Решена При скачивании программы, подхватил вирус.

[lilchurll]

При скачивании программы, подхватил какой-то вирус, который самостоятельно удаляет расширения в браузере, устанавливает свои расширения и меняет поисковую систему на свою.
(Прикладываю необходимый архив с логами.)

 

[Кирилл]

Здравствуйте.
Программа Raptr вам знакома - сами установили? Пользуетесь?

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.



Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42SB" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "psv_Alphaphase" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "psv_Dong-Sing" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "psv_Volfresh" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   TerminateProcessByName('c:\users\tomatov\appdata\roaming\nssm.exe');
   StopService('gkernel');
   QuarantineFileF('c:\programdata\ocep', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
   QuarantineFileF('c:\users\tomatov\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
   QuarantineFile('c:\users\tomatov\appdata\roaming\nssm.exe', '');
   QuarantineFile('C:\ProgramData\ocep\ocep.exe', '');
   QuarantineFile('C:\Users\Tomatov\AppData\Local\Temp\gkernel.sys', '');
   QuarantineFile('C:\ProgramData\ocep\DonSanstrong.dll', '');
   QuarantineFile('C:\ProgramData\ocep\Softdinla.dll', '');
   QuarantineFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '');
   QuarantineFile('C:\ProgramData\ocep\QuoSilla.reg', '');
   QuarantineFile('C:\ProgramData\ocep\Newit.reg', '');
   QuarantineFile('C:\ProgramData\ocep\Trisdonlex.reg', '');
   QuarantineFile('C:\Users\Tomatov\AppData\Local\Hostinstaller\3806941765_monster.exe', '');
   DeleteFile('c:\users\tomatov\appdata\roaming\nssm.exe', '32');
   DeleteFile('C:\ProgramData\ocep\ocep.exe', '32');
   DeleteFile('C:\Users\Tomatov\AppData\Local\Temp\gkernel.sys', '32');
   DeleteFile('C:\ProgramData\ocep\DonSanstrong.dll', '32');
   DeleteFile('C:\ProgramData\ocep\Softdinla.dll', '32');
   DeleteFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '32');
   DeleteFile('C:\ProgramData\ocep\QuoSilla.reg', '32');
   DeleteFile('C:\ProgramData\ocep\Newit.reg', '32');
   DeleteFile('C:\ProgramData\ocep\Trisdonlex.reg', '32');
   DeleteFile('C:\Users\Tomatov\AppData\Local\Hostinstaller\3806941765_monster.exe', '32');
   DeleteService('clr_optimization_v1.02');
   DeleteService('ocep');
   DeleteService('gkernel');
   DeleteFileMask('c:\programdata\ocep', '*', true);
   DeleteFileMask('c:\users\tomatov\appdata\local\hostinstaller', '*', true);
   DeleteDirectory('c:\programdata\ocep');
   DeleteDirectory('c:\users\tomatov\appdata\local\hostinstaller');
  RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
  CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O20 - AppInit_DLLs: C:\ProgramData\ocep\Softdinla.dll
O20-32 - AppInit_DLLs: C:\ProgramData\ocep\DonSanstrong.dll
O22 - ScheduledTask: (Ready) psv_Alphaphase - {root} - cmd.exe /c regedit.exe /s "C:\ProgramData\ocep\QuoSilla.reg" & del "C:\ProgramData\ocep\QuoSilla.reg" & SCHTASKS /Delete /TN "psv_Alphaphase" /F
O22 - ScheduledTask: (Ready) psv_Dong-Sing - {root} - cmd.exe /c regedit.exe /s "C:\ProgramData\ocep\Newit.reg" & del "C:\ProgramData\ocep\Newit.reg" & SCHTASKS /Delete /TN "psv_Dong-Sing" /F
O22 - ScheduledTask: (Ready) psv_Volfresh - {root} - cmd.exe /c regedit.exe /s "C:\ProgramData\ocep\Trisdonlex.reg" & del "C:\ProgramData\ocep\Trisdonlex.reg" & SCHTASKS /Delete /TN "psv_Volfresh" /F

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

[lilchurll]

Программа Raptr это - стандартная программа для видео карт AMD Radeon. Она установилась автоматически, при обновлении драйверов.
(Отчет об работе программы ClearLNK) : Пришлось докачивать необходимое, чтобы сделать это.
Файл quarantine.zip отправил по форме.
В программе HiJackThis отсутствовали некоторые строки как и было написано.
Провёл повторную диагностику.

 

[Кирилл]

Ну а где лог повторной диагностики?

 

[lilchurll]

Ну а где лог повторной диагностики?

