• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Самооткрывание Amigo и "торможение" компьютера...

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#1
Всем доброго времени суток!
Есть ноутбук с Windows 8.1 и учётной записью без пароля и антивируса. Как итог: "автоматически" при загрузке системы загружается браузер Амиго (причём по нескольку вкладок), там сначала реклама, потом включается какой-то фильм; во время работы браузера запустить какое-либо приложение сложно - при нажатии на ярлыки отклика системы нет. После снятия задачи диспетчером задач какое-то время можно работать, затем все повторяется. Логи во вложении. Просьба посмотреть.

P.S. Есть ли смысл скачать LiveCD Drweb'a или Касперского и, загрузившись с него, пролечить с удалением всей этой заразы и только потом делать логи здесь?
 

Вложения

VexMD

Активный пользователь
Сообщения
778
Симпатии
136
#3
Здравствуйте,
1) Деинсталируйте нежелательные программы (через "Программы и компоненты"):
Код:
MaohaWiFi [20170327]-->C:\Program Files (x86)\Maoha\MaohaAP\Uninstall.exe
My Web Shield [20160327]-->C:\Program Files\My Web Shield\mwesuninstall.exe uninst=1
Ojtion [20170327]-->MsiExec.exe /I{63FABE20-831D-40D0-A1F8-3373B3C5CC3A}
ScreenUp [2015/11/30 08:45:14]-->C:\Program Files (x86)\ScreenUp\uninst.exe
TablacusApp [2017/03/27 21:02:31]-->C:\Users\marina\AppData\Roaming\TablacusApp\uninstaller.exe
VOF 0.0.1 [2017/03/30 08:07:53]-->C:\Users\marina\AppData\Roaming\VOF\uninstall.exe
vofer [2017/03/30 08:07:48]-->C:\Users\marina\AppData\Roaming\vofer\uninstall.exe
Zaxar Games Browser 4 [20170327]-->"C:\Program Files (x86)\Zaxar\unins000.exe"
水滴精灵 [20170327]-->C:\Program Files (x86)\FlowSprit\uninst.exe
Ace Stream Media 2.1.10.1 [2015/02/21 14:07:59]-->C:\Users\marina\AppData\Roaming\ACEStream\Uninstall.exe
Если следующие программы сами не устанавливали (не используете), то тоже деинсталируйте:
Код:
Unity Web Player [2017/03/27 21:08:46]-->C:\Users\marina\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
Амиго [20170327]-->"C:\Users\marina\AppData\Local\Amigo\Application\54.0.2840.191\Installer\setup.exe" –uninstall
2) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
Выполните скрипт в AVZ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\maoha\maohaap\maohawifisvr.exe');
 TerminateProcessByName('c:\program files (x86)\screenup\future_helper.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamesteam.exe');
 TerminateProcessByName('C:\Program Files (x86)\Zaxar\zaxargamesteam.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe');
 TerminateProcessByName('C:\Program Files\65MWD8E9NB\0J345C4SI.exe');
 TerminateProcessByName('C:\Program Files\ASLYQIH7AH\CCH9DXG1F.exe');
 TerminateProcessByName('c:\programdata\logic cramble\set.exe');
 TerminateProcessByName('c:\programdata\prefssecure\nettrans.exe');
 TerminateProcessByName('c:\programdata\teamviewer_tracer.exe');
 TerminateProcessByName('c:\users\marina\appdata\local\filterstart\filterstart.exe');
 TerminateProcessByName('c:\users\marina\appdata\local\temp\00006493\msiql.exe');
 TerminateProcessByName('c:\users\marina\appdata\roaming\tablacusapp\tablacusapp.exe');
 TerminateProcessByName('c:\windows\syswow64\surfshield.exe');
 SetServiceStart('p1490638519am', 4);
 SetServiceStart('p1490638272am', 4);
 SetServiceStart('MaohaWifiNetPro', 4);
 SetServiceStart('KuaiZipDrive', 4);
 SetServiceStart('flowhlp', 4);
 SetServiceStart('mwescontroller', 4);
 SetServiceStart('ucdrv', 4);
 SetServiceStart('GoogleChromeUpService', 4);
 SetServiceStart('backlh', 4);
 SetServiceStart('surfshieldsrv', 4);
 SetServiceStart('MaohaWifiSvr', 4);
 SetServiceStart('Nettrans', 4);
 SetServiceStart('TeamViewer_Tracer', 4);

