Технический форум - Вирусы и реклама

Технический форум (http://www.tehnari.ru/)

- Безопасность (http://www.tehnari.ru/f35/)

- - Вирусы и реклама (http://www.tehnari.ru/f35/t246720/)

Вирусы и реклама

Доброго времени суток. проблема с explorer и chrome. Во всех браузерах поиск mail.ru. В хроме например в настройках стоит поиск гугл пишешь запрос и появляются ответы гугла буквально на секунду и редирект на поиск mail.ru. В расширениях есть какой-то salesbar который невозможно удалить пишет "Установлено в соответствии с корпоративным правилом". проверил Каспером. вирусы удалил. AdwCleaner[C1] проверил и удалил много заразы(лог прикладываю), но только ноль проблема не уходит+ плюс на компе стоит китайский архиватор (kuaizip) который тоже не удаляется. Помогите пожалуйста
вот логи uvs ИВАН-ПК_2016-05-31_01-39-50.7z — RGhost — файлообменник
AdwCleaner AdwCleaner[C1].txt — RGhost — файлообменник

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:



;uVS v3.87.3 [http://dsrt.dyndns.org]

;Target OS: NTv6.1



OFFSGNSAVE

zoo %SystemDrive%\PROGRAM FILES (X86)\REOGICH\REOGICHLAUNCHERSERVICE.EXE

addsgn 1AC5299A5583338CF42B627DA804DEC9E946303A4536D3B4494891985C5D3D6827921123415A2B0D0F888B25639E7BB87DDE9B7FDE9694207AFCD80BCFF58898 8 Trojan.StartPage1.24172 [DrWeb]



;------------------------autoscript---------------------------



chklst

delvir



delref %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\PPTASSIST\ASSISTUPDATE.EXE



delref %SystemDrive%\PROGRAM FILES (X86)\CHEWASHQIGUSP\CHWCONFIGURATIONTASK.EXE



deldirex %SystemDrive%\USERS\ИВАН\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER



delref %SystemDrive%\PROGRAM FILES (X86)\CHEWASHQIGUSP\CHWCONFIGURATIONSERVICE.EXE32



deldirex %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF



deltmp

delnfr

;-------------------------------------------------------------



restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

скрипт не запускается пишет "текст скрипта содержит ошибки, либо не содержит команд uvs, выполнение таких скриптов запрещено" что делать?

Проверил скрипт в программе. вот скрин. видимо вирус в буфере обмена добавляе какие то скрытые символы. Создайте пожалуйста файл со скриптом

Вот сам скрин

Вот скрин экрана.

убрал заглушку в скрипте, пробуйте еще раз его выполнить

Сделал лог malware

Удалите все найденое.
Сделайте чистку в AdwCleaner. После окончания сканирования снимите галочки с записей Mail.ru и Yandex если таковые будут и вы ими пользуетесь. И нажмите Очистить
После перезагрузки выполните и выложите логи Farbar Recovery Scan Tool

Вот логи сделал

Скопируйте код ниже в Блокнот

Код:

ShellExecuteHooks:  - {7AD1C0F5-07A2-40E5-8608-C6EAA0FF362F} - C:\Users\Иван\AppData\Roaming\Microsoft\Windows\Cookies\x64explibss.dll No File [ ]

ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\їмС№\X64\KZipShell.dll [2016-05-27] ()

ShellIconOverlayIdentifiers: [VeriFace Enc] -> {771C7324-DA80-49D3-8017-753B0AF60951} => C:\windows\system32\IcnOvrly.dll [2011-12-21] ()

Tcpip\..\Interfaces\{46BC8709-15D3-4823-B614-B58839B51910}: [DhcpNameServer] 172.168.130.2

FF Homepage: hxxp://mail.ru/cnt/10445?gp=789182

FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7BA8C55295-707E-4C9A-B3D0-E78B380C3685%7D&gp=789233

CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi

R2 KuaizipUpdateChecker; C:\Program Files\їмС№\X86\kuaizipUpdateChecker.dll [219072 2016-05-27] ()

U3 BcmSqlStartupSvc; no ImagePath

U2 CLKMSVC10_3A60B698; no ImagePath

U2 CLKMSVC10_C3B3B687; no ImagePath

U2 DriverService; no ImagePath

U2 IAStorDataMgrSvc; no ImagePath

U2 iATAgentService; no ImagePath

U2 idealife Update Service; no ImagePath

U3 IGRS; no ImagePath

U2 IviRegMgr; no ImagePath

U2 nvUpdatusService; no ImagePath

U2 Oasis2Service; no ImagePath

U2 PCCarerService; no ImagePath

U2 ReadyComm.DirectRouter; no ImagePath

U2 RichVideo; no ImagePath

U2 RtLedService; no ImagePath

U2 SeaPort; no ImagePath

U2 SoftwareService; no ImagePath

U3 SQLWriter; no ImagePath

Task: {08B68DDB-2B8B-471A-BCA5-D02767BFFFF2} - System32\Tasks\KuaiZip_Update => C:\Program Files\їмС№\X86\Update.exe [2016-05-27] (Shanghai Guangle Network Technology Ltd)

Task: {1A0C5BC0-0ADD-4338-BCC6-485F9FF33581} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-05-27] (AVAST Software)

Task: {4FA411DF-D988-4CCD-A629-2EAFA63A1E49} - \ttwifi -> No File <==== ATTENTION

Task: {5EEEF196-B6BD-4806-9197-F5CE642A228A} - \Anqhsttask -> No File <==== ATTENTION

Task: {8D1129CF-34D6-496C-92C8-8BEC494D19FB} - \Anaqatoch Host -> No File <==== ATTENTION

Task: {D488548D-D9B7-4FFB-A770-35FF561C6382} - \Chewashqigusp Configuration -> No File <==== ATTENTION

2016-05-27 09:41 - 2016-05-27 09:41 - 00338368 _____ () C:\Program Files\їмС№\X64\KZipShell.dll

EmptyTemp:

Reboot:

Сохраните его как файл fixlist.txt в папку откуда запускали Farbar Recovery Scan Tool. Запустите Farbar Recovery Scan Tool и нажмите Fix.
После чего откроется файл лога fixlog.txt выложите его сюда

П.С.
У вас есть остатки антивирусов Аваст и DrWeb в системе. Зачистите их с помощью спец утилит DrWeb и Аваст