Вот, судя по времени это он.

 

[Кирилл]

Вот, судя по времени это он.

Он,но почему то не полный.

Выполните скрипт avz:

var PathAutoLogger, CMDLine : string;

begin
  clearlog;
  PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
  AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
  SaveLog(PathAutoLogger+'report3.log');
    if FolderIsEmpty(PathAutoLogger+'CrashDumps')
        then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
        else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
        else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
  AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников RGhost — файлообменник , Zippyshare.com - Free File Hosting , My-Files.RU лучший бесплатный файлообменник и файловый сервис , Ge.tt | Gett sharing и дайте на него ссылку в Вашей теме.

Попробуйте еще раз собрать свежий лог avz

 

[lilchurll]

Вот, залил на RGhost - Report.7z — RGhost — файлообменник
При запуске этого скрипта, выдает сообщение "Скрипт запущен без ошибок" и всё. Далее ничего не происходит.
(Прикладываю свежий лог программой AutoLogger.)
Нужно же было снова делать лог AutoLogger'ом?

 

[Кирилл]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Program Files\nplus\nplus.exe');
 TerminateProcessByName('c:\programdata\ocep\ocep.exe');
 StopService('nplus');
 QuarantineFileF('c:\program files\nplus', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\ocep', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\nplus\nplus.exe', '');
 QuarantineFile('c:\programdata\ocep\ocep.exe', '');
 QuarantineFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42SB" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\nplus\nplus.exe', '32');
 DeleteFile('c:\programdata\ocep\ocep.exe', '32');
 DeleteFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '32');
 DeleteFileMask('c:\program files\nplus', '*', true);
 DeleteFileMask('c:\programdata\ocep', '*', true);
 DeleteDirectory('c:\program files\nplus');
 DeleteDirectory('c:\programdata\ocep');
 DeleteService('nplus');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


Смените пароли от аккаунтов соцсетей.

 

[lilchurll]

Первый скрипт выполнил и отправил quarantine.zip по форме.
Провел повторную диагностику и прикладываю лог :
Прикладываю файл из AdwCleaner. (S1 Я не нашел, но нашел S0) :
Пароли собираюсь сменить прямо сейчас.

 

[Кирилл]

Загрузитесь в безопасном режиме и выполните скрипт avz:

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFileF('c:\programdata\ocep', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFile('C:\ProgramData\ocep\ocep.exe', '');
QuarantineFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42SB" /F', 0, 15000, true);
DeleteFile('C:\ProgramData\ocep\ocep.exe', '32');
DeleteFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '32');
DeleteFileMask('c:\programdata\ocep', '*', true);
DeleteDirectory('c:\programdata\ocep');
DeleteService('ocep');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Сделайте свежий лог adwcleaner


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

[lilchurll]

Прикладываю лог удаления в AdwCleaner : (Не пойму какой из них, поэтому прикладываю оба.)
[C3] - Свежий лог AdwCleaner
+ Лог из AutoLogger'а

 

[Кирилл]

Загрузитесь в безопасном режиме и выполните скрипт avz:

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "ACDB898745F5196B4F4F51D44B2E8E42SB" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "AFCF1149F-4B0F-4920-B8E9-8F580AEECD33" /F', 0, 15000, true);
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   TerminateProcessByName('c:\users\tomatov\appdata\local\temp\nsa7022.tmp\266fdd8f-2ab0-000f-36b1-254f9ddc542e.exe');
   QuarantineFile('c:\users\tomatov\appdata\local\temp\nsa7022.tmp\266fdd8f-2ab0-000f-36b1-254f9ddc542e.exe', '');
   QuarantineFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '');
   QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\EF913DE9-8B33-40B5-A4D2-BA9BFA168C87.exe', '');
   QuarantineFile('C:\Users\Tomatov\AppData\Local\Temp\nsa77C0.tmp\System.dll', '');
   DeleteFile('C:\Users\Tomatov\AppData\Local\Temp\nsa77C0.tmp\System.dll');
   DeleteFile('c:\users\tomatov\appdata\local\temp\nsa7022.tmp\266fdd8f-2ab0-000f-36b1-254f9ddc542e.exe', '32');
   DeleteFile('C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe', '32');
   DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\EF913DE9-8B33-40B5-A4D2-BA9BFA168C87.exe', '32');
  CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKLM\..\Policies\Explorer\Run: [ACDB898745F5196B4F4F51D44B2E8E42SB] "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --safebrowser
O4-32 - HKLM\..\Policies\Explorer\Run: [ACDB898745F5196B4F4F51D44B2E8E42SB] "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) ACDB898745F5196B4F4F51D44B2E8E42 - \Microsoft - "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --setresetup
O22 - ScheduledTask: (Ready) ACDB898745F5196B4F4F51D44B2E8E42 - \Microsoft\Windows - "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --setresetup
O22 - ScheduledTask: (Ready) ACDB898745F5196B4F4F51D44B2E8E42SB - \Microsoft - "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) ACDB898745F5196B4F4F51D44B2E8E42SB - \Microsoft\Windows - "C:\Users\Tomatov\AppData\Local\Microsoft\C050E067174C0D451BE3612848516B7F\2E8E42B44D15F4F4B6915F5478ACDB89.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) AFCF1149F-4B0F-4920-B8E9-8F580AEECD33 - \Microsoft\Windows - "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\EF913DE9-8B33-40B5-A4D2-BA9BFA168C87.exe" --getupdate-ppapi-plugin