 StopService('MaohaWifiNetPro');
 StopService('KuaiZipDrive');
 StopService('flowhlp');
 StopService('backlh');
 StopService('surfshieldsrv');
 StopService('MaohaWifiSvr');
 StopService('Nettrans');
 StopService('TeamViewer_Tracer');
 QuarantineFile('C:\ProgramData\Plusdax\ZathFan.reg','');
 QuarantineFile('C:\ProgramData\Plusdax\Driping.reg','');
 QuarantineFile('C:\ProgramData\Plusdax\TresNix.reg','');
 QuarantineFile('C:\ProgramData\Plusdax\Dripfresh.reg','');
 QuarantineFile('C:\ProgramData\Utatity\Zaamdom.reg','');
 QuarantineFile('C:\ProgramData\Utatity\Ozertough.reg','');
 QuarantineFile('C:\ProgramData\Utatity\Namsoft.reg','');
 QuarantineFile('C:\ProgramData\Utatity\Dalttech.reg','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\SETUPS~1\python\pythonw.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\SETUPS~1\ml.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\setupsk\python\pythonw.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\setupsk\ml.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\SearchAY\ml.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\SearchAY\python\pythonw.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\SearchAY\app.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\VOF\updater.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\VOF\ml.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\vofer\ml.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\Vofer2\updater.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\Vofer2\IQmanager\app.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\Vofer2\ml.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\Vofer2\IQmanager\ml.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\uninstall.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\updater.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\ml.py','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamesteam.exe','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Solofresh\uninstall.dat','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Solofresh\uninstall.exe','');
 QuarantineFile('C:\Program Files (x86)\Qejisyfank\xchercers.exe','');
 QuarantineFile('C:\Program Files (x86)\Qejisyfank\xckels.exe','');
 QuarantineFile('C:\Program Files (x86)\Tehelekudied\xmaution.exe','');
 QuarantineFile('C:\Program Files (x86)\MyMemory\uninstall.exe','');
 QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe','');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','');
 QuarantineFile('C:\PROGRA~1\6A8C~1\X86\Update.exe','');
 QuarantineFile('C:\Users\marina\AppData\Local\Translator Line Manager.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp\ml.py','');
 QuarantineFile('C:\Program Files (x86)\Qejisyfank\vedther.exe','');
 QuarantineFile('C:\Users\marina\AppData\Local\rightchose\regCheck.vbs','');
 QuarantineFile('C:\Users\marina\AppData\Local\DateOption\regCheck.vbs','');
 QuarantineFile('C:\Users\marina\AppData\Local\ValidateLife\regCheck.vbs','');
 QuarantineFile('C:\Users\marina\AppData\Local\LastNews\regCheck.vbs','');
 QuarantineFile('C:\Users\marina\AppData\Local\ImmediateHelp\regCheck.vbs','');
 QuarantineFile('C:\Users\marina\AppData\Local\TestMenu\regCheck.vbs','');
 QuarantineFile('C:\Users\marina\AppData\Local\FileSystemOptions\regCheck.vbs','');
 QuarantineFile('C:\Users\marina\AppData\Local\FilterOptions\regCheck.vbs','');
 QuarantineFile('C:\Users\marina\AppData\Local\Temp\bk2584.tmp\p1490638519am.sys','');
 QuarantineFile('C:\Users\marina\AppData\Local\Temp\bk606D.tmp\p1490638272am.sys','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\CDManager\ml.py','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\CDManager\updater.py','');
 QuarantineFile('c:\programdata\teamviewer_tracer.exe','');
 QuarantineFile('c:\windows\syswow64\surfshield.exe','');
 QuarantineFile('c:\programdata\logic cramble\set.exe','');
 QuarantineFile('c:\programdata\prefssecure\nettrans.exe','');
 QuarantineFile('c:\users\marina\appdata\local\temp\00006493\msiql.exe','');
 QuarantineFile('c:\program files (x86)\maoha\maohaap\maohawifisvr.exe','');
 QuarantineFile('c:\users\marina\appdata\local\filterstart\filterstart.exe','');
 QuarantineFile('C:\Program Files\ASLYQIH7AH\CCH9DXG1F.exe','');
 QuarantineFile('C:\Program Files\65MWD8E9NB\0J345C4SI.exe','');
 QuarantineFile('C:\ProgramData\TeamViewer_Tracer.exe','');
 QuarantineFile('C:\Program Files (x86)\Maoha\MaohaAP\MaoHaWiFiNet64.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\KuaiZipDrive.sys','');
 QuarantineFile('c:\users\marina\appdata\roaming\winsapsvc\winsap.dll','');
 QuarantineFile('C:\Program Files\їмС№\X86\kuaizipUpdateChecker.dll','');
 QuarantineFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','');
 QuarantineFile('c:\users\marina\appdata\roaming\tablacusapp\tablacusapp.exe','');
 QuarantineFile('C:\Program Files (x86)\rfv\uc.exe','');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe','');
 QuarantineFile('C:\ProgramData\WindowsMsg\Chrome.exe','');
 QuarantineFile('C:\Program Files (x86)\BeCleaner\CA8EA.exe','');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\flowhlp.dat','');
 QuarantineFile('C:\ProgramData\service.exe','');

DeleteFile('c:\users\marina\appdata\roaming\winsapsvc\winsap.dll','32');
DeleteFile('C:\WINDOWS\system32\drivers\KuaiZipDrive.sys','32');
DeleteFile('C:\Program Files (x86)\Maoha\MaohaAP\MaoHaWiFiNet64.sys','32');
DeleteFile('C:\Program Files\їмС№\X86\kuaizipUpdateChecker.dll','32');
DeleteFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','32');
DeleteFile('c:\users\marina\appdata\roaming\tablacusapp\tablacusapp.exe','32');
DeleteFile('C:\Program Files (x86)\rfv\uc.exe','32');
DeleteFile('C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe','32');
DeleteFile('C:\ProgramData\WindowsMsg\Chrome.exe','32');
DeleteFile('C:\Program Files (x86)\BeCleaner\CA8EA.exe','32');
DeleteFile('C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\flowhlp.dat','32');
DeleteFile('C:\ProgramData\service.exe','32');
 DeleteFile('C:\ProgramData\TeamViewer_Tracer.exe','32');
 DeleteFile('C:\Program Files\65MWD8E9NB\0J345C4SI.exe','32');
 DeleteFile('C:\Program Files\ASLYQIH7AH\CCH9DXG1F.exe','32');
 DeleteFile('c:\users\marina\appdata\local\filterstart\filterstart.exe','32');
 DeleteFile('c:\program files (x86)\maoha\maohaap\maohawifisvr.exe','32');
 DeleteFile('c:\users\marina\appdata\local\temp\00006493\msiql.exe','32');
 DeleteFile('c:\programdata\prefssecure\nettrans.exe','32');
 DeleteFile('c:\programdata\logic cramble\set.exe','32');
 DeleteFile('c:\windows\syswow64\surfshield.exe','32');
 DeleteFile('c:\programdata\teamviewer_tracer.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\CDManager\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\CDManager\updater.py','32');
 DeleteFile('C:\Users\marina\AppData\Local\Temp\bk606D.tmp\p1490638272am.sys','32');
 DeleteFile('C:\Users\marina\AppData\Local\Temp\bk2584.tmp\p1490638519am.sys','32');
 DeleteFile('C:\Users\marina\AppData\Local\FilterOptions\regCheck.vbs','32');
 DeleteFile('C:\Users\marina\AppData\Local\FileSystemOptions\regCheck.vbs','32');
 DeleteFile('C:\Users\marina\AppData\Local\TestMenu\regCheck.vbs','32');
 DeleteFile('C:\Users\marina\AppData\Local\ImmediateHelp\regCheck.vbs','32');
 DeleteFile('C:\Users\marina\AppData\Local\LastNews\regCheck.vbs','32');
 DeleteFile('C:\Users\marina\AppData\Local\ValidateLife\regCheck.vbs','32');
 DeleteFile('C:\Users\marina\AppData\Local\DateOption\regCheck.vbs','32');
 DeleteFile('C:\Users\marina\AppData\Local\rightchose\regCheck.vbs','32');
 DeleteFile('C:\Program Files (x86)\Qejisyfank\vedther.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Local\Translator Line Manager.exe','32');
 DeleteFile('C:\PROGRA~1\6A8C~1\X86\Update.exe','32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','32');
 DeleteFile('C:\Program Files (x86)\MIO\MIO.exe ','32');
 DeleteFile('C:\Program Files (x86)\MyMemory\uninstall.exe','32');
 DeleteFile('C:\Program Files (x86)\Tehelekudied\xmaution.exe','32');
 DeleteFile('C:\Program Files (x86)\Qejisyfank\xckels.exe','32');
 DeleteFile('C:\Program Files (x86)\Qejisyfank\xchercers.exe','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Solofresh\uninstall.exe','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Solofresh\uninstall.dat','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\zaxargamesteam.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\updater.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\ForceUpdateVOF\uninstall.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\VOF\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\VOF\updater.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\vofer\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\Vofer2\IQmanager\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\Vofer2\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\Vofer2\IQmanager\app.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\Vofer2\updater.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\SearchAY\python\pythonw.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\SearchAY\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\SearchAY\app.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\setupsk\python\pythonw.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\setupsk\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\SETUPS~1\ml.py','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\SETUPS~1\python\pythonw.exe','32');
 DeleteFile('C:\ProgramData\Utatity\Dalttech.reg','32');
 DeleteFile('C:\ProgramData\Utatity\Ozertough.reg','32');
 DeleteFile('C:\ProgramData\Utatity\Zaamdom.reg','32');
 DeleteFile('C:\ProgramData\Utatity\Namsoft.reg','32');
 DeleteFile('C:\ProgramData\Plusdax\TresNix.reg','32');
 DeleteFile('C:\ProgramData\Plusdax\Driping.reg','32');
 DeleteFile('C:\ProgramData\Plusdax\ZathFan.reg','32');
 DeleteFile('C:\ProgramData\Plusdax\Dripfresh.reg','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\CDManager2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\CDManager','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Current Manifest Manager','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\ekdkbhhhgpgbbhaljkbeihbagmgmeemp','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\ForceUpdateVOF','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Drolocult Collector','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\ForceUpdateVOF2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\IQmanager','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\IQmanager2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\KuaiZip_Update','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Language Line Manager','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Milimili','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\mm','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Mucacult Controls','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\osTip','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\psv_Hotstock','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\psv_Saotom','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\psv_Stringkaybam','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\psv_Tipit','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\psv_Volttouch','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\psv_Zun-Tone','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Reasodom','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SearchAY','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SearchAY2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\psv_Zimjob','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk_upd','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\psv_Kontech','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Translator Line Manager','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\VOF','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\VOF2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\vofer','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Vofer2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Vofer22','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Wujole Verfier','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Zerbas Host','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{32EC4DB9-6E0A-4160-AFB6-2888B2089FA6}','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{7621536D-8B41-4ED7-BF3F-48F8740961E8}','64');
 DeleteService('p1490638519am');
 DeleteService('p1490638272am');
 DeleteService('MaohaWifiNetPro');
 DeleteService('KuaiZipDrive');
 DeleteService('flowhlp');
 DeleteService('mwescontroller');
 DeleteService('ucdrv');
 DeleteService('GoogleChromeUpService');
 DeleteService('backlh');
 DeleteService('surfshieldsrv');
 DeleteService('MaohaWifiSvr');
 DeleteService('Nettrans');
 DeleteService('TeamViewer_Tracer');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6BAL8GIFHQ');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SearchAY');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ForceUpdateVOF');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IQmanager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vofer2');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vofer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CQW2ZW8O0K');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ZFPGPMKSZZ');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CDManager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msiql');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','osmsg');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost0');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','apphide');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TablacusApp2');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VOF');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\KuaizipUpdateChecker\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки архив quarantine.zip из папки C:\Users\marina\Desktop\AutoLogger\AutoLogger\AVZ отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

