• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена 100% загрузка процессора, до 5-ти вкладок в Mozilla всплывающей рекламы..

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#1
Здравствуйте!

Есть подопечный, ноутбук достаточно древний (5-7 лет), но еще могущий что-то...
Антивирус (Comodo Internet Security) перестал работать (не хочет запускаться, возможно, его "пожрали" зловреды), а хозяйка не очень-то в этом понимает... Обратилась тогда, когда "сильно начало тормозить"... Почти все время 100% загрузка процессора, до 5-ти вкладок всплывающей рекламы в Mozilla (а также в IE и Chromodo). Не открываются некоторые сайты... Прошу посмотреть. Логи во вложении.
 

Вложения

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#2
Здравствуйте еще раз! Хочу напомнить про свои логи...
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#3
Деинсталлируйте полностью Comodo, он мешает нашим утилитам сбора лога, скачайте Autologger заново и сделайте новый комплект логов
+ деинсталлируйте данные программы:

hd task [2016/11/16 10:38:59]-->"C:\ProgramData\hdtask\uninstall.exe"
ScreenUp [2015/11/17 10:41:02]-->C:\Program Files\ScreenUp\uninst.exe
Video and Audio Plugin UBar [20161116]-->C:\Program Files\UBar\UbarUninstaller.exe
Zaxar Games Browser 4 [20161116]-->"C:\Program Files\Zaxar\unins000.exe"
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#4
Здравствуйте!

Выполнено. Программы удалены, логи во вложении.
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#5
Выполните скрипт в AVZ

