Решена 100% загрузка процессора, до 5-ти вкладок в Mozilla всплывающей рекламы..

Статус
В этой теме нельзя размещать новые ответы.

Razey

Ветеран
Сообщения
709
Реакции
31
Баллы
508
Здравствуйте!

Есть подопечный, ноутбук достаточно древний (5-7 лет), но еще могущий что-то...
Антивирус (Comodo Internet Security) перестал работать (не хочет запускаться, возможно, его "пожрали" зловреды), а хозяйка не очень-то в этом понимает... Обратилась тогда, когда "сильно начало тормозить"... Почти все время 100% загрузка процессора, до 5-ти вкладок всплывающей рекламы в Mozilla (а также в IE и Chromodo). Не открываются некоторые сайты... Прошу посмотреть. Логи во вложении.
 

Вложения

  • CollectionLog-2016.12.07-21.07.zip
    104.4 KB · Просмотры: 6

Razey

Ветеран
Сообщения
709
Реакции
31
Баллы
508
Здравствуйте еще раз! Хочу напомнить про свои логи...
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,680
Баллы
843
Деинсталлируйте полностью Comodo, он мешает нашим утилитам сбора лога, скачайте Autologger заново и сделайте новый комплект логов
+ деинсталлируйте данные программы:

hd task [2016/11/16 10:38:59]-->"C:\ProgramData\hdtask\uninstall.exe"
ScreenUp [2015/11/17 10:41:02]-->C:\Program Files\ScreenUp\uninst.exe
Video and Audio Plugin UBar [20161116]-->C:\Program Files\UBar\UbarUninstaller.exe
Zaxar Games Browser 4 [20161116]-->"C:\Program Files\Zaxar\unins000.exe"
 

Razey

Ветеран
Сообщения
709
Реакции
31
Баллы
508
Здравствуйте!

Выполнено. Программы удалены, логи во вложении.
 

Вложения

  • CollectionLog-2016.12.14-09.59.zip
    100.2 KB · Просмотры: 4

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,680
Баллы
843
Выполните скрипт в AVZ

