Решена Появление странных сайтов при входе в Chrome и Explorer(starpage и luckystarting)

[Anar]

В браузерах начали появляться эти подозрительные страницы: startpage и luckystarting ( в Explorer и Chrome соответственно ) и в контекстном меню на рабочем столе появилось Add event reminder

 

[Sandor]

Anar, здравствуйте!

Ждем логи.

 

[Anar]

Windows не дает мне открыть ваш документ

 

[Sandor]

Как временно отключить SmartScreen

 

[Anar]

Логи

 

[VexMD]

смотрю логи
Здравствуйте,
1) Деинсталируйте нежелательные программы (через "Программы и компоненты"):

WinSnare

если Unity Web Player сами не устанавливали (не используете) - тоже деинсталлируйте.

2) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
Выполните скрипт в AVZ:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\hotcine\application\chrome.exe');
 TerminateProcessByName('c:\users\anar\appdata\roaming\kyubey\kyubey.exe');
 TerminateProcessByName('c:\program files (x86)\firefox\bin\firefoxupdate.exe');
 SetServiceStart('xygisype', 4);
 SetServiceStart('Kyubey', 4);
 StopService('xygisype');
 StopService('Kyubey');

 QuarantineFile('C:\Update\psgo\psgo.ps1','');
 QuarantineFile('C:\Program Files (x86)\Gherverentrvuther\danvey.exe','');
 QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe','');
 QuarantineFile('C:\Users\anar\AppData\Roaming\Adobe\Manager.exe','');
 QuarantineFile('C:\ProgramData\vCore\VCore.exe','');
 QuarantineFile('C:\Users\anar\AppData\Local\Temp\is-5N2H3.tmp\prsetup.exe','');
 QuarantineFile('C:\Program Files (x86)\Stersshiwaty Manager\local64spl.dll','');
 QuarantineFile('C:\Users\anar\AppData\Roaming\WINSNARE\WinSnare.dll','');
 QuarantineFile('C:\Users\Default\AppData\Roaming\WinSAPSvc\WinSAP.dll','');
 QuarantineFile('C:\Program Files (x86)\f57fa6c3-6cb4-45aa-a828-48cc147c122f1487772921\knsf57fa6c3-6cb4-45aa-a828-48cc147c122f.tmpfs','');
 QuarantineFile('C:\Users\anar\AppData\Roaming\Kyubey\Kyubey.exe','');
 QuarantineFile('C:\Users\anar\AppData\Local\Temp\bk7075.tmp\p1491037551am.sys','');
 QuarantineFile('c:\program files (x86)\hotcine\application\chrome.exe','');
 QuarantineFile('c:\users\anar\appdata\roaming\kyubey\kyubey.exe','');
 QuarantineFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe','');
 QuarantineFile('C:\ProgramData\Package Cache\{2A002F88-FD5D-379B-A350-A25D84AF128B}v14.0.25420\packages\VisualC_D14\VC_IDE.Base\VC_IDE_Base.dll','');
 QuarantineFileF('C:\Update\psgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Gherverentrvuther', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\MIO', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\ProgramData\vCore', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Stersshiwaty Manager', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\anar\AppData\Roaming\WINSNARE', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\Default\AppData\Roaming\WinSAPSvc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\f57fa6c3-6cb4-45aa-a828-48cc147c122f1487772921', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\anar\AppData\Roaming\Kyubey', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\anar\AppData\Local\Temp\bk7075.tmp', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\anar\AppData\Local\Temp\is-5N2H3.tmp', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\hotcine', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\anar\appdata\roaming\kyubey', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\firefox', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 DeleteFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe','32');
 DeleteFile('c:\users\anar\appdata\roaming\kyubey\kyubey.exe','32');
 DeleteFile('c:\program files (x86)\hotcine\application\chrome.exe','32');
 DeleteFile('C:\Users\anar\AppData\Local\Temp\bk7075.tmp\p1491037551am.sys','32');
 DeleteFile('C:\Users\anar\AppData\Roaming\Kyubey\Kyubey.exe','32');
 DeleteFile('C:\Program Files (x86)\f57fa6c3-6cb4-45aa-a828-48cc147c122f1487772921\knsf57fa6c3-6cb4-45aa-a828-48cc147c122f.tmpfs','32');