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\users\Дом\appdata\roaming\vdi\shared\product updater\monhost.exe');
TerminateProcessByName('c:\users\Дом\appdata\local\villabase.exe');
TerminateProcessByName('c:\programdata\logic handler\set.exe');
TerminateProcessByName('c:\programdata\ronzap\ronzap.exe');
TerminateProcessByName('c:\users\Дом\appdata\roaming\vdi\shared\product updater\produpd.exe');
TerminateProcessByName('c:\program files\obnovi soft\obnovisoft.exe');
TerminateProcessByName('c:\programdata\networkpacketmanitor\nettrans.exe');
SetServiceStart('Ronzap', 4);
StopService('Ronzap');
SetServiceStart('pupducteraupdatedown', 4);
StopService('pupducteraupdatedown');
SetServiceStart('Nettrans', 4);
StopService('Nettrans');
SetServiceStart('BitTorrent', 4);
StopService('BitTorrent');
SetServiceStart('backlh', 4);
StopService('backlh');
QuarantineFile('c:\users\Дом\appdata\local\amigo\application\amigo.exe','');
QuarantineFile('C:\Users\Дом\AppData\Local\Hostinstaller\2791001606_monster.exe','');
QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\Strongplus','');
QuarantineFile('C:\Users\Дом\AppData\Local\rightchose\regCheck.vbs','');
QuarantineFile('C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\monhost.exe','');
QuarantineFile('C:\Users\Дом\AppData\Local\ValidateLife\regCheck.vbs','');
QuarantineFile('C:\Users\Дом\AppData\Local\LastNews\regCheck.vbs','');
QuarantineFile('C:\ProgramData\Ronzap\Transis.dll','');
QuarantineFile('C:\Users\Дом\AppData\Local\ImmediateHelp\regCheck.vbs','');
QuarantineFile('C:\Users\Дом\AppData\Local\TestMenu\regCheck.vbs','');
QuarantineFile('C:\Program Files\Obnovi Soft\ObnoviSoft.exe','');
QuarantineFile('C:\Users\Дом\AppData\Local\FileSystemOptions\regCheck.vbs','');
QuarantineFile('C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\produpd.exe','');
QuarantineFile('C:\Users\Дом\AppData\Roaming\PBot\launchall.py','');
QuarantineFile('C:\ProgramData\hdtask\hdtask.exe','');
QuarantineFile('C:\Users\Дом\AppData\Local\FilterOptions\regCheck.vbs','');
QuarantineFile('C:\Users\Дом\AppData\Local\DateOption\regCheck.vbs','');
QuarantineFile('C:\ProgramData\Ronzap\Ronzap.exe','');
QuarantineFile('C:\Users\Дом\AppData\Local\Villabase.exe','');
QuarantineFile('C:\ProgramData\NetworkPacketManitor\Nettrans.exe','');
QuarantineFile('C:\Program Files\BitTorrent\BitTorrent.exe','');
QuarantineFile('C:\ProgramData\Logic Handler\set.exe','');
QuarantineFile('c:\users\Дом\appdata\local\villabase.exe','');
QuarantineFile('c:\programdata\logic handler\set.exe','');
QuarantineFile('c:\programdata\ronzap\ronzap.exe','');
QuarantineFile('c:\users\Дом\appdata\roaming\vdi\shared\product updater\produpd.exe','');
QuarantineFile('c:\program files\obnovi soft\obnovisoft.exe','');
QuarantineFile('c:\programdata\networkpacketmanitor\nettrans.exe','');
QuarantineFile('c:\users\Дом\appdata\roaming\vdi\shared\product updater\monhost.exe','');
DeleteFile('c:\users\Дом\appdata\roaming\vdi\shared\product updater\monhost.exe','32');
DeleteFile('c:\programdata\networkpacketmanitor\nettrans.exe','32');
DeleteFile('c:\program files\obnovi soft\obnovisoft.exe','32');
DeleteFile('c:\users\Дом\appdata\roaming\vdi\shared\product updater\produpd.exe','32');
DeleteFile('c:\programdata\ronzap\ronzap.exe','32');
DeleteFile('c:\programdata\logic handler\set.exe','32');
DeleteFile('c:\users\Дом\appdata\local\villabase.exe','32');
DeleteFile('C:\ProgramData\Logic Handler\set.exe','32');
DeleteFile('C:\Program Files\BitTorrent\BitTorrent.exe','32');
DeleteFile('C:\ProgramData\NetworkPacketManitor\Nettrans.exe','32');
DeleteFile('C:\Users\Дом\AppData\Local\Villabase.exe','32');
DeleteFile('C:\ProgramData\Ronzap\Ronzap.exe','32');
DeleteFile('C:\Users\Дом\AppData\Local\DateOption\regCheck.vbs','32');
DeleteFile('C:\Users\Дом\AppData\Local\FilterOptions\regCheck.vbs','32');
DeleteFile('C:\ProgramData\hdtask\hdtask.exe','32');
DeleteFile('C:\Users\Дом\AppData\Roaming\PBot\launchall.py','32');
DeleteFile('C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\produpd.exe','32');
DeleteFile('C:\Users\Дом\AppData\Local\FileSystemOptions\regCheck.vbs','32');
DeleteFile('C:\Program Files\Obnovi Soft\ObnoviSoft.exe','32');
DeleteFile('C:\Users\Дом\AppData\Local\TestMenu\regCheck.vbs','32');
DeleteFile('C:\Users\Дом\AppData\Local\ImmediateHelp\regCheck.vbs','32');
DeleteFile('C:\ProgramData\Ronzap\Transis.dll','32');
DeleteFile('C:\Users\Дом\AppData\Local\LastNews\regCheck.vbs','32');
DeleteFile('C:\Users\Дом\AppData\Local\ValidateLife\regCheck.vbs','32');
DeleteFile('C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\monhost.exe','32');
