Технический форум - Амиго, 360 антивирус, "кинопоиск" кнопка

Технический форум (http://www.tehnari.ru/)

Амиго, 360 антивирус, "кинопоиск" кнопка

Логи:
- uvs_latest
- avz

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:



;uVS v3.87.4 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

OFFSGNSAVE

zoo %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\MGASSIST.EXE

addsgn 1A77729A5583208FF42B25B1E5F07176486A88F5BA3ADC91A5C5C5BC3AC219B4C057C3BFA6519D49A8E5789FB95B59824754A57A7E97BCA5607F5B7AD3EDCFF8 8 Win32/Adware.Mobogenie



zoo %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE

addsgn 9252771A1C6AC1CC0B44584EA34FAA522F8ACF3FC13348FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Win32/Filecoder.NBJ [ESET-NOD32]



;------------------------autoscript---------------------------



sreg



chklst

delvir



delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL

del %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL



delref %LOCALAPPDATA%\SWEETLABS APP PLATFORM\ENGINE\SERVICEHOSTAPPUPDATER.EXE

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\NPHTML5LOC.DLL

del %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\NPHTML5LOC.DLL



delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

deldirex %SystemDrive%\USERS\ASUS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER



delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC



delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC



delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHDPGLLBNILFCBCKBDCHJCFGOPIJGLLCM%26INSTALLSOURCE%3DONDEMAND%26UC



delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC



delref %SystemDrive%\PROGRAM FILES (X86)\ALTERGEO\HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE

del %SystemDrive%\PROGRAM FILES (X86)\ALTERGEO\HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE



deldirex %SystemDrive%\PROGRAM FILES (X86)\BROWSER TAB SEARCH BY ASK\SAFETYNUT\X64



deldirex %SystemDrive%\PROGRAM FILES (X86)\BROWSER TAB SEARCH BY ASK\SAFETYNUT



delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.15.0_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE

del %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE



delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\SWEETLABS APP PLATFORM\ENGINE\SERVICEHOSTAPPUPDATER.EXE

del %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\SWEETLABS APP PLATFORM\ENGINE\SERVICEHOSTAPPUPDATER.EXE



delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\SWEETLABS APP PLATFORM\ENGINE\SERVICEHOSTAPP.EXE

del %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\SWEETLABS APP PLATFORM\ENGINE\SERVICEHOSTAPP.EXE



delref %LOCALAPPDATA%\SWEETLABS APP PLATFORM\ENGINE\SERVICEHOSTAPP.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE



deldirex %SystemDrive%\USERS\ASUS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE



regt 27

; McAfee Security Scan Plus

exec C:\Program Files\McAfee Security Scan\uninstall.exe

; Mobogenie

exec  C:\Program Files (x86)\Mobogenie\uninst.exe

deltmp

delnfr

areg



;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

Лог(результат) MWBT:
Интересное сообщение:

Цитата:

Набранное вами сообщение слишком короткое. Увеличьте ваше сообщение до 10 символов.

это сами добавили в систему, в автозапуск?

Цитата:

PUP.Optional.RAAmmyy, C:\Users\asus\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\AA_v3.4.exe, , [0f40f976d2c8ee484361e0efb3519e62],

если да, то оставьте, остальное все найденное в малваребайт удаляем,

перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

Логи на AdwCleaner, FRST:

по FRST нужен основной лог. frst.txt

addition.txt - это дополнительный лог

Лог FRST(резульлтат)
Прошу прощения, запамятовал

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

GroupPolicy-x32: Restriction - Chrome <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

Toolbar: HKU\S-1-5-21-2545119849-4086282695-4057928630-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File

FF Extension: (BonusBerry: helps to save money!) - C:\Users\asus\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{A06E9184-65B3-490A-AF63-E1EC0C4A3307} [2014-12-09] [not signed]

CHR Extension: (BonusBerry: помогает экономить!) - C:\Users\asus\AppData\Local\Google\Chrome\User Data\Default\Extensions\iffdplkiijdjejhgkcfnopnfdnlnhhlp [2014-12-09]

OPR Extension: (No Name) - C:\Users\asus\AppData\Roaming\Opera Software\Opera Stable\Extensions\iffdplkiijdjejhgkcfnopnfdnlnhhlp [2014-12-09]

EmptyTemp:

Reboot:

FRST - log (результат)

закрываем уязвимости, обновляем программы, наблюдаем за проблемой
http://www.tehnari.ru/f150/t83677/