 DeleteFile('C:\Users\Default\AppData\Roaming\WinSAPSvc\WinSAP.dll','32');
 DeleteFile('C:\Users\anar\AppData\Roaming\WINSNARE\WinSnare.dll','32');
 DeleteFile('C:\Program Files (x86)\Stersshiwaty Manager\local64spl.dll','32');
 DeleteFile('C:\Users\anar\AppData\Local\Temp\is-5N2H3.tmp\prsetup.exe','32');
 DeleteFile('C:\ProgramData\vCore\VCore.exe','32');
 DeleteFile('C:\Users\anar\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('C:\Program Files (x86)\MIO\MIO.exe','32');
 DeleteFile('C:\Program Files (x86)\Gherverentrvuther\danvey.exe','32');
 DeleteFile('C:\Update\psgo\psgo.ps1','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Windows-PG" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Stersshiwaty Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "VCore" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "FL Studio" /F', 0, 15000, true);
 DeleteService('Kyubey');
 DeleteService('xygisype');
 DeleteFileMask('C:\Update\psgo','*', true);
 DeleteFileMask('C:\Program Files (x86)\Gherverentrvuther','*', true);
 DeleteFileMask('C:\Program Files (x86)\MIO','*', true);
 DeleteFileMask('C:\ProgramData\vCore','*', true);
 DeleteFileMask('C:\Program Files (x86)\Stersshiwaty Manager','*', true);
 DeleteFileMask('C:\Users\anar\AppData\Roaming\WINSNARE','*', true);
 DeleteFileMask('C:\Users\Default\AppData\Roaming\WinSAPSvc','*', true);
 DeleteFileMask('C:\Program Files (x86)\f57fa6c3-6cb4-45aa-a828-48cc147c122f1487772921','*', true);
 DeleteFileMask('C:\Users\anar\AppData\Roaming\Kyubey','*', true);
 DeleteFileMask('C:\Users\anar\AppData\Local\Temp\bk7075.tmp','*', true);
 DeleteFileMask('C:\Users\anar\AppData\Local\Temp\is-5N2H3.tmp','*', true);
 DeleteFileMask('c:\program files (x86)\hotcine','*', true);
 DeleteFileMask('c:\users\anar\appdata\roaming\kyubey','*', true);
 DeleteFileMask('c:\program files (x86)\firefox','*', true);
 DeleteDirectory('C:\Update\psgo');
 DeleteDirectory('C:\Program Files (x86)\Gherverentrvuther');
 DeleteDirectory('C:\Program Files (x86)\MIO');
 DeleteDirectory('C:\ProgramData\vCore');
 DeleteDirectory('C:\Program Files (x86)\Stersshiwaty Manager');
 DeleteDirectory('C:\Users\anar\AppData\Roaming\WINSNARE');
 DeleteDirectory('C:\Users\Default\AppData\Roaming\WinSAPSvc');
 DeleteDirectory('C:\Program Files (x86)\f57fa6c3-6cb4-45aa-a828-48cc147c122f1487772921');
 DeleteDirectory('C:\Users\anar\AppData\Roaming\Kyubey');
 DeleteDirectory('C:\Users\anar\AppData\Local\Temp\bk7075.tmp');
 DeleteDirectory('C:\Users\anar\AppData\Local\Temp\is-5N2H3.tmp');
 DeleteDirectory('c:\program files (x86)\hotcine');
 DeleteDirectory('c:\users\anar\appdata\roaming\kyubey');
 DeleteDirectory('c:\program files (x86)\firefox');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WINSNARE\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WinSnare','EventMessageFile');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки архив quarantine.zip из папки ...\AutoLogger\AVZ отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

3) Пофиксите в HijackThis следующие строчки:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.startpageing123.com/?type=hp&ts=1490952277&z=1885cf3238ba13b4e192948gez6t9e0t2w6ofo8m1z&from=che0812&uid=HitachiXHTS545032A7E380_TA8B123VKS54ATKS54ATX
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.startpageing123.com/?type=hp&ts=1490952277&z=1885cf3238ba13b4e192948gez6t9e0t2w6ofo8m1z&from=che0812&uid=HitachiXHTS545032A7E380_TA8B123VKS54ATKS54ATX
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpageing123.com/?type=hp&ts=1490952277&z=1885cf3238ba13b4e192948gez6t9e0t2w6ofo8m1z&from=che0812&uid=HitachiXHTS545032A7E380_TA8B123VKS54ATKS54ATX
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.startpageing123.com/?type=hp&ts=1490952277&z=1885cf3238ba13b4e192948gez6t9e0t2w6ofo8m1z&from=che0812&uid=HitachiXHTS545032A7E380_TA8B123VKS54ATKS54ATX
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpageing123.com/?type=hp&ts=1490952277&z=1885cf3238ba13b4e192948gez6t9e0t2w6ofo8m1z&from=che0812&uid=HitachiXHTS545032A7E380_TA8B123VKS54ATKS54ATX