DeleteFile('C:\Users\Дом\AppData\Local\rightchose\regCheck.vbs','32');
DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Local\Strongplus','32');
DeleteFile('C:\Windows\system32\Tasks\rkdownilad','32');
DeleteFile('C:\Users\Дом\AppData\Local\Hostinstaller\2791001606_monster.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
DeleteFile('C:\Windows\system32\Tasks\{C6B1817F-F7E3-4A3E-A512-8B1DB58669CE}','32');
DeleteFile('c:\users\Дом\appdata\local\amigo\application\amigo.exe','32');
ExecuteFile('schtasks.exe', '/delete /TN "{C6B1817F-F7E3-4A3E-A512-8B1DB58669CE}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "rkdownilad" /F', 0, 15000, true);
DeleteService('Ronzap');
DeleteService('Nettrans');
DeleteService('pupducteraupdatedown');
DeleteService('BitTorrent');
DeleteService('backlh');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hdtask');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','produpd');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Обнови Софт');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','shell');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Запустите HijackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\)
Нажмите кнопку "Do a system scan only"
В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix сhecked".
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0Vgq8a7Ak3DYSkvYJdHFyVQMBajyQVKwIWEFSQyrZP0nA4rjVeFdQ-bMRGzndsEzEc7TZuTXNGNF0Si4x
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0VgbR9rPLZvnk1J7IiqxmVuVzUggjigG5-3Ibii6J2erRKyLjHCFGHUlaw6stK-x6k36kSSM4zIX20D8xLpZtRmtrnrkS
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0Vgq8a7Ak3DYSkvYJdHFyVQMBajyQVKwIWEFSQyrZP0nA4rjVeFdQ-bMRGzndsEzEc7TZuTXNGNF0Si4x
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.linkzb.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0Vgq8a7Ak3DYSkvYJdHFyVQMBajyQVKwIWEFSQyrZP0nA4rjVeFdQ-bMRGzndsEzEc7TZuTXNGNF0Si4xR4GXQCsmV_RV&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0Vgq8a7Ak3DYSkvYJdHFyVQMBajyQVKwIWEFSQyrZP0nA4rjVeFdQ-bMRGzndsEzEc7TZuTXNGNF0Si4xR4GXQCsmV_RV&q={searchTerms}
O1 - Hosts: 127.0.0.1 down.baidu2016.com
O1 - Hosts: 127.0.0.1 123.sogou.com
O1 - Hosts: 127.0.0.1 www.czzsyzgm.com
O1 - Hosts: 127.0.0.1 www.czzsyzxl.com
O1 - Hosts: 127.0.0.1 union.baidu2019.com
O4 - HKCU\..\Policies\Explorer\Run: [LastNews] C:\Users\Дом\AppData\Local\LastNews\regCheck.vbs www.snowyear.xyz/?rnd=133 0 2400000
O4 - HKCU\..\Policies\Explorer\Run: [ValidateLife] C:\Users\Дом\AppData\Local\ValidateLife\regCheck.vbs www.hitopup.xyz/?rnd=133 0 4200000
O4 - HKCU\..\Run: [FileSystemOptions] C:\Users\Дом\AppData\Local\FileSystemOptions\regCheck.vbs www.minipigping.com/?rnd=133 0 1200000
O4 - HKCU\..\Run: [PBot] "C:\Users\Дом\AppData\Roaming\PBot\python\pythonw.exe" "C:\Users\Дом\AppData\Roaming\PBot\launchall.py"
O4 - HKCU\..\Run: [hdtask] "C:\ProgramData\hdtask\hdtask.exe"
O4 - HKCU\..\Run: [produpd] "C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\produpd.exe" /20431x7405
O4 - HKCU\..\Run: [Обнови Софт] "C:\Program Files\Obnovi Soft\ObnoviSoft.exe" -startup
O4 - HKLM\..\Policies\Explorer\Run: [ImmediateHelp] C:\Users\Дом\AppData\Local\ImmediateHelp\regCheck.vbs www.2road.xyz/?rnd=133 0 3600000
O4 - HKLM\..\Policies\Explorer\Run: [TestMenu] C:\Users\Дом\AppData\Local\TestMenu\regCheck.vbs www.testmenu.xyz/?rnd=133 0 1800000
O4 - HKLM\..\Run: [DateOption] C:\Users\Дом\AppData\Local\DateOption\regCheck.vbs www.syschecksync.com/?rnd=133 0 0
O4 - HKLM\..\Run: [FilterOptions] C:\Users\Дом\AppData\Local\FilterOptions\regCheck.vbs www.regtestproc.com/?rnd=133 0 600000
O4 - MSConfig\startupreg:  [Auto]  (2014/12/08) (no file)
O4 - MSConfig\startupreg:  [Sbnknc]  (2014/12/08) (no file)
O4 - MSConfig\startupreg:  [SystemScript]  (2014/12/08) (no file)
O4 - MSConfig\startupreg:  [amigo]  (2014/12/08) (no file)
O4 - MSConfig\startupreg:  [configuration]  (2014/12/08) (no file)
O4 - MSConfig\startupreg:  [mobilegeni daemon]  (2013/10/10) (no file)
O4 - User Startup: monhost.lnk    ->    C:\Users\Дом\AppData\Roaming\VDI\Shared\Product Updater\monhost.exe
O4 - User Startup: regCheck.lnk    ->    C:\Users\Дом\AppData\Local\rightchose\regCheck.vbs
O20 - AppInit_DLLs: C:\ProgramData\Ronzap\Transis.dll
O22 - ScheduledTask: (Ready) PBot - {root} - C:\Users\Дом\AppData\Roaming\PBot\python\pythonw.exe app.py
O22 - ScheduledTask: (Ready) Soft installer - {root} - "C:\Users\Дом\AppData\Local\Hostinstaller\2791001606_monster.exe" subid=0;scheduler=1
O22 - ScheduledTask: (Ready) rkdownilad - {root} - C:\Windows\system32\config\systemprofile\AppData\Local\Strongplus /t 5738 5774
Скачайте и распакуйте из архива программу ClearLNK.exe