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\users\Дом\appdata\roaming\vdi\shared\product updater\monhost.exe');
TerminateProcessByName('c:\users\Дом\appdata\local\villabase.exe');
TerminateProcessByName('c:\programdata\logic handler\set.exe');
TerminateProcessByName('c:\programdata\ronzap\ronzap.exe');
TerminateProcessByName('c:\users\Дом\appdata\roaming\vdi\shared\product updater\produpd.exe');
TerminateProcessByName('c:\program files\obnovi soft\obnovisoft.exe');
TerminateProcessByName('c:\programdata\networkpacketmanitor\nettrans.exe');
SetServiceStart('Ronzap', 4);
StopService('Ronzap');
SetServiceStart('pupducteraupdatedown', 4);
StopService('pupducteraupdatedown');
SetServiceStart('Nettrans', 4);
StopService('Nettrans');
SetServiceStart('BitTorrent', 4);
StopService('BitTorrent');
SetServiceStart('backlh', 4);
StopService('backlh');
QuarantineFile('c:\users\Дом\appdata\local\amigo\application\amigo.exe','');
QuarantineFile('C:\Users\Дом\AppData\Local\Hostinstaller\2791001606_monster.exe','');
QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\Strongplus','');
QuarantineFile('C:\Users\Дом\AppData\Local\rightchose\regCheck.vbs','');
QuarantineFile('C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\monhost.exe','');
QuarantineFile('C:\Users\Дом\AppData\Local\ValidateLife\regCheck.vbs','');
QuarantineFile('C:\Users\Дом\AppData\Local\LastNews\regCheck.vbs','');
QuarantineFile('C:\ProgramData\Ronzap\Transis.dll','');
QuarantineFile('C:\Users\Дом\AppData\Local\ImmediateHelp\regCheck.vbs','');
QuarantineFile('C:\Users\Дом\AppData\Local\TestMenu\regCheck.vbs','');
QuarantineFile('C:\Program Files\Obnovi Soft\ObnoviSoft.exe','');
QuarantineFile('C:\Users\Дом\AppData\Local\FileSystemOptions\regCheck.vbs','');
QuarantineFile('C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\produpd.exe','');
QuarantineFile('C:\Users\Дом\AppData\Roaming\PBot\launchall.py','');
QuarantineFile('C:\ProgramData\hdtask\hdtask.exe','');
QuarantineFile('C:\Users\Дом\AppData\Local\FilterOptions\regCheck.vbs','');
QuarantineFile('C:\Users\Дом\AppData\Local\DateOption\regCheck.vbs','');
QuarantineFile('C:\ProgramData\Ronzap\Ronzap.exe','');
QuarantineFile('C:\Users\Дом\AppData\Local\Villabase.exe','');
QuarantineFile('C:\ProgramData\NetworkPacketManitor\Nettrans.exe','');
QuarantineFile('C:\Program Files\BitTorrent\BitTorrent.exe','');
QuarantineFile('C:\ProgramData\Logic Handler\set.exe','');
QuarantineFile('c:\users\Дом\appdata\local\villabase.exe','');
QuarantineFile('c:\programdata\logic handler\set.exe','');
QuarantineFile('c:\programdata\ronzap\ronzap.exe','');
QuarantineFile('c:\users\Дом\appdata\roaming\vdi\shared\product updater\produpd.exe','');
QuarantineFile('c:\program files\obnovi soft\obnovisoft.exe','');
QuarantineFile('c:\programdata\networkpacketmanitor\nettrans.exe','');
QuarantineFile('c:\users\Дом\appdata\roaming\vdi\shared\product updater\monhost.exe','');
DeleteFile('c:\users\Дом\appdata\roaming\vdi\shared\product updater\monhost.exe','32');
DeleteFile('c:\programdata\networkpacketmanitor\nettrans.exe','32');
DeleteFile('c:\program files\obnovi soft\obnovisoft.exe','32');
DeleteFile('c:\users\Дом\appdata\roaming\vdi\shared\product updater\produpd.exe','32');
DeleteFile('c:\programdata\ronzap\ronzap.exe','32');
DeleteFile('c:\programdata\logic handler\set.exe','32');
DeleteFile('c:\users\Дом\appdata\local\villabase.exe','32');
DeleteFile('C:\ProgramData\Logic Handler\set.exe','32');
DeleteFile('C:\Program Files\BitTorrent\BitTorrent.exe','32');
DeleteFile('C:\ProgramData\NetworkPacketManitor\Nettrans.exe','32');
DeleteFile('C:\Users\Дом\AppData\Local\Villabase.exe','32');
DeleteFile('C:\ProgramData\Ronzap\Ronzap.exe','32');
DeleteFile('C:\Users\Дом\AppData\Local\DateOption\regCheck.vbs','32');
DeleteFile('C:\Users\Дом\AppData\Local\FilterOptions\regCheck.vbs','32');
DeleteFile('C:\ProgramData\hdtask\hdtask.exe','32');
DeleteFile('C:\Users\Дом\AppData\Roaming\PBot\launchall.py','32');
DeleteFile('C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\produpd.exe','32');
DeleteFile('C:\Users\Дом\AppData\Local\FileSystemOptions\regCheck.vbs','32');
DeleteFile('C:\Program Files\Obnovi Soft\ObnoviSoft.exe','32');
DeleteFile('C:\Users\Дом\AppData\Local\TestMenu\regCheck.vbs','32');
DeleteFile('C:\Users\Дом\AppData\Local\ImmediateHelp\regCheck.vbs','32');
DeleteFile('C:\ProgramData\Ronzap\Transis.dll','32');
DeleteFile('C:\Users\Дом\AppData\Local\LastNews\regCheck.vbs','32');
DeleteFile('C:\Users\Дом\AppData\Local\ValidateLife\regCheck.vbs','32');
DeleteFile('C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\monhost.exe','32');