3) Пофиксите в HijackThis следующие строчки:
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvFx0p-1hUrxR7XuB6UHv_g1U5q6gf9FGDkUvtlqshYmoh9cItJLuJNHH0Ho02ciUD9xTSX7eXaWGPvQX1QkNccgPYEo1JrJAKZ_Bh-T6kKieakt8q-cZhTz-9o6VVY6NHGLIpvxMWiOLhQo
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvFx0p-1hUrxR7XuB6UHv_g1U5q6gf9FGDkUvtlqshYmoh9cItJLuJNHH0Ho02ciUD9xTSX7eXaWGPvQX1QkNccgPYEo1JrJAKZ_Bh-T6kKieakt8q-cZhTz-9o6VVY6NHGLIpvxMWiOLhQo
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=811600
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvFx0p-1hUrxR7XuB6UHv_g1U5q6gf9FGDkUvtlqshYmoh9cItJLuJNHH0Ho02ciUD9xTSX7eXaWGPvQX1QkNccgPYEo1JrJAKZ_Bh-T6kKieakt8q-cZhTz-9o6VVY6NHGLIpvxMWiOLhQo
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command,(default) =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvFx0p-1hUrxR7XuB6UHv_g1U5q6gf9FGDkUvtlqshYmoh9cItJLuJNHH0Ho02ciUD9xTSX7eXaWGPvQX1QkNccgPYEo1JrJAKZ_Bh-T6kKieakt8q-cZhTz-9o6VVY6NHGLIpvxMWiOLhQoix51DsdIyU6fO&q={searchTerms}
O1 - Hosts: Reset contents to default
4) Перетащите файл C:\Users\marina\Desktop\AutoLogger\AutoLogger\CheckBrowserLnk\CheckBrowserLnk.log на утилиту ClearLNK (ClearLNK - удаление параметров запуска у ярлыков).

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

5) Приложите к следующему сообщению новый CollectionLog , повторно запустив Autologger.exe.

6) Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите утилиту через правую кн. мыши от имени администратора, нажмите кнопку Scan (Сканировать) и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Последнее редактирование модератором:

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#4
Доброго времени суток!

Спасибо!

Все программы, кроме Амиго, деинсталлированы, скрипт AVZ выполнен, ссылка на quarantine на ящик выслана (т.к. файл получился около 10 Мб, решил его ссылкой на яндекс-диск разместить), перечисленное пофиксено в HJT, лог ClearLNK во вложении, лог Autologger'a тоже, лог AdwCleaner'a прикрепил тоже

P.S. На всякий случай еще раз письмо с quarantine выслал, прикрепив его в теле письма.
 

Вложения

Последнее редактирование:

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#6
Т.к. это единственный браузер в системе (не portable), который работает (не работает даже IE). Только поэтому. Если рекомендуете и его "грохнуть", без вопросов - бусде... ;-)
 

VexMD

Активный пользователь
Сообщения
778
Симпатии
136
#7
1) Вам знакомы папки ?:
Код:
C:\Update\psgo
C:\ProgramData\RegisterObject
C:\Users\marina\AppData\Roaming\System Tools
2) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
Выполните скрипт в AVZ:
Код:
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\marina\appdata\roaming\kyubey\kyubey.exe');
 SetServiceStart('Kyubey', 4);
 SetServiceStart('prgcnbqc', 4);
 SetServiceStart('flowhlp', 4);
 StopService('Kyubey');
 StopService('flowhlp');
 QuarantineFile('c:\users\marina\appdata\roaming\kyubey\kyubey.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\flowhlp.dat','');
 QuarantineFile('C:\WINDOWS\system32\drivers\prgcnbqc.sys','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\WINSNARE\WinSnare.dll','');
 QuarantineFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','');
 QuarantineFile('C:\Program Files (x86)\Maoha\MaohaAP\Uninstall.exe','');
 QuarantineFile('C:\Update\psgo\psgo.ps1','');
 QuarantineFile('C:\ProgramData\RegisterObject\RegisterObject.exe','');

 DeleteFile('c:\users\marina\appdata\roaming\kyubey\kyubey.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\flowhlp.dat','32');
 DeleteFile('C:\WINDOWS\system32\drivers\prgcnbqc.sys','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\WINSNARE\WinSnare.dll','32');
 DeleteFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','32');
 DeleteFile('C:\Program Files (x86)\Maoha\MaohaAP\Uninstall.exe','32');
 DeleteFile(' C:\Users\marina\Desktop\проги\Ace Player.lnk ','32');
 ExecuteFile('schtasks.exe', '/delete /TN "{845F7DF5-593C-4432-AC8D-8D31D08BAD0A}" /F', 0, 15000, true);
 DeleteService('Kyubey');
 DeleteService('prgcnbqc');
 DeleteService('flowhlp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WINSNARE\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE',' SYSTEM\CurrentControlSet\Services\Eventlog\Application\WINSNARE',' EventMessageFile ');
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки архив quarantine.zip из папки ...\AutoLogger\AVZ отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

3) Запустите повторно AdwCleaner (by Malwarebytes) через правую кн. мыши от имени администратора и нажмите кнопку "Scan" (Сканировать).
После окончания сканирования:
- если пока не хотите удалять Amigo, то снимите "галки" со всех объектов, содержащих "amigo";
- то же самое относится к MailRU.
Нажмите кнопку "Clean"(Очистить) и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении:
C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Подробнее читайте в этом руководстве.

4) Приложите к следующему сообщению новый CollectionLog , повторно запустив Autologger.exe.
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#8
Здравствуйте!

Программы не знакомы. Можно и нужно удалять...
Скрипт в AVZ выполнил (кстати, внимательнее, в нем не было begin на первой строке :) )

Карантин на почту выслал.
AdwCleaner отработал, отчет во вложении.
Новые логи Autologger'a сделал...
 

Вложения

VexMD

Активный пользователь
Сообщения
778
Симпатии
136
#9
1) Деинсталируйте нежелательную программу (через "Программы и компоненты"):
Код:
YAC(Yet Another Cleaner!) [20170216]-->C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe
2) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
Выполните скрипт в AVZ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\elex-tech\yac\isafetray.exe');
 TerminateProcessByName('c:\program files (x86)\elex-tech\yac\isafesvc2.exe');
 TerminateProcessByName('c:\program files (x86)\elex-tech\yac\isafesvc.exe');
 TerminateProcessByName('C:\Program Files\BitTorrent\BitTorrent.exe');
 SetServiceStart('iSafeService', 4);
 SetServiceStart('iSafeKrnlR3', 4);
 SetServiceStart('iSafeKrnlKit', 4);
 SetServiceStart('iSafeKrnl', 4);
 SetServiceStart('flowhlp', 4);
 SetServiceStart('BitTorrent', 4);
 StopService('iSafeKrnlR3');
 StopService('iSafeKrnlKit');
 StopService('iSafeKrnl');
 StopService('iSafeService');
 StopService('flowhlp');
 StopService('BitTorrent');
 QuarantineFile('C:\Users\marina\AppData\Roaming\Sleeping Dogs\Uninstall\unins000.exe','');
 QuarantineFile('C:\Program Files\BitTorrent\BitTorrent.exe','');
 QuarantineFile('C:\Update\psgo\psgo.ps1','');
 QuarantineFile('C:\WINDOWS\system32\drivers\flowhlp.dat','');
 QuarantineFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys','');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys','');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys','');
 QuarantineFile('c:\program files (x86)\elex-tech\yac\isafetray.exe','');
 QuarantineFile('c:\program files (x86)\elex-tech\yac\isafesvc2.exe','');
 QuarantineFile('c:\program files (x86)\elex-tech\yac\isafesvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\iSafeNetFilter.sys','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\Vofer2.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\Beta-Ex.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\vofer.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\LotCof.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\CDManager.exe','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\vof.exe','');

 QuarantineFileF('C:\Program Files\BitTorrent', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Update\psgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Wujole Verfier', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\elex-tech', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Hotcine', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\WINDOWS\system32\log', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\Elex-tech', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Update', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\MIO', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\MK', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\rfv', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\їмС№', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\X2L9QGYN3W', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Ofether', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\ba953ab3-660f-4a3b-ae87-bffc3ca1597e1490615304', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\setupsk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\65MWD8E9NB', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\Ckokipy', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Mucacult Controls', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Tehelekudied', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\ASLYQIH7AH', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Zerbas Host', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\Cocussajuge', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Qejisyfank', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\ZYCQCEAQU9', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Coepageatovry', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\AUH7GYCAV3', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\MF21417PGM', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\GY8JVSGGM5', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\EO36PG49NC', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Shoccult', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\3FGRAIQ21E', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Drolocult Collector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\Zerogh', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\S0CFGO7YBI', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\EQVM325X0B', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\85DTV5VGUU', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\WINDOWS\SYSWOW64\META-INF', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Shoccult_', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\TBA1EJEAIX', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\N35MMO3NSX', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\86HISFYVNT', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\62ILAD7IYX', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\2M909TR46L', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\175A2X7WVX', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\FKWCOV8QV4', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\FI6USOVZG8', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\VOF', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\CDManager', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\ForceUpdateVOF', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\Z8NJX587GN', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\F8DRXRV0X7', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\Rewagh', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\Profiles', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\TMJSHUWUQ0', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\R2NGTFXZM6', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\Mp3tagApp', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\RGOFHE31F0', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\9OM4136R5H', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\marina\AppData\Roaming\System Tools', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\System Tools 8.4.11', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);

 DeleteFile('C:\Users\marina\AppData\Roaming\Sleeping Dogs\Uninstall\unins000.exe','32');
 DeleteFile('C:\Program Files\BitTorrent\BitTorrent.exe','32');
 DeleteFile('C:\Update\psgo\psgo.ps1','32');
 DeleteFile('C:\WINDOWS\system32\drivers\flowhlp.dat','32');
 DeleteFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','32');
 DeleteFile('c:\program files (x86)\elex-tech\yac\isafesvc.exe','32');
 DeleteFile('c:\program files (x86)\elex-tech\yac\isafesvc2.exe','32');
 DeleteFile('c:\program files (x86)\elex-tech\yac\isafetray.exe','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\iSafeNetFilter.sys','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\Vofer2.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\Beta-Ex.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\vofer.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\LotCof.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\CDManager.exe','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\vof.exe','32');

 ExecuteFile('schtasks.exe', '/delete /TN " Windows-PG " /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{03CF0014-465D-4625-9983-57E9A3AF3DB3}" /F', 0, 15000, true);

 DeleteService('iSafeService');
 DeleteService('iSafeKrnl');
 DeleteService('iSafeKrnlR3');
 DeleteService('iSafeKrnlKit');
 DeleteService('flowhlp');
 DeleteService('BitTorrent');

 DeleteFileMask('C:\Program Files\BitTorrent','*', true);
 DeleteFileMask('C:\Update\psgo','*', true);
 DeleteFileMask('C:\Program Files (x86)\Wujole Verfier','*', true);
 DeleteFileMask('c:\program files (x86)\elex-tech','*', true);
 DeleteFileMask('C:\Program Files (x86)\Hotcine','*', true);
 DeleteFileMask('C:\WINDOWS\system32\log','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\Elex-tech','*', true);
 DeleteFileMask('C:\Update','*', true);
 DeleteFileMask('C:\Program Files (x86)\MIO','*', true);
 DeleteFileMask('C:\Program Files (x86)\MK','*', true);
 DeleteFileMask('C:\Program Files (x86)\rfv','*', true);
 DeleteFileMask('C:\Program Files\їмС№','*', true);
 DeleteFileMask('C:\Program Files\X2L9QGYN3W','*', true);
 DeleteFileMask('C:\Program Files (x86)\Ofether','*', true);
 DeleteFileMask('C:\Program Files (x86)\ba953ab3-660f-4a3b-ae87-bffc3ca1597e1490615304','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\setupsk','*', true);
 DeleteFileMask('C:\Program Files\65MWD8E9NB','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\Ckokipy','*', true);
 DeleteFileMask('C:\Program Files (x86)\Mucacult Controls','*', true);
 DeleteFileMask('C:\Program Files (x86)\Tehelekudied','*', true);
 DeleteFileMask('C:\Program Files\ASLYQIH7AH','*', true);
 DeleteFileMask('C:\Program Files (x86)\Zerbas Host','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\Cocussajuge','*', true);
 DeleteFileMask('C:\Program Files (x86)\Qejisyfank','*', true);
 DeleteFileMask('C:\Program Files\ZYCQCEAQU9','*', true);
 DeleteFileMask('C:\Program Files (x86)\Coepageatovry','*', true);
 DeleteFileMask('C:\Program Files\AUH7GYCAV3','*', true);
 DeleteFileMask('C:\Program Files\MF21417PGM','*', true);
 DeleteFileMask('C:\Program Files\GY8JVSGGM5','*', true);
 DeleteFileMask('C:\Program Files\EO36PG49NC','*', true);
 DeleteFileMask('C:\Program Files (x86)\Shoccult','*', true);
 DeleteFileMask('C:\Program Files\3FGRAIQ21E','*', true);
 DeleteFileMask('C:\Program Files (x86)\Drolocult Collector','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\Zerogh','*', true);
 DeleteFileMask('C:\Program Files\S0CFGO7YBI','*', true);
 DeleteFileMask('C:\Program Files\EQVM325X0B','*', true);
 DeleteFileMask('C:\Program Files\85DTV5VGUU','*', true);
 DeleteFileMask('C:\WINDOWS\SYSWOW64\META-INF','*', true);
 DeleteFileMask('C:\Program Files (x86)\Shoccult_','*', true);
 DeleteFileMask('C:\Program Files\TBA1EJEAIX','*', true);
 DeleteFileMask('C:\Program Files\N35MMO3NSX','*', true);
 DeleteFileMask('C:\Program Files\86HISFYVNT','*', true);
 DeleteFileMask('C:\Program Files\62ILAD7IYX','*', true);
 DeleteFileMask('C:\Program Files\2M909TR46L','*', true);
 DeleteFileMask('C:\Program Files\175A2X7WVX','*', true);
 DeleteFileMask('C:\Program Files\FKWCOV8QV4','*', true);
 DeleteFileMask('C:\Program Files\FI6USOVZG8','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\VOF','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\CDManager','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\ForceUpdateVOF','*', true);
 DeleteFileMask('C:\Program Files\Z8NJX587GN','*', true);
 DeleteFileMask('C:\Program Files\F8DRXRV0X7','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\Rewagh','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\Profiles','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp','*', true);
 DeleteFileMask('C:\Program Files\TMJSHUWUQ0','*', true);
 DeleteFileMask('C:\Program Files\R2NGTFXZM6','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\Mp3tagApp','*', true);
 DeleteFileMask('C:\Program Files\RGOFHE31F0','*', true);
 DeleteFileMask('C:\Program Files\9OM4136R5H','*', true);
 DeleteFileMask('C:\Users\marina\AppData\Roaming\System Tools','*', true);
 DeleteFileMask('C:\Program Files (x86)\System Tools 8.4.11','*', true);

 DeleteDirectory('C:\Program Files\BitTorrent');
 DeleteDirectory('C:\Update\psgo');
 DeleteDirectory('C:\Program Files (x86)\Wujole Verfier');
 DeleteDirectory('c:\program files (x86)\elex-tech');
 DeleteDirectory('C:\Program Files (x86)\Hotcine');
 DeleteDirectory('C:\WINDOWS\system32\log');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\Elex-tech');
 DeleteDirectory('C:\Update');
 DeleteDirectory('C:\Program Files (x86)\MIO');
 DeleteDirectory('C:\Program Files (x86)\MK');
 DeleteDirectory('C:\Program Files (x86)\rfv');
 DeleteDirectory('C:\Program Files\їмС№');
 DeleteDirectory('C:\Program Files\X2L9QGYN3W');
 DeleteDirectory('C:\Program Files (x86)\Ofether');
 DeleteDirectory('C:\Program Files (x86)\ba953ab3-660f-4a3b-ae87-bffc3ca1597e1490615304');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\setupsk');
 DeleteDirectory('C:\Program Files\65MWD8E9NB');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\Ckokipy');
 DeleteDirectory('C:\Program Files (x86)\Mucacult Controls');
 DeleteDirectory('C:\Program Files (x86)\Tehelekudied');
 DeleteDirectory('C:\Program Files\ASLYQIH7AH');
 DeleteDirectory('C:\Program Files (x86)\Zerbas Host');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\Cocussajuge');
 DeleteDirectory('C:\Program Files (x86)\Qejisyfank');
 DeleteDirectory('C:\Program Files\ZYCQCEAQU9');
 DeleteDirectory('C:\Program Files (x86)\Coepageatovry');
 DeleteDirectory('C:\Program Files\AUH7GYCAV3');
 DeleteDirectory('C:\Program Files\MF21417PGM');
 DeleteDirectory('C:\Program Files\GY8JVSGGM5');
 DeleteDirectory('C:\Program Files\EO36PG49NC');
 DeleteDirectory('C:\Program Files (x86)\Shoccult');
 DeleteDirectory('C:\Program Files\3FGRAIQ21E');
 DeleteDirectory('C:\Program Files (x86)\Drolocult Collector');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\Zerogh');
 DeleteDirectory('C:\Program Files\S0CFGO7YBI');
 DeleteDirectory('C:\Program Files\EQVM325X0B');
 DeleteDirectory('C:\Program Files\85DTV5VGUU');
 DeleteDirectory('C:\WINDOWS\SYSWOW64\META-INF');
 DeleteDirectory('C:\Program Files (x86)\Shoccult_');
 DeleteDirectory('C:\Program Files\TBA1EJEAIX');
 DeleteDirectory('C:\Program Files\N35MMO3NSX');
 DeleteDirectory('C:\Program Files\86HISFYVNT');
 DeleteDirectory('C:\Program Files\62ILAD7IYX');
 DeleteDirectory('C:\Program Files\2M909TR46L');
 DeleteDirectory('C:\Program Files\175A2X7WVX');
 DeleteDirectory('C:\Program Files\FKWCOV8QV4');
 DeleteDirectory('C:\Program Files\FI6USOVZG8');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\VOF');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\CDManager');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\ForceUpdateVOF');
 DeleteDirectory('C:\Program Files\Z8NJX587GN');
 DeleteDirectory('C:\Program Files\F8DRXRV0X7');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\Rewagh');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\Profiles');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\ekdkbhhhgpgbbhaljkbeihbagmgmeemp');
 DeleteDirectory('C:\Program Files\TMJSHUWUQ0');
 DeleteDirectory('C:\Program Files\R2NGTFXZM6');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\Mp3tagApp');
 DeleteDirectory('C:\Program Files\RGOFHE31F0');
 DeleteDirectory('C:\Program Files\9OM4136R5H');
 DeleteDirectory('C:\Users\marina\AppData\Roaming\System Tools');
 DeleteDirectory('C:\Program Files (x86)\System Tools 8.4.11');

ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки архив quarantine.zip из папки C:\Users\marina\Desktop\AutoLogger\AutoLogger\AVZ отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

3) Приложите к следующему сообщению новый CollectionLog , повторно запустив Autologger.exe.
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#10
Здравствуйте!

Спасибо!
Программа деинсталлирована.
Логи Autologger'ом сделаны - во вложении. Карантин на почту отправил.

P.S. Поставил firefox и антивирус avira.
 

Вложения

VexMD

Активный пользователь
Сообщения
778
Симпатии
136
#11
1) Деинсталируйте нежелательные программы (через "Программы и компоненты"):
Код:
deskapp [20170331]-->MsiExec.exe /I{6AD06984-E21B-436F-9341-11053320B994}
WinSnare [20170401]-->MsiExec.exe /I{BB26F52E-34C5-4937-9240-471C59CC81E6}
2) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
Выполните скрипт в AVZ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
 TerminateProcessByName('c:\users\marina\appdata\roaming\kyubey\kyubey.exe');
 SetServiceStart('Kyubey', 4);
 StopService('Kyubey');
 QuarantineFile('C:\Update\psgo\psgo.ps1','');
 QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe','');
 QuarantineFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\WINSNARE\WinSnare.dll','');
 QuarantineFile('C:\Users\marina\AppData\Roaming\WinSAPSvc\WinSAP.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\flowhlp.dat','');
 QuarantineFile('c:\users\marina\appdata\roaming\winsapsvc\winsap.dll','');
 QuarantineFile('c:\users\marina\appdata\roaming\kyubey\kyubey.exe','');
 QuarantineFile(' C:\WINDOWS\system32\drivers\iSafeNetFilter.sys ','');
 QuarantineFileF(' C:\Users\marina\AppData\Roaming\Kyubey ', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF(' C:\Users\marina\AppData\Roaming\WinSnare ', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF(' C:\Program Files (x86)\WinSnare(4.4.5)', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF(' C:\Users\marina\AppData\Roaming\WinSAPSvc ', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF(' C:\Program Files\їмС№', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 DeleteFile(' C:\WINDOWS\system32\drivers\iSafeNetFilter.sys ','32');
 DeleteFile('c:\users\marina\appdata\roaming\kyubey\kyubey.exe','32');
 DeleteFile('c:\users\marina\appdata\roaming\winsapsvc\winsap.dll','32');
 DeleteFile('C:\WINDOWS\system32\drivers\flowhlp.dat','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\WinSAPSvc\WinSAP.dll','32');
 DeleteFile('C:\Users\marina\AppData\Roaming\WINSNARE\WinSnare.dll','32');
 DeleteFile('C:\Program Files (x86)\Wujole Verfier\local64spl.dll','32');
 DeleteFile('C:\Program Files (x86)\MIO\MIO.exe','32');
 DeleteFile('C:\Update\psgo\psgo.ps1','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Windows-PG" /F', 0, 15000, true);
 DeleteService('Kyubey');
 DeleteFileMask(' C:\Users\marina\AppData\Roaming\Kyubey ','*', true);
 DeleteFileMask(' C:\Users\marina\AppData\Roaming\WinSnare ','*', true);
 DeleteFileMask(' C:\Program Files (x86)\WinSnare(4.4.5)','*', true);
 DeleteFileMask(' C:\Users\marina\AppData\Roaming\WinSAPSvc ','*', true);
 DeleteFileMask(' C:\Program Files\їмС№','*', true);
 DeleteDirectory(' C:\Users\marina\AppData\Roaming\Kyubey ');
 DeleteDirectory(' C:\Users\marina\AppData\Roaming\WinSnare ');
 DeleteDirectory(' C:\Program Files (x86)\WinSnare(4.4.5)');
 DeleteDirectory(' C:\Users\marina\AppData\Roaming\WinSAPSvc ');
 DeleteDirectory(' C:\Program Files\їмС№');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WINSNARE\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WINSNARE','EventMessageFile');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки архив quarantine.zip из папки C:\Users\marina\Desktop\AutoLogger\AutoLogger\AVZ отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

3) Приложите к следующему сообщению новый CollectionLog , повторно запустив Autologger.exe.
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#12
Здравствуйте!

Спасибо!

Программы перечисленные удалены, скрипт AVZ выполнен, карантин выслан, новые логи во вложении.

P.S. Во время сборов логов Autologger'a после появления предупреждения о запуске IE и Mozilla (м.б. google chrome) не запускается ни тот, ни другой...
 

Вложения

VexMD

Активный пользователь
Сообщения
778
Симпатии
136
#13
1) Запустите повторно AdwCleaner (by Malwarebytes) через правую кн. мыши от имени администратора и нажмите кнопку "Scan" (Сканировать).
После окончания сканирования, нажмите кнопку "Clean"(Очистить) и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении:
C:\AdwCleaner\AdwCleaner[C*].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2) Скачайте FRST (для вашей системы 64-Bit файл) и сохраните на Рабочем столе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Отметьте галочками Shortcut.txt, Addition.txt
  • Нажмите кнопку Scan.
  • После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Пожалуйста, прикрепите все отчеты в следующем сообщении. (Если не помещаются - упакуйте в один архив).
  • Подробнее читайте в Как подготовить лог Farbar Recovery Scan Tool
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#14
Спасибо!

Отчет AdwCleaner'a во вложении, как и все отчеты FRST.
 

Вложения

VexMD

Активный пользователь
Сообщения
778
Симпатии
136
#15
1) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2051226570-2315188445-2854146808-1001\...\MountPoints2: {f966bca8-728b-11e5-bf10-089e01e65d9b} - "D:\LG_PC_Programs.exe"
HKLM\...\Providers\cvu44b6a: C:\Program Files (x86)\Wujole Verfier\local64spl.dll
ShellExecuteHooks: No Name - {1328C5D2-0D5F-11E7-892E-64006A5CFC23} - C:\Users\marina\AppData\Roaming\Rewagh\Gerqataincoepuse.dll -> No File
ShellExecuteHooks: No Name - {9F59D1A2-0D5F-11E7-8B7C-64006A5CFC23} - C:\Users\marina\AppData\Roaming\Zerogh\Phiwitain.dll -> No File
ShellExecuteHooks: No Name - {2CED3980-0D60-11E7-89DE-64006A5CFC23} - C:\Users\marina\AppData\Roaming\Cocussajuge\Bezdomduray.dll -> No File
ShellExecuteHooks: No Name - {7261736E-0E31-11E7-9182-64006A5CFC23} - C:\Users\marina\AppData\Roaming\Ckokipy\Mufagehibeck.dll -> No File
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\їмС№\X64\KZipShell.dll -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
SearchScopes: HKLM-x32 -> DefaultScope value is missing
SearchScopes: HKU\S-1-5-21-2051226570-2315188445-2854146808-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2051226570-2315188445-2854146808-1001 -> {E2D91B09-D0C2-4230-B52E-11DAA186D61B} URL =
FF Plugin-x32: @videolan.org/vlc,version=2.1.2 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
FF Plugin-x32: @videolan.org/vlc,version=2.1.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [oilhebpjhnjaeghedpjnmajajlcfdjgc] - hxxps://clients2.google.com/service/update2/crx
CHR Profile: C:\Users\marina\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-03-26] <==== ATTENTION
CHR Profile: C:\Users\marina\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2017-03-31] <==== ATTENTION
CHR NewTab: Default ->  Active:"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html"
CHR DefaultSearchURL: Default -> hxxp://searche-engine.ru/?ref=mgykk&q={searchTerms}&subId=cmi_chrome
R0 flowhlp; C:\WINDOWS\System32\drivers\flowhlp.dat [155168 2017-03-27] () [File not signed]
2017-03-31 14:50 - 2017-03-31 14:50 - 00000000 ____D C:\Users\marina\AppData\Local\Hotcine
2017-03-30 09:52 - 2017-03-30 09:52 - 00000000 ____D C:\Users\marina\.zaxargamesteam
2017-03-30 09:52 - 2017-03-30 09:52 - 00000000 ____D C:\Users\marina\.ZaxarGameBrowser
2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\ValidateLife
2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\TestMenu
2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\rightchose
2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\LastNews
2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\ImmediateHelp
2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\FilterOptions
2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\FileSystemOptions
2017-03-30 08:31 - 2017-03-30 22:34 - 00000000 ____D C:\Users\marina\AppData\Local\DateOption
2017-03-27 16:10 - 2017-03-27 16:10 - 00155168 _____ C:\WINDOWS\system32\Drivers\flowhlp.dat
2017-03-27 16:09 - 2017-03-27 16:09 - 00000000 ____D C:\Users\marina\AppData\Local\UCBrowser
2017-03-27 15:18 - 2017-03-27 15:18 - 00000000 ____D C:\Users\marina\AppData\Local\CEF
2017-03-27 15:16 - 2017-03-27 15:16 - 00000857 _____ C:\Users\marina\AppData\Roaming\Microsoft\Windows\Start Menu\їмС№.lnk
2017-03-27 15:13 - 2017-04-01 17:57 - 00000000 ____D C:\Program Files\їмС№
2017-03-27 15:02 - 2017-03-27 15:06 - 00000000 ____D C:\Users\marina\AppData\Local\Cherpogh
2017-03-27 13:59 - 2017-03-27 14:10 - 00000000 ____D C:\Users\marina\AppData\Local\Derbitytqosh
2017-03-27 01:14 - 2017-03-30 08:06 - 00001366 _____ C:\Users\Все пользователи\log.ewbt
2017-03-27 01:14 - 2017-03-30 08:06 - 00001366 _____ C:\ProgramData\log.ewbt
2017-03-26 23:53 - 2017-03-26 23:58 - 00000000 ____D C:\Users\marina\AppData\Local\Cheztion
2017-03-26 21:17 - 2017-03-26 22:17 - 00000000 ____D C:\Users\marina\AppData\Local\Ckerwaward
2017-03-26 20:19 - 2017-03-26 20:19 - 00136827 _____ () C:\Users\marina\AppData\Roaming\Sanex.bin
2017-03-26 20:19 - 2017-03-26 20:19 - 00000040 _____ C:\Users\marina\AppData\Roaming\Vofer2.exe.sha1
2017-03-26 20:18 - 2017-03-26 20:18 - 01895384 _____ C:\Users\marina\AppData\Roaming\Y-trax.bin
2017-03-26 20:18 - 2017-03-26 20:18 - 01894682 _____ C:\Users\marina\AppData\Roaming\Beta-Ex.tst
2017-03-26 20:16 - 2017-03-26 20:16 - 01894682 _____ C:\Users\marina\AppData\Roaming\LotCof.tst
2017-03-26 20:16 - 2017-03-26 20:16 - 00278509 _____ C:\Users\marina\AppData\Roaming\Toughcom.bin
2017-03-26 20:14 - 2017-03-26 20:14 - 00000040 _____ C:\Users\marina\AppData\Roaming\CDManager.exe.sha1
2017-03-26 20:13 - 2017-03-27 14:20 - 00000040 _____ C:\Users\marina\AppData\Roaming\vof.exe.sha1
2017-03-26 20:09 - 2017-03-27 00:34 - 00000000 ____D C:\Users\marina\AppData\Local\Prermerward
2017-03-26 20:07 - 2017-03-30 22:26 - 00000000 ____D C:\Users\marina\AppData\LocalLow\Unity
2017-03-26 20:07 - 2017-03-30 22:26 - 00000000 ____D C:\Users\marina\AppData\Local\Unity
2017-03-26 20:01 - 2017-03-30 08:06 - 00000128 _____ C:\Users\Все пользователи\log.ewb
2017-03-26 20:01 - 2017-03-30 08:06 - 00000128 _____ C:\ProgramData\log.ewb
2014-06-07 18:00 - 2014-06-07 18:00 - 6103040 _____ () C:\Program Files (x86)\GUT689D.tmp
2014-07-12 11:42 - 2014-09-18 19:28 - 0684032 ____H () C:\Users\marina\AppData\Roaming\aflbase.db
2014-07-12 12:07 - 2017-02-28 21:41 - 2673664 ____H () C:\Users\marina\AppData\Roaming\base.db
2017-03-26 20:18 - 2017-03-26 20:18 - 1894682 _____ () C:\Users\marina\AppData\Roaming\Beta-Ex.tst
2017-03-26 20:14 - 2017-03-26 20:14 - 0000040 _____ () C:\Users\marina\AppData\Roaming\CDManager.exe.sha1
2017-03-26 20:16 - 2017-03-26 20:16 - 1894682 _____ () C:\Users\marina\AppData\Roaming\LotCof.tst
2017-02-11 20:52 - 2017-02-11 20:52 - 0000018 _____ () C:\Users\marina\AppData\Roaming\RusTV_Setting.ini
2017-03-26 20:19 - 2017-03-26 20:19 - 0136827 _____ () C:\Users\marina\AppData\Roaming\Sanex.bin
2017-03-26 20:16 - 2017-03-26 20:16 - 0278509 _____ () C:\Users\marina\AppData\Roaming\Toughcom.bin
2017-03-26 20:13 - 2017-03-27 14:20 - 0000040 _____ () C:\Users\marina\AppData\Roaming\vof.exe.sha1
2017-03-26 20:19 - 2017-03-26 20:19 - 0000040 _____ () C:\Users\marina\AppData\Roaming\Vofer2.exe.sha1
2017-03-26 20:18 - 2017-03-26 20:18 - 1895384 _____ () C:\Users\marina\AppData\Roaming\Y-trax.bin
2017-03-26 20:00 - 2017-03-26 20:01 - 0000335 _____ () C:\Users\marina\AppData\Local\expand.ini
2014-02-11 12:10 - 2014-02-11 12:10 - 0007602 _____ () C:\Users\marina\AppData\Local\Resmon.ResmonCfg
2017-03-30 22:24 - 2017-03-27 16:10 - 0516072 _____ (深圳市史宾赛科技有限公司) C:\Users\marina\AppData\Local\uninst.tmp
2014-09-21 00:28 - 2014-09-21 00:28 - 0000000 _____ () C:\Users\marina\AppData\Local\{44519C00-FC37-4EBB-98A6-539C01AC4173}
2013-09-21 16:54 - 2013-09-21 16:54 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2017-03-30 08:07 - 2017-03-30 08:08 - 0000132 _____ () C:\ProgramData\log.bin
2017-03-26 20:01 - 2017-03-30 08:06 - 0000128 _____ () C:\ProgramData\log.ewb
2017-03-27 01:14 - 2017-03-30 08:06 - 0001366 _____ () C:\ProgramData\log.ewbt
2017-03-30 08:02 - 2017-03-30 08:02 - 0000000 __RSH () C:\Program Files\360
Task: {111DB1A6-B54C-4266-95E0-DF88A8F9CD42} - \Zerbas Host -> No File <==== ATTENTION
Task: {192ACC23-9A7F-4BF2-84FE-4A5B46334988} - \SearchAY -> No File <==== ATTENTION
Task: {1E3ACC19-9759-401F-B44A-3FA79953EF83} - \psv_Stringkaybam -> No File <==== ATTENTION
Task: {2A87428F-BF2D-4A49-B9F6-DA44D03EB88A} - \psv_Kontech -> No File <==== ATTENTION
Task: {46BC9BCE-8426-4FAA-B7B2-B82C0A7CF381} - \ForceUpdateVOF -> No File <==== ATTENTION
Task: {4CE07132-C991-4299-AE21-F422D944275B} - \IQmanager -> No File <==== ATTENTION
Task: {5BBE47E9-AD75-479A-95FB-401949C9395D} - \ForceUpdateVOF2 -> No File <==== ATTENTION
Task: {5FEB1281-F179-42A8-A91C-E055314755AE} - \CDManager2 -> No File <==== ATTENTION
Task: {6DD956C4-0EB0-459B-9CC5-C61FCEAACAF4} - \psv_Zun-Tone -> No File <==== ATTENTION
Task: {7AA1CEB0-5CFC-49FE-9FEE-9215E73142C2} - \Reasodom -> No File <==== ATTENTION
Task: {7D3EE2DF-736E-4EA7-A3E4-D30BA7C4FEF2} - \setupsk_upd -> No File <==== ATTENTION
Task: {8E07AADC-5388-4514-BEE9-B2BC0736D03A} - \setupsk -> No File <==== ATTENTION
Task: {95C75AAD-A0A1-4489-9A55-74B50CF27B0C} - \vofer -> No File <==== ATTENTION
Task: {9724766D-6A4C-4243-A9BE-520DF72B08D1} - \VOF2 -> No File <==== ATTENTION
Task: {9856CA4F-3723-43C8-90EA-C88B06E954E1} - \Drolocult Collector -> No File <==== ATTENTION
Task: {B713A1DA-5DED-47A1-A6FC-0E0CAB5E891C} - \IQmanager2 -> No File <==== ATTENTION
Task: {BA995C4D-8858-40D3-9F4C-155B0761712B} - \psv_Tipit -> No File <==== ATTENTION