Перетащите файл-отчет...\AutoLogger\CheckBrowserLnk\Check_Browsers_LNK.log на файл программы.



ВНИМАНИЕ: Приложите в теме, где Вам оказывают помощь, отчет ClearLNK-<Дата>.log, который будет создан в папке LOG рядом с программой.
Если отчет слишком большой, упакуйте его в архив формата ZIP.


Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#6
Здравствуйте!

Скрипт AVZ выполнен, найденное (но не все, части не было) пофиксено, логи новые во вложении, карантин на почту отправлен
 

Вложения

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#8
Выполнено. лог во вложении.
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#9
Советую додеинсталлировать:

Chromodo [2016/12/14 12:25:47]-->"C:\Program Files\Comodo\Chromodo\uninstall.exe"
GeekBuddy [2016/10/27 11:09:15]-->C:\Windows\system32\msiexec.exe /i {5C088B2F-EE22-4F16-AA45-9D99E9E02711}
Hamster PDF Reader 2.0.0.27 [20161208]-->"C:\Program Files\Hamster Soft\Hamster PDF Reader\unins000.exe"
Кнопка "Яндекс" на панели задач [2016/12/08 11:44:16]-->C:\Users\Дом\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned
Менеджер браузеров [2016/12/08 11:51:15]-->"C:\Users\Дом\AppData\Local\Package Cache\{a7c1813c-6b3f-480b-96d6-eafe9f12caac}\BrowserManagerInstaller.exe" /uninstall
Менеджер браузеров [20161208]-->MsiExec.exe /X{36E317A1-1384-4FC5-92CD-D4731B651859}
Обнови Софт [2016/12/08 11:14:33]-->C:\Program Files\Obnovi Soft\uninstall.exe
Служба автоматического обновления программ [2016/11/16 10:37:02]-->C:\Users\Дом\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
Далее удалите все найденное в AdwCleaner по этой инструкции: http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/#post-157088

Лог C:\AdwCleaner\AdwCleaner[C1].txt. прикрепите.

подготовьте логи FRST: http://safezone.cc/threads/kak-podgotovit-log-farbar-recovery-scan-tool.17759/
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#10
Здравствуйте!

Программы деинсталлировал, логи во вложении.

Лог AdwCleaner'a C1 не нашел, прикрепил то, что нашел...
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#11
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "код" ниже и сохраните.

