Здравствуйте! Еще неделю назад схватил вирусы, которые устанавливали программы и добавили в chrome стартовую страницу smartinf. Пытался решить это самостоятельно, и сначала вроде все было исправлено, но буквально вчера стали "самоудаляться" некоторые программы (такие как Advanced SystemCare, Uninstaller, Media Player Classic), причем при восстановлении программы она удаляется снова при каждой перезагрузке системы, также при каждом новом входе в систему на рабочем столе появляется ярлык Yandex, прописанный в C:\Users\Serega\AppData\Local\Yandex\YandexBrowser\Application. Пожалуйста, помогите!

Здравствуйте!

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. (http://forum.oszone.net/thread-98169.html)

Все сделано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 6
SmartAdverts for Google Chrome™


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в AVZ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
QuarantineFile('C:\Users\Serega\AppData\Local\Microsoft\Extensions\extsetup.exe','');
QuarantineFile('C:\Users\Serega\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
DeleteFile('C:\Users\Serega\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
DeleteFile('C:\Users\Serega\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','32');
DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','32');
DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run ','SafeBrowser');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.



Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

quarantine.zip отправил на форму, но после выполнения первого скрипта при входе в систему всплывает "DivXMediaServer.exe - Системная ошибка" с текстом: "Запуск программы невозможен, так как на компьютере отсутствует QtCore4.dll. Попробуйте переустановить программу". Затем всплывает окно "DivXLaucher error" с текстом: "Missing DivXMain DLL: C:\Program Files\DivX\DivX Media Server\DivXMediaServer.dll Не найден указанный модуль". После закрытия этих окон система перезагружается.

Прикрепляю отчеты FRST:

Shortcut:

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Serega\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-06-08]
Task: {2DD5F339-5423-4E91-8CC4-CE7E8B0ABEBC} - \Microsoft\Windows\extsetup No Task File <==== ATTENTION
Task: {A6C13C46-81D5-46D3-A5E6-0E2070A5E220} - \Safebrowser No Task File <==== ATTENTION
Task: {D6A9AEE0-2E7C-4B0F-967C-361E2DAF01F4} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service No Task File <==== ATTENTION
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

Расширения

SocialLife for Firefox™
SocialLife Suit for Google Chrome™

Вам знакомы?

РасширенияSocialLife for Firefox™
SocialLife Suit for Google Chrome™ не знакомы, по-прежнему при загрузке системы появляются окна ошибок DivX.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
start
CreateRestorePoint:
FF Extension: SocialLife for Firefox™ - C:\Users\Serega\AppData\Roaming\Mozilla\Firefox\Profiles\1455dbr8.default\Extensions\slext@sl.dev [2015-06-08]
FF Extension: No Name - C:\Users\Serega\AppData\Roaming\Mozilla\Firefox\Profiles\1455dbr8.default\extensions\metabar_toolbar 32132@metabar.ru [not found]
FF Extension: No Name - C:\Users\Serega\AppData\Roaming\Mozilla\Firefox\Profiles\1455dbr8.default\extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [not found]
FF Extension: No Name - C:\Users\Serega\AppData\Roaming\Mozilla\Firefox\Profiles\1455dbr8.default\extensions\{7b6de06c-7013-4a87-957e-d27d7b977d21} [not found]
FF Extension: No Name - C:\Users\Serega\AppData\Roaming\Mozilla\Firefox\Profiles\1455dbr8.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
CHR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Serega\AppData\Local\Google\Chrome\User Data\Default\Extensions\akimgimeeoiognljlfchpbkpfbmeapkh [2015-06-08]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Serega\AppData\Roaming\Opera Software\Opera Stable\Extensions\akimgimeeoiognljlfchpbkpfbmeapkh [2015-06-08]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Serega\AppData\Roaming\Opera Software\Opera Stable\Extensions\denjcdefjebbmlihdoojnebochnkgcin [2015-06-08]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Serega\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-06-08]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Serega\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-06-08]
2015-06-08 03:15 - 2015-06-08 19:53 - 0000000 _____ () C:\Users\Serega\AppData\Roaming\smw_inst
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

Skype Click to Call 0 рекомендую удалить, в том числе и расширение из огнелиса. Подробней про эту программу можете почитать здесь (http://safezone.cc/threads/kak-sdelat-samyj-bolshoj-telefonnyj-spravochnik.25023/).


Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
start
CreateRestorePoint:
Google Update Helper (Version: 1.3.23.0 - BonanzaDeals) Hidden <==== ATTENTION
Google Update Helper (Version: 1.3.27.5 - Google Inc.) Hidden
swMSM (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
Task: {2DD5F339-5423-4E91-8CC4-CE7E8B0ABEBC} - \Microsoft\Windows\extsetup No Task File <==== ATTENTION
Task: {68A953E2-1936-42FA-B740-B4F90FE319EA} - System32\Tasks\extsetup => C:\Users\Serega\AppData\Local\Microsoft\Extensions\extsetup.exe
Task: {A6C13C46-81D5-46D3-A5E6-0E2070A5E220} - \Safebrowser No Task File <==== ATTENTION
Task: {D6A9AEE0-2E7C-4B0F-967C-361E2DAF01F4} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service No Task File <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-2221669110-2975636097-3889922989-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File


EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

Sandor, прикрепляю лог-файл

regist, можно поподробнее про Click to call и расширения файерфокса и как их удалить

про Click to call »
есть в списке установленных программ. Удалите штатным способом через Панель управления - Удаление программ.

Как отключить расширения FF (https://support.mozilla.org/ru/kb/udalenie-dopolnenij)

Спасибо за помощь, вроде все теперь нормально работает, AVZ ничего вредоносного не находит, только adwcleaner находит в реестре какой-то HKLM\SOFTWARE\DeviceVM и он не исправляется, что это может быть?
Еще в списке программ в "программах и компонентах" у некоторых программ исчезли ярлычки, хотя сами программы работают, подскажите, пожалуйста, как это можно исправить.

Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

AdwCleaner[S2].txt также прикрепите.

Высылаю логи и Adwcleaner[S2].txt

Выполните скрипт в AVZ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteRepair(14);
RebootWindows(false);
end.



Компьютер перезагрузится.

стали "самоудаляться" некоторые программы »
Это еще продолжается?

Это еще продолжается? нет, сейчас все нормально работает, большое спасибо за помощь.