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.​
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".​
5. Подробнее читайте в руководстве Как подготовить лог UVS.

 

[lilchurll]

Выполнил скрипт.
Прикладываю лог повторной диагностики.
+ Образ автозапуска.

 

[Кирилл]

Отлично.
Еще раз скачайте свежую версию adwcleaner и сделайте новый лог.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Как общее самочувствие "пациента"?

 

[lilchurll]

Скачал новую версию AdwCleaner'a и прикладываю лог.
+ Те три файла.
Не понял на счет "пациента", но Я заболел и если ты интересовался моим здоровьем, спасибо.

 

[Кирилл]

Расширение браузеров Mego Shop - это ваше?

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-08-18 00:04 - 2016-08-18 00:04 - 00000000 ____D C:\Users\Все пользователи\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98}
2016-08-18 00:04 - 2016-08-18 00:04 - 00000000 ____D C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98}
2016-08-18 00:01 - 2016-08-18 00:04 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-08-18 00:01 - 2016-08-18 00:04 - 00000000 ____D C:\Users\Tomatov\AppData\LocalLow\IObit
2016-08-18 00:01 - 2016-08-18 00:04 - 00000000 ____D C:\ProgramData\IObit
2016-08-18 00:01 - 2016-08-18 00:01 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-08-18 00:01 - 2016-08-18 00:01 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
C:\ProgramData\VideoPluginDone.dat
C:\Users\Все пользователи\VideoPluginDone.dat
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Не понял на счет "пациента", но Я заболел и если ты интересовался моим здоровьем, спасибо.

Я и смотрю по логам - вроде как и хозяин компа приболел))0
Выздоравливай.

Какие то проблемы с компом еще остаются?
+
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

ShortcutWithArgument: C:\Users\Tomatov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Tomatov\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Tomatov\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%

 

[lilchurll]

Как раз этот MegoShop и устанавливается сам. Постоянно, после перезагрузки компьютера, это расширение ставится само.
Вот Fixlog который создался :
Файл из программы :
Из утилиты ClearLNK :
Проблема есть с этими расширениями, они сами добавляются в браузеры и удаляют блокераторы рекламы.

 

[Кирилл]

Как раз этот MegoShop и устанавливается сам.

Тогда пардон,сейчас добьем

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR Extension: (Mego Shop) - C:\Users\Tomatov\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-08-22]
OPR Extension: (Mego Shop) - C:\Users\Tomatov\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-08-22]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Обновите:

----
WinRAR 5.31 (64-bit) v.5.31.0 Внимание! Скачать обновления
VLC media player v.2.2.4

-------------------------------- [ Java ] ---------------------------------
Java 8 Update 101 (64-bit) v.8.0.1010.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u102-windows-x64.exe)^

Adobe Flash Player 22 NPAPI v.22.0.0.192 Внимание! Скачать обновления



Вы так и не ответили - какие то проблемы еще наблюдаются?

 

[lilchurll]

Вот фикс лог, сейчас начну обновлять программы.
Я же говорю, при перезагрузке компьютера, в браузеры добавляются какие-то расширения, которые автоматически удаляют блокировщики рекламы.

Вот фикс лог, сейчас начну обновлять программы.
Я же говорю, при перезагрузке компьютера, в браузеры добавляются какие-то расширения, которые автоматически удаляют блокировщики рекламы.

Обманул. Перезагрузил компьютер и посмотрел, ни одно расширение не удалилось. Всё хорошо.
Есть какие-то заключительные инструкции?

 

[Кирилл]

Ну вот и отлично.
Еще раз смените пароли к соцсетям.
Удалите папку C:\FRST

Выполните рекомендации после лечения.

Удачи.