4) Перетащите файл ...\AutoLogger\CheckBrowserLnk\CheckBrowserLnk.log на утилиту ClearLNK (ClearLNK - удаление параметров запуска у ярлыков).

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

5) Приложите к следующему сообщению новый CollectionLog , повторно запустив Autologger.exe.

6) Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите утилиту через правую кн. мыши от имени администратора, нажмите кнопку Scan (Сканировать) и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Anar]

.
.

 

[VexMD]

1) Вы прислали первоначальный CollecttionLog, а надо новый, созданный после повторного запуска Autologger.

2) Запустите повторно AdwCleaner (by Malwarebytes) через правую кн. мыши от имени администратора и нажмите кнопку "Scan" (Сканировать).
После окончания сканирования, если пользуетесь сервисами MailRU, то снимите "галки" с объектов, содержащих mailru, потом нажмите кнопку "Clean"(Очистить) и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении:
C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

[Anar]

вот
я думаю может мне Google Chrome удалить и заново скачать? просто когда я скрипты выполнял у меня картинка Gogle с ярлыка исчезла и еще когда захожу в Google новая вкладка появляется вот такой

Спойлер: Скрины

а в Explorer вот такой

Под 1) пунктом вы имеете в виду чтобы программа опять собрала автоматически логи и я вам выслал их?

 

[VexMD]

1)

Под 1) пунктом вы имеете в виду чтобы программа опять собрала автоматически логи и я вам выслал их?

Да

2) Скачайте FRST (для вашей системы 64-Bit файл) и сохраните на Рабочем столе.
Запустите программу двойным щелчком.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками Shortcut.txt, Addition.txt
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Пожалуйста, прикрепите все отчеты в следующем сообщении (если не помещаются - упакуйте в один архив).
Подробнее читайте в Как подготовить лог Farbar Recovery Scan Tool

3)

Google Chrome удалить и заново скачать?

подождите пока

 

[Anar]

вот

 

[VexMD]

1) В списке установленных программ все еще имеется WinSnare, которую я просил деинсталлировать.

2) Вам знакомы следующие папки и файлы ?:

C:\Program Files (x86)\MK
C:\Windows\Azart
C:\Users\anar\Downloads\fxto18bu.exe
C:\Users\anar\Downloads\qx3cw3ch.exe

3) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
HKLM\...\Providers\boxnha29: C:\Program Files (x86)\Stersshiwaty Manager\local64spl.dll
C:\Program Files (x86)\Stersshiwaty Manager
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-531213461-683154401-4094200282-1002 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: (No Name) - C:\Users\anar\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sovetnik@metabar.ru.xpi [not found]
CHR DefaultSearchURL: Default -> hxxp://www.startpageing123.com/search/?type=ds&ts=1490952277&z=1885cf3238ba13b4e192948gez6t9e0t2w6ofo8m1z&from=che0812&uid=HitachiXHTS545032A7E380_TA8B123VKS54ATKS54ATX&q={searchTerms}
CHR DefaultSearchKeyword: Default -> startpageing123
CHR HKU\S-1-5-21-531213461-683154401-4094200282-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oilhebpjhnjaeghedpjnmajajlcfdjgc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [goalojoobcfkhddpbjcmhdceeegmaphh] - hxxp://clients2.google.com/service/update2/crx
U3 lfsvc; no ImagePath
U0 msahci; no ImagePath
2017-04-01 14:33 - 2017-04-04 00:00 - 00000000 ____D C:\Users\Default\AppData\Roaming\WinSAPSvc
2017-04-01 14:33 - 2017-04-04 00:00 - 00000000 ____D C:\Users\Default User\AppData\Roaming\WinSAPSvc
C:\Users\anar\AppData\Roaming\gastproffite
C:\Users\Public\Documents\temp.dat
2014-06-13 20:37 - 2017-04-04 08:46 - 0000062 _____ () C:\Users\anar\AppData\Roaming\sp_data.sys
2015-01-03 16:21 - 2017-02-15 10:32 - 0000199 _____ () C:\Users\anar\AppData\Roaming\WB.CFG
2016-03-21 14:33 - 2016-05-25 17:09 - 0005120 _____ () C:\Users\anar\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2016-06-22 17:01 - 2016-06-22 17:01 - 0000016 _____ () C:\ProgramData\mntemp
2015-02-01 22:45 - 2015-02-01 22:45 - 0004937 _____ () C:\ProgramData\mtbjfghn.xbe
2016-06-22 17:01 - 2016-06-22 17:01 - 0004131 _____ () C:\ProgramData\rxsmznjf.zcp
2012-11-24 05:25 - 2012-09-07 15:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2012-11-24 05:25 - 2009-07-22 14:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2012-11-24 05:25 - 2012-09-07 15:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
Task: {C1862AE4-EF93-4A6B-9979-32E951CE9473} - \Therlert -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\anar\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_98fe7RGgatvcZCaXxF7ff2529Fk-481123052 [2302]
AlternateDataStreams: C:\Users\anar\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_gdtS6a0b5ZRt_6PIn1MCYzp2mNI-1645993638 [2302]
AlternateDataStreams: C:\Users\anar\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_l2V968dCa1zMr5TTWgVJQP6xPVU1582337518 [2302]
AlternateDataStreams: C:\Users\anar\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_qFyz_p77Mklm6G-g9tbfmp6arrk-91909773 [2302]
AlternateDataStreams: C:\Users\anar\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_qUrYP-q7tpBAiiIGw2drcOQ1OLk285189430 [2302]
AlternateDataStreams: C:\Users\anar\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_TS_g8TeGGDswpR4ufNJw3TS0-CM-2018099378 [2302]
AlternateDataStreams: C:\Users\anar\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_Uk8wMlO6kp7jGPt0n6rTPeL77QE-1116572040 [2302]
MSCONFIG\startupreg: DisableS3S4 => c:\windows\temp\DisableS3S464\sethigh.cmd
FirewallRules: [{0A8798BB-AA3B-46B3-8982-2D9195685EDD}] => (Allow) C:\Program Files (x86)\Hotcine\Application\chrome.exe
FirewallRules: [{66EABF4D-9D72-4C9D-90BD-577E6702D403}] => (Allow) C:\Program Files (x86)\MIO\loader\hitachixhts545032a7e380_ta8b123vks54atks54atx.dat
FirewallRules: [{E6E9FBCF-B213-45E2-9E6B-0390DF8775B1}] => (Allow) C:\Program Files (x86)\MIO\loader\hitachixhts545032a7e380_ta8b123vks54atks54atx.dat
FirewallRules: [{BBFCC2CD-BA97-479A-BFAA-C493AF2DE2D3}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{A4F0903C-D450-4623-8846-A906835EE7BE}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
Folder: C:\Update
Folder: C:\Program Files (x86)\MK
Folder: C:\Windows\Azart
File: C:\Users\anar\Downloads\fxto18bu.exe
File: C:\Users\anar\Downloads\qx3cw3ch.exe
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с FRST64.exe.
Отключите до перезагрузки антивирус, запустите FRST (через контекстное меню Проводника - "Запуск имени Администратора"), нажмите Fix и подождите.
Программа создаст лог-файл Fixlog.txt. Прикрепите его следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

4) Сообщите, какие остаются проблемы.

 

[Anar]

1) где ее найти и как удалить?
2) известны только 2 последних: это Dr.web
3) если FRST64.exe сохранено на рабочем столе то и блокнот fixlist.txt тоже на рабочий стол сохранить, я могу их на рабочем столе в отдельную папку поставить
я нашел winsnare, сейчас деинсталлирую
выполнил деинсталляцию, перехожу к следующим пунктам
вот Fixlog
проблем я как бы больше не вижу, но, как я уже говорил, при выполнении первых скриптов, которые вы просили выполнить, значок Google Chrome перестал показываться, как видно на фотографии внизу ( 1 столбец 4 значок, под Mail.ru Агент), и в панеле задач Google Chrome вообще не открывался и я закрепил новый ярлык на панеле задач, поэтому я спрашивал, может мне полностью удалить Google Chrome и заново скачать ?

 

[VexMD]

1) удалите значок без картинки, найдите файл C:\Program Files (x86)\Google\Chrome\Application\chrome.exe, нажмите правой кнопкой мыши и из контекстного меню выберите "Отправить на рабочий стол"

2) удалите папки
C:\Update
C:\Program Files (x86)\MK
C:\Windows\Azart

3) проверьте уязвимости системы:
Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите через правую кнопку мыши - Запустить от имени администратора.
Если увидите предупреждение от вашего фаерволла относительно программы SecurityCheck, то не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, напримерC:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое этого файла в свое следующее сообщение (сам файл можно не выкладывать).

4) Запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, созданные утилитами C:\FRST, C:\SecurityCheck, и папку Autologger, можно просто удалить.

 

[Anar]

SecurityCheck by glax24 & Severnyj v.1.4.0.47 [25.03.17]
WebSite: www.safezone.cc
DateLog: 05.04.2017 16:35:12
Path starting: C:\Users\anar\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: anar
VersionXML: 4.06is-02.04.2017
___________________________________________________________________________

Windows 8(6.2.9200) (x64) CoreSingleLanguage Lang: Russian(0419)
Дата установки ОС: 13.06.2014 16:34:16
Статус лицензии: Windows(R), CoreSingleLanguage edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\OpenOffice 4\program\swriter.exe
Системный диск: C: ФС: [NTFS] Емкость: [119.2 Гб] Занято: [83.2 Гб] Свободно: [36 Гб]
------------------------------- [ Windows ] -------------------------------
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 10.0.9200.16384 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
-------------------------- [ SecurityUtilities ] --------------------------
Malwarebytes Anti-Malware, версия 2.0.4.1028 v.2.0.4.1028
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50428.0 Внимание! Скачать обновления
VLC media player v.2.1.5 Внимание! Скачать обновления
OpenOffice 4.1.1 v.4.11.9775 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Mail.Ru Агент 6.3 (сборка 8050) v.6.3.8050.0
Skype™ 7.32 v.7.32.104 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.8.42449 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 5 v.8.0.50 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u121-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.56.0.2924.87 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.56.0.2924.87
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\Common Files\mcafee\Platform\McSvcHost\McSvHost.exe v.3.8.703.0
McAfee OOBE Service2 (McOobeSv2) - Служба остановлена
McAfee Platform Services (mcpltsvc) - Служба работает
McAfee Platform Services (mcpltsvc) - Служба работает
C:\Program Files\Windows Defender\MsMpEng.exe v.4.0.9200.16384
Служба Защитника Windows (WinDefend) - Служба работает
----------------------------- [ End of Log ] ------------------------------
Можно с диска C полностью удалить утилиты C:\FRST, C:\SecurityCheck?

Остальные утилиты лечения и папки, созданные утилитами C:\FRST, C:\SecurityCheck, и папку Autologger, можно просто удалить.

я удалил все папки и утилиты и все блокноты оставленные утилитами

 

[Sandor]

Можно с диска C полностью удалить утилиты C:\FRST, C:\SecurityCheck?

Вы не заметили:

Остальные утилиты лечения и папки, созданные утилитами C:\FRST, C:\SecurityCheck, и папку Autologger, можно просто удалить.

Закрывайте уязвимые места, перечисленные в предыдущем сообщении.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

 

[Anar]

я вернул их из корзины и буду выполнять по инструкции

Закрывайте уязвимые места, перечисленные в предыдущем сообщении.

которое я скинул?
где написано красным шрифтом нужно выполнить эти действия?
в рекомендации написано как еще удалить Malwarebytes' Anti-Malware я могу и его удалить

мне не говорили его скачивать но он у меня был

 

[Sandor]

где написано красным шрифтом нужно выполнить эти действия?

Да.

не говорили его скачивать но он у меня был

Если не нужен, удалите.

 

[Anar]

один вопрос, а обязательно обновлять все красные, просто спрашиваю?
я выполнил только некоторые из них
Microsoft selivering, Google
и сейчас заново включу файервол, т.к мне говорили его отключить

 

[Sandor]

а обязательно обновлять все красные

Прочтите рекомендации и часть вопросов отпадет.