DeleteFile('C:\Users\Дом\AppData\Local\rightchose\regCheck.vbs','32');
DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Local\Strongplus','32');
DeleteFile('C:\Windows\system32\Tasks\rkdownilad','32');
DeleteFile('C:\Users\Дом\AppData\Local\Hostinstaller\2791001606_monster.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
DeleteFile('C:\Windows\system32\Tasks\{C6B1817F-F7E3-4A3E-A512-8B1DB58669CE}','32');
DeleteFile('c:\users\Дом\appdata\local\amigo\application\amigo.exe','32');
ExecuteFile('schtasks.exe', '/delete /TN "{C6B1817F-F7E3-4A3E-A512-8B1DB58669CE}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "rkdownilad" /F', 0, 15000, true);
DeleteService('Ronzap');
DeleteService('Nettrans');
DeleteService('pupducteraupdatedown');
DeleteService('BitTorrent');
DeleteService('backlh');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hdtask');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','produpd');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Обнови Софт');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','shell');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Запустите HijackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\)
Нажмите кнопку "Do a system scan only"
В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix сhecked".
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0Vgq8a7Ak3DYSkvYJdHFyVQMBajyQVKwIWEFSQyrZP0nA4rjVeFdQ-bMRGzndsEzEc7TZuTXNGNF0Si4x
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0VgbR9rPLZvnk1J7IiqxmVuVzUggjigG5-3Ibii6J2erRKyLjHCFGHUlaw6stK-x6k36kSSM4zIX20D8xLpZtRmtrnrkS
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0Vgq8a7Ak3DYSkvYJdHFyVQMBajyQVKwIWEFSQyrZP0nA4rjVeFdQ-bMRGzndsEzEc7TZuTXNGNF0Si4x
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.linkzb.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0Vgq8a7Ak3DYSkvYJdHFyVQMBajyQVKwIWEFSQyrZP0nA4rjVeFdQ-bMRGzndsEzEc7TZuTXNGNF0Si4xR4GXQCsmV_RV&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0Vgq8a7Ak3DYSkvYJdHFyVQMBajyQVKwIWEFSQyrZP0nA4rjVeFdQ-bMRGzndsEzEc7TZuTXNGNF0Si4xR4GXQCsmV_RV&q={searchTerms}
O1 - Hosts: 127.0.0.1 down.baidu2016.com
O1 - Hosts: 127.0.0.1 123.sogou.com
O1 - Hosts: 127.0.0.1 www.czzsyzgm.com
O1 - Hosts: 127.0.0.1 www.czzsyzxl.com
O1 - Hosts: 127.0.0.1 union.baidu2019.com
O4 - HKCU\..\Policies\Explorer\Run: [LastNews] C:\Users\Дом\AppData\Local\LastNews\regCheck.vbs www.snowyear.xyz/?rnd=133 0 2400000
O4 - HKCU\..\Policies\Explorer\Run: [ValidateLife] C:\Users\Дом\AppData\Local\ValidateLife\regCheck.vbs www.hitopup.xyz/?rnd=133 0 4200000
O4 - HKCU\..\Run: [FileSystemOptions] C:\Users\Дом\AppData\Local\FileSystemOptions\regCheck.vbs www.minipigping.com/?rnd=133 0 1200000
O4 - HKCU\..\Run: [PBot] "C:\Users\Дом\AppData\Roaming\PBot\python\pythonw.exe" "C:\Users\Дом\AppData\Roaming\PBot\launchall.py"
O4 - HKCU\..\Run: [hdtask] "C:\ProgramData\hdtask\hdtask.exe"
O4 - HKCU\..\Run: [produpd] "C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\produpd.exe" /20431x7405
O4 - HKCU\..\Run: [Обнови Софт] "C:\Program Files\Obnovi Soft\ObnoviSoft.exe" -startup
O4 - HKLM\..\Policies\Explorer\Run: [ImmediateHelp] C:\Users\Дом\AppData\Local\ImmediateHelp\regCheck.vbs www.2road.xyz/?rnd=133 0 3600000
O4 - HKLM\..\Policies\Explorer\Run: [TestMenu] C:\Users\Дом\AppData\Local\TestMenu\regCheck.vbs www.testmenu.xyz/?rnd=133 0 1800000
O4 - HKLM\..\Run: [DateOption] C:\Users\Дом\AppData\Local\DateOption\regCheck.vbs www.syschecksync.com/?rnd=133 0 0
O4 - HKLM\..\Run: [FilterOptions] C:\Users\Дом\AppData\Local\FilterOptions\regCheck.vbs www.regtestproc.com/?rnd=133 0 600000
O4 - MSConfig\startupreg:  [Auto]  (2014/12/08) (no file)
O4 - MSConfig\startupreg:  [Sbnknc]  (2014/12/08) (no file)
O4 - MSConfig\startupreg:  [SystemScript]  (2014/12/08) (no file)
O4 - MSConfig\startupreg:  [amigo]  (2014/12/08) (no file)
O4 - MSConfig\startupreg:  [configuration]  (2014/12/08) (no file)
O4 - MSConfig\startupreg:  [mobilegeni daemon]  (2013/10/10) (no file)
O4 - User Startup: monhost.lnk    ->    C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\monhost.exe
O4 - User Startup: regCheck.lnk    ->    C:\Users\Дом\AppData\Local\rightchose\regCheck.vbs
O20 - AppInit_DLLs: C:\ProgramData\Ronzap\Transis.dll
O22 - ScheduledTask: (Ready) PBot - {root} - C:\Users\Дом\AppData\Roaming\PBot\python\pythonw.exe app.py
O22 - ScheduledTask: (Ready) Soft installer - {root} - "C:\Users\Дом\AppData\Local\Hostinstaller\2791001606_monster.exe" subid=0;scheduler=1
O22 - ScheduledTask: (Ready) rkdownilad - {root} - C:\Windows\system32\config\systemprofile\AppData\Local\Strongplus /t 5738 5774

Скачайте и распакуйте из архива программу ClearLNK.exe

Перетащите файл-отчет...\AutoLogger\CheckBrowserLnk\Check_Browsers_LNK.log на файл программы.

move.gif


ВНИМАНИЕ: Приложите в теме, где Вам оказывают помощь, отчет ClearLNK-<Дата>.log, который будет создан в папке LOG рядом с программой.
Если отчет слишком большой, упакуйте его в архив формата ZIP.


Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
 

Razey

Ветеран
Сообщения
709
Реакции
31
Баллы
508
Здравствуйте!

Скрипт AVZ выполнен, найденное (но не все, части не было) пофиксено, логи новые во вложении, карантин на почту отправлен
 

Вложения

  • ClearLNK-14.12.2016_23-04.log
    3.4 KB · Просмотры: 1
  • CollectionLog-2016.12.15-00.11.zip
    71.6 KB · Просмотры: 3

Razey

Ветеран
Сообщения
709
Реакции
31
Баллы
508
Выполнено. лог во вложении.
 

Вложения

  • AdwCleaner[S0].txt
    11.4 KB · Просмотры: 1

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,680
Баллы
843
Советую додеинсталлировать:

Chromodo [2016/12/14 12:25:47]-->"C:\Program Files\Comodo\Chromodo\uninstall.exe"
GeekBuddy [2016/10/27 11:09:15]-->C:\Windows\system32\msiexec.exe /i {5C088B2F-EE22-4F16-AA45-9D99E9E02711}
Hamster PDF Reader 2.0.0.27 [20161208]-->"C:\Program Files\Hamster Soft\Hamster PDF Reader\unins000.exe"
Кнопка "Яндекс" на панели задач [2016/12/08 11:44:16]-->C:\Users\Дом\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned
Менеджер браузеров [2016/12/08 11:51:15]-->"C:\Users\Дом\AppData\Local\Package Cache\{a7c1813c-6b3f-480b-96d6-eafe9f12caac}\BrowserManagerInstaller.exe" /uninstall
Менеджер браузеров [20161208]-->MsiExec.exe /X{36E317A1-1384-4FC5-92CD-D4731B651859}
Обнови Софт [2016/12/08 11:14:33]-->C:\Program Files\Obnovi Soft\uninstall.exe
Служба автоматического обновления программ [2016/11/16 10:37:02]-->C:\Users\Дом\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall

Далее удалите все найденное в AdwCleaner по этой инструкции: http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/#post-157088

Лог C:\AdwCleaner\AdwCleaner[C1].txt. прикрепите.

подготовьте логи FRST: http://safezone.cc/threads/kak-podgotovit-log-farbar-recovery-scan-tool.17759/
 

Razey

Ветеран
Сообщения
709
Реакции
31
Баллы
508
Здравствуйте!

Программы деинсталлировал, логи во вложении.

Лог AdwCleaner'a C1 не нашел, прикрепил то, что нашел...
 

Вложения

  • AdwCleaner[C0].txt
    12 KB · Просмотры: 1
  • AdwCleaner[S1].txt
    11.5 KB · Просмотры: 0
  • Addition.txt
    37.3 KB · Просмотры: 2
  • FRST.txt
    50.8 KB · Просмотры: 1
  • Shortcut.txt
    113.9 KB · Просмотры: 0

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,680
Баллы
843
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.
FRST_move.png

Cкопируйте в него текст из окна "код" ниже и сохраните.

Код:
start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
HKU\S-1-5-21-3326964963-3196463299-1342001486-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0VgbR9rPLZvnk1J7IiqxmVuVzUggjigG5-3Ibii6J2erRKyLjHCFGHUlaw6stK-x6k36kSSM4zIX20D8xLpZtRmtrnrkS
SearchScopes: HKLM -> DefaultScope value is missing
SearchScopes: HKU\S-1-5-21-3326964963-3196463299-1342001486-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0Vgq8a7Ak3DYSkvYJdHFyVQMBajyQVKwIWEFSQyrZP0nA4rjVeFdQ-bMRGzndsEzEc7TZuTXNGNF0Si4xR4GXQCsmV_RV&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3326964963-3196463299-1342001486-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Homepage: Mozilla\Firefox\Profiles\a2l0aot2.default -> hxxp://mail.ru/cnt/10445?gp=811001
FF Extension: (The Safe Surfing) - C:\Users\Дом\AppData\Roaming\Mozilla\Firefox\Profiles\a2l0aot2.default\Extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2015-11-24] [not signed]
FF Extension: (Global Stat) - C:\Users\Дом\AppData\Roaming\Mozilla\Firefox\Profiles\a2l0aot2.default\Extensions\{98538934-3027-1265-953f-95936ac8736f}.xpi [2016-11-23] [not signed]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\config-prefs.js [2016-12-06]
CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fcgnigmofekcllgbiejhmigggmgehkip] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (Tampermonkey) - C:\Users\Дом\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-11-23]
OPR Extension: (The Safe Surfing) - C:\Users\Дом\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2015-09-17]
NETSVC: KBDMAI -> no filepath.
NETSVC: d3dadapter -> no filepath.
NETSVC: ir16_32 -> no filepath.
NETSVC: wlanmgr -> no filepath.
2016-12-14 16:46 - 2016-12-14 16:46 - 00000000 ____D C:\Program Files\Common Files\32t14jlw
2016-12-14 15:46 - 2016-12-14 15:46 - 00000000 ____D C:\Program Files\Common Files\o0qfkpze
2016-12-14 14:46 - 2016-12-14 14:46 - 00000000 ____D C:\Program Files\Common Files\ww01m4nd
2016-12-14 13:46 - 2016-12-14 13:46 - 00000000 ____D C:\Program Files\Common Files\2pglxkbn
2016-12-14 12:46 - 2016-12-14 12:46 - 00000000 ____D C:\Program Files\Common Files\loxeasfd
2016-12-14 11:46 - 2016-12-14 11:46 - 00000000 ____D C:\Program Files\Common Files\krpwwdxc
2016-12-14 10:46 - 2016-12-14 10:46 - 00000000 ____D C:\Program Files\Common Files\4imxqiko
2016-12-14 09:46 - 2016-12-14 09:46 - 00000000 ____D C:\Program Files\Common Files\ci5xo3oc
2016-12-14 08:46 - 2016-12-14 08:46 - 00000000 ____D C:\Program Files\Common Files\ujvvi00x
2016-12-14 08:19 - 2016-12-14 08:19 - 00000000 ____D C:\Program Files\Common Files\egj4digh
2016-12-09 10:02 - 2016-12-09 10:02 - 00000000 ____D C:\Program Files\Common Files\24badixh
2016-12-08 17:47 - 2016-12-08 17:47 - 00000000 ____D C:\Program Files\Common Files\1cmucipu
2016-12-08 15:48 - 2016-12-08 15:48 - 00000000 ____D C:\Program Files\Common Files\i1irnm5p
2016-12-08 10:41 - 2016-12-08 10:41 - 00000000 ____D C:\Program Files\Common Files\0jslc1qa
2016-12-08 09:40 - 2016-12-08 09:40 - 00000000 ____D C:\Program Files\Common Files\wv2bw1po
2016-12-08 08:39 - 2016-12-08 08:39 - 00000000 ____D C:\Program Files\Common Files\z2xpqaya
2016-12-08 07:42 - 2016-12-08 07:42 - 00000000 ____D C:\Program Files\Common Files\cot0vmci
2016-12-08 06:43 - 2016-12-08 06:43 - 00000000 ____D C:\Program Files\Common Files\b4dkjmal
2016-12-08 05:38 - 2016-12-08 05:38 - 00000000 ____D C:\Program Files\Common Files\r4y2ya1n
2016-12-08 04:37 - 2016-12-08 04:37 - 00000000 ____D C:\Program Files\Common Files\pyfzmh4w
2016-12-08 03:38 - 2016-12-08 03:38 - 00000000 ____D C:\Program Files\Common Files\gi0oopln
2016-12-08 02:38 - 2016-12-08 02:38 - 00000000 ____D C:\Program Files\Common Files\4hy22jqe
2016-12-08 01:38 - 2016-12-08 01:38 - 00000000 ____D C:\Program Files\Common Files\nifmk13b
2016-12-08 00:37 - 2016-12-08 00:37 - 00000000 ____D C:\Program Files\Common Files\ba4tt2s1
2016-12-07 23:34 - 2016-12-07 23:34 - 00000000 ____D C:\Program Files\Common Files\jhf42sly
2016-12-07 22:31 - 2016-12-07 22:31 - 00000000 ____D C:\Program Files\Common Files\uwnu4clc
2016-12-07 21:30 - 2016-12-07 21:30 - 00000000 ____D C:\Program Files\Common Files\ckfpoguh
2016-11-30 11:19 - 2016-11-30 11:19 - 00000000 ____D C:\Program Files\Common Files\gkj5xakv
2016-11-30 10:19 - 2016-11-30 10:19 - 00000000 ____D C:\Program Files\Common Files\bgulzvcr
2016-11-29 15:08 - 2016-11-29 15:08 - 00000000 ____D C:\Program Files\Common Files\iisigcly
2016-11-29 14:08 - 2016-11-29 14:08 - 00000000 ____D C:\Program Files\Common Files\emzgw5ix
2016-11-24 14:19 - 2016-11-24 14:19 - 00000000 ____D C:\Program Files\Common Files\poawthg3
2016-12-16 06:47 - 2016-03-31 11:33 - 00000000 ____D C:\Program Files\Common Files\COMODO
2016-12-16 06:47 - 2015-09-02 07:02 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo
2016-12-16 06:47 - 2015-09-02 07:01 - 00000000 ____D C:\Program Files\Comodo
2016-12-16 06:38 - 2014-12-04 10:47 - 00000000 ____D C:\Users\Дом\AppData\Local\Comodo
2016-12-14 17:44 - 2016-11-16 10:40 - 00000000 ____D C:\Users\Дом\AppData\Roaming\PBot
2016-12-14 08:29 - 2015-09-02 07:00 - 00000000 ____D C:\Users\Все пользователи\Comodo
2016-12-14 08:29 - 2015-09-02 07:00 - 00000000 ____D C:\ProgramData\Comodo
2016-12-14 08:17 - 2016-11-16 10:44 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-12-14 08:17 - 2016-11-16 10:44 - 00000000 ____D C:\ProgramData\ProductData
2016-11-23 13:56 - 2016-11-16 10:45 - 00000000 ____D C:\Users\Дом\AppData\Roaming\ProductData
C:\Users\Дом\AppData\Local\Temp\ccav_installer.exe
C:\Users\Дом\AppData\Local\Temp\csgSetBsr32.dll
C:\Users\Дом\AppData\Local\Temp\downloader.exe
C:\Users\Дом\AppData\Local\Temp\EK9QF1CPZJV.exe
C:\Users\Дом\AppData\Local\Temp\libeay32.dll
C:\Users\Дом\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Дом\AppData\Local\Temp\msvcr120.dll
C:\Users\Дом\AppData\Local\Temp\nsm389D.exe
C:\Users\Дом\AppData\Local\Temp\sqlite3.dll
C:\Users\Дом\AppData\Local\Temp\YandexWorking.exe
C:\Users\Дом\AppData\Local\Temp\{D4598420-6BD5-4BD4-90FD-ABD38A9619A6}.exe
C:\Users\Дом\AppData\Local\Temp\{E30B0031-27C5-455E-9B15-CDF231A070AA}.exe
AlternateDataStreams: C:\Windows\system32\HP1100LM.DLL:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\HP1100SM.EXE:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\HP1100SMs.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\HPSIsvc.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\mvusbews.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\Drivers\mvusbews.sys:$CmdTcID [64]
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 

Razey

Ветеран
Сообщения
709
Реакции
31
Баллы
508
Выполнено! Fixlog.txt во вложении.
 

Вложения

  • Fixlog.txt
    15.5 KB · Просмотры: 1

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,680
Баллы
843
Что с проблемами?

Поставьте клиенту антивирус (Comodo не рекомендую, все-таки продукт больше для гиков, да и со стабильностью у него не очень)

На выбор:

От таких программ, как

Advanced SystemCare 8 (HKLM\...\Advanced SystemCare 8_is1) (Version: 8.4.0 - IObit)

тоже толку особо нет.

Вот тут и тут про оптимизаторы подробно расписано.

Подготовьте лог SecurityCheck by glax24
 

Razey

Ветеран
Сообщения
709
Реакции
31
Баллы
508
Выполнено... Лог во вложении.
 

Вложения

  • SecurityCheck.txt
    10.4 KB · Просмотры: 1

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,680
Баллы
843
Исправляйте обновляйте:

TeamViewer 12 v.12.0.71503 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.40728.0 Внимание! Скачать обновления
Skype 5.6.0.110
Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления
^Необязательное обновление.^

SnapDo v.1.0.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


Последнюю тоже деинсталлируйте.

И читайте: http://safezone.cc/threads/rekomendacii-posle-udalenija-vredonosnogo-po.16715/
 

Razey

Ветеран
Сообщения
709
Реакции
31
Баллы
508
Удалил Comodo, поставил Avast по вашей ссылке, но в связи с этим вопрос: надо ли дополнительномк Avast активировать встроенный в ОС файерволл или ставить сторонний? А так можно закрывать тему.
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,680
Баллы
843
Включайте встроенный в ОС. Не забудьте сбросить его настройки по умолчанию:

sbros-nastroek-brandmauera-windows-7-windows-8-5.jpg
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,680
Баллы
843
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу