [2015-05-20] (IObit)
Task: {66088E0E-AEF8-49AE-A8AB-6B247F3C77A4} - \MailRuUpdater -> No File <==== ATTENTION
Task: {7B4449BB-255F-4B34-9A01-7AC440084892} - System32\Tasks\ASC8_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare 8\Monitor.exe [2015-08-12] (IObit)
Task: {C02299CF-5BEE-4958-B9CC-B3E887D75D7C} - \ic -> No File <==== ATTENTION
Task: {EA8FFA7B-18AE-4CA8-B7A9-18F450FE5435} - System32\Tasks\ASC8_SkipUac_DlyaGTA5 => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe [2015-08-17] (IObit)
Task: C:\WINDOWS\Tasks\ASC8_SkipUac_DlyaGTA5.job => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe
Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_DlyaGTA5.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
2016-05-31 07:36 - 2014-10-16 10:26 - 00622880 _____ () C:\Program Files (x86)\IObit\LiveUpdate\ProductStatistics.dll
2016-05-31 07:36 - 2013-01-15 18:48 - 00183616 _____ () C:\Program Files (x86)\IObit\IObit Uninstaller\madBasic_.bpl
2016-05-31 07:36 - 2013-01-15 18:48 - 00348992 _____ () C:\Program Files (x86)\IObit\IObit Uninstaller\madExcept_.bpl
2016-05-31 07:36 - 2013-01-15 18:48 - 00051008 _____ () C:\Program Files (x86)\IObit\IObit Uninstaller\madDisAsm_.bpl
MSCONFIG\startupreg: progaega => C:\Users\Пользователь\AppData\Local\Temp\System\explorer.exe
HKU\S-1-5-21-186933258-2069600751-1745540203-1001\...\StartupApproved\Run: => "Advanced SystemCare 8"
HKU\S-1-5-21-186933258-2069600751-1745540203-1001\...\StartupApproved\Run: => "mailruhomesearch"
EmptyTemp:
Reboot:

Сохраните его как файл fixlist.txt в папку с программой Farbar Recovery Scan Tool. Запустите Farbar Recovery Scan Tool и нажмите Fix.
После чего откроется файл лога fixlog.txt выложите его сюда

 

[DanuujI]

Вот, исчезла mail стартовая страница в гугле

 

[Гризлик]

Что с проблемой?

Про прогу ,у меня установилась IObit, а в этой папке еще advanced system care 8
Я их хочу удалить, и они вроде не пометились, как опасные. Можно ли сделать это по инструкции из инета? Или вы что-нить напишете?

ВЫполните скрипт в UVS

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v388c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE 8\ASC.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE 8\ASCEXTMENU_64.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE 8\ASCSERVICE.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE 8\ASCTRAY.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\LIVEUPDATE\LIVEUPDATE.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE 8\MONITOR.EXE
deldir %SystemDrive%\PROGRAM FILES (X86)\IOBIT
deltmp
delnfr
restart

 

[DanuujI]

По поводу проблемы: эти проги установились без моего ведома, вместе с mail
Это уже после всех действий - После повторного включения компа снизу мелькнул какой-то процесс и страница маил снова появилась как стартовая. (походу вирус с маилом не удалился)
А IObit advanced system care 8 я хочу удалить, но в инете посмотрел, что не так все просто.
Последний скрипт же удаляет только екзешник , а не файлы? UPD: хотя нет, папка с иобит исчезла. Этого достаточно? или надо еще что-то в реестре чистить и т.д

 

[Гризлик]

походу вирус с маилом не удалился

Т.е. на данный момент Майл.ру присутсвует? Если да то выложите новый образ автозапуска (UVS)

или надо еще что-то в реестре чистить и т.д

Этот скрипт реестр от него почистил. Больше ненадо ничего делать.

 

[DanuujI]

Да, теперь только маил остался.

 

[DanuujI]

Я просто глянул через диспетчер автозагрузку, там лончер непонятный, по вот такому пути, как на скрине. Папка создалась сегодня(и вирус сегодня)

 

[Гризлик]

ВЫполните скрипт в UVS

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v388c
OFFSGNSAVE
del C:\USERS\DLYAGTA5\APPDATA\ROAMING\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
delall %SystemDrive%\USERS\DLYAGTA5\APPDATA\ROAMING\SYMANAGER\LAUNCHER.EXE
delall %SystemDrive%\USERS\DLYAGTA5\APPDATA\ROAMING\SYMANAGER\UPDATER\PYTHON\PYTHONW.EXE
delall %SystemDrive%\USERS\DLYAGTA5\APPDATA\ROAMING\SYMANAGER\STUB.EXE
delall %SystemDrive%\USERS\DLYAGTA5\APPDATA\ROAMING\SYMANAGER\UNINSTALL.EXE
deldir  %SystemDrive%\USERS\DLYAGTA5\APPDATA\ROAMING\SYMANAGER
deltmp
delnfr
restart

После перезагрузки проверьте проблему. Если майл остался в браузере то очистите кеш и куки браузера и вручную смените стартовую страницу и поиск.

 

[DanuujI]

Маил больше не появляется

 

[Гризлик]

Хорошо. Тогда выполните http://www.tehnari.ru/f150/t83677/.
И на этом все!

 

[DanuujI]

Спасибо за помощь