Код:
start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
HKU\S-1-5-21-3326964963-3196463299-1342001486-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0VgbR9rPLZvnk1J7IiqxmVuVzUggjigG5-3Ibii6J2erRKyLjHCFGHUlaw6stK-x6k36kSSM4zIX20D8xLpZtRmtrnrkS
SearchScopes: HKLM -> DefaultScope value is missing
SearchScopes: HKU\S-1-5-21-3326964963-3196463299-1342001486-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvF_ztTOFJYr7YUxfYSCDWF8PLWdHxlWevGauFZBp-Ccej_0nEPsNmGzkIUE0VZD0Vgq8a7Ak3DYSkvYJdHFyVQMBajyQVKwIWEFSQyrZP0nA4rjVeFdQ-bMRGzndsEzEc7TZuTXNGNF0Si4xR4GXQCsmV_RV&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3326964963-3196463299-1342001486-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Homepage: Mozilla\Firefox\Profiles\a2l0aot2.default -> hxxp://mail.ru/cnt/10445?gp=811001
FF Extension: (The Safe Surfing) - C:\Users\Дом\AppData\Roaming\Mozilla\Firefox\Profiles\a2l0aot2.default\Extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2015-11-24] [not signed]
FF Extension: (Global Stat) - C:\Users\Дом\AppData\Roaming\Mozilla\Firefox\Profiles\a2l0aot2.default\Extensions\{98538934-3027-1265-953f-95936ac8736f}.xpi [2016-11-23] [not signed]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\config-prefs.js [2016-12-06]
CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fcgnigmofekcllgbiejhmigggmgehkip] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (Tampermonkey) - C:\Users\Дом\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-11-23]
OPR Extension: (The Safe Surfing) - C:\Users\Дом\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2015-09-17]
NETSVC: KBDMAI -> no filepath.
NETSVC: d3dadapter -> no filepath.
NETSVC: ir16_32 -> no filepath.
NETSVC: wlanmgr -> no filepath.
2016-12-14 16:46 - 2016-12-14 16:46 - 00000000 ____D C:\Program Files\Common Files\32t14jlw
2016-12-14 15:46 - 2016-12-14 15:46 - 00000000 ____D C:\Program Files\Common Files\o0qfkpze
2016-12-14 14:46 - 2016-12-14 14:46 - 00000000 ____D C:\Program Files\Common Files\ww01m4nd
2016-12-14 13:46 - 2016-12-14 13:46 - 00000000 ____D C:\Program Files\Common Files\2pglxkbn
2016-12-14 12:46 - 2016-12-14 12:46 - 00000000 ____D C:\Program Files\Common Files\loxeasfd
2016-12-14 11:46 - 2016-12-14 11:46 - 00000000 ____D C:\Program Files\Common Files\krpwwdxc
2016-12-14 10:46 - 2016-12-14 10:46 - 00000000 ____D C:\Program Files\Common Files\4imxqiko
2016-12-14 09:46 - 2016-12-14 09:46 - 00000000 ____D C:\Program Files\Common Files\ci5xo3oc
2016-12-14 08:46 - 2016-12-14 08:46 - 00000000 ____D C:\Program Files\Common Files\ujvvi00x
2016-12-14 08:19 - 2016-12-14 08:19 - 00000000 ____D C:\Program Files\Common Files\egj4digh
2016-12-09 10:02 - 2016-12-09 10:02 - 00000000 ____D C:\Program Files\Common Files\24badixh
2016-12-08 17:47 - 2016-12-08 17:47 - 00000000 ____D C:\Program Files\Common Files\1cmucipu
2016-12-08 15:48 - 2016-12-08 15:48 - 00000000 ____D C:\Program Files\Common Files\i1irnm5p
2016-12-08 10:41 - 2016-12-08 10:41 - 00000000 ____D C:\Program Files\Common Files\0jslc1qa
2016-12-08 09:40 - 2016-12-08 09:40 - 00000000 ____D C:\Program Files\Common Files\wv2bw1po
2016-12-08 08:39 - 2016-12-08 08:39 - 00000000 ____D C:\Program Files\Common Files\z2xpqaya
2016-12-08 07:42 - 2016-12-08 07:42 - 00000000 ____D C:\Program Files\Common Files\cot0vmci
2016-12-08 06:43 - 2016-12-08 06:43 - 00000000 ____D C:\Program Files\Common Files\b4dkjmal
2016-12-08 05:38 - 2016-12-08 05:38 - 00000000 ____D C:\Program Files\Common Files\r4y2ya1n
2016-12-08 04:37 - 2016-12-08 04:37 - 00000000 ____D C:\Program Files\Common Files\pyfzmh4w
2016-12-08 03:38 - 2016-12-08 03:38 - 00000000 ____D C:\Program Files\Common Files\gi0oopln
2016-12-08 02:38 - 2016-12-08 02:38 - 00000000 ____D C:\Program Files\Common Files\4hy22jqe
2016-12-08 01:38 - 2016-12-08 01:38 - 00000000 ____D C:\Program Files\Common Files\nifmk13b
2016-12-08 00:37 - 2016-12-08 00:37 - 00000000 ____D C:\Program Files\Common Files\ba4tt2s1
2016-12-07 23:34 - 2016-12-07 23:34 - 00000000 ____D C:\Program Files\Common Files\jhf42sly
2016-12-07 22:31 - 2016-12-07 22:31 - 00000000 ____D C:\Program Files\Common Files\uwnu4clc
2016-12-07 21:30 - 2016-12-07 21:30 - 00000000 ____D C:\Program Files\Common Files\ckfpoguh
2016-11-30 11:19 - 2016-11-30 11:19 - 00000000 ____D C:\Program Files\Common Files\gkj5xakv
2016-11-30 10:19 - 2016-11-30 10:19 - 00000000 ____D C:\Program Files\Common Files\bgulzvcr
2016-11-29 15:08 - 2016-11-29 15:08 - 00000000 ____D C:\Program Files\Common Files\iisigcly
2016-11-29 14:08 - 2016-11-29 14:08 - 00000000 ____D C:\Program Files\Common Files\emzgw5ix
2016-11-24 14:19 - 2016-11-24 14:19 - 00000000 ____D C:\Program Files\Common Files\poawthg3
2016-12-16 06:47 - 2016-03-31 11:33 - 00000000 ____D C:\Program Files\Common Files\COMODO
2016-12-16 06:47 - 2015-09-02 07:02 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo
2016-12-16 06:47 - 2015-09-02 07:01 - 00000000 ____D C:\Program Files\Comodo
2016-12-16 06:38 - 2014-12-04 10:47 - 00000000 ____D C:\Users\Дом\AppData\Local\Comodo
2016-12-14 17:44 - 2016-11-16 10:40 - 00000000 ____D C:\Users\Дом\AppData\Roaming\PBot
2016-12-14 08:29 - 2015-09-02 07:00 - 00000000 ____D C:\Users\Все пользователи\Comodo
2016-12-14 08:29 - 2015-09-02 07:00 - 00000000 ____D C:\ProgramData\Comodo
2016-12-14 08:17 - 2016-11-16 10:44 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-12-14 08:17 - 2016-11-16 10:44 - 00000000 ____D C:\ProgramData\ProductData
2016-11-23 13:56 - 2016-11-16 10:45 - 00000000 ____D C:\Users\Дом\AppData\Roaming\ProductData
C:\Users\Дом\AppData\Local\Temp\ccav_installer.exe
C:\Users\Дом\AppData\Local\Temp\csgSetBsr32.dll
C:\Users\Дом\AppData\Local\Temp\downloader.exe
C:\Users\Дом\AppData\Local\Temp\EK9QF1CPZJV.exe
C:\Users\Дом\AppData\Local\Temp\libeay32.dll
C:\Users\Дом\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Дом\AppData\Local\Temp\msvcr120.dll
C:\Users\Дом\AppData\Local\Temp\nsm389D.exe
C:\Users\Дом\AppData\Local\Temp\sqlite3.dll
C:\Users\Дом\AppData\Local\Temp\YandexWorking.exe
C:\Users\Дом\AppData\Local\Temp\{D4598420-6BD5-4BD4-90FD-ABD38A9619A6}.exe
C:\Users\Дом\AppData\Local\Temp\{E30B0031-27C5-455E-9B15-CDF231A070AA}.exe
AlternateDataStreams: C:\Windows\system32\HP1100LM.DLL:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\HP1100SM.EXE:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\HP1100SMs.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\HPSIsvc.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\mvusbews.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\Drivers\mvusbews.sys:$CmdTcID [64]
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#12
Выполнено! Fixlog.txt во вложении.
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#13
Что с проблемами?

Поставьте клиенту антивирус (Comodo не рекомендую, все-таки продукт больше для гиков, да и со стабильностью у него не очень)

На выбор:

От таких программ, как

Advanced SystemCare 8 (HKLM\...\Advanced SystemCare 8_is1) (Version: 8.4.0 - IObit)
тоже толку особо нет.

Вот тут и тут про оптимизаторы подробно расписано.

Подготовьте лог SecurityCheck by glax24
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#14
Выполнено... Лог во вложении.
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#15
Исправляйте обновляйте:

TeamViewer 12 v.12.0.71503 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.40728.0 Внимание! Скачать обновления
Skype 5.6.0.110
Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления
^Необязательное обновление.^

SnapDo v.1.0.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


Последнюю тоже деинсталлируйте.

И читайте: http://safezone.cc/threads/rekomendacii-posle-udalenija-vredonosnogo-po.16715/
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#16
Удалил Comodo, поставил Avast по вашей ссылке, но в связи с этим вопрос: надо ли дополнительномк Avast активировать встроенный в ОС файерволл или ставить сторонний? А так можно закрывать тему.
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#17
Включайте встроенный в ОС. Не забудьте сбросить его настройки по умолчанию:

 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#18
Спасибо, выполнено.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#19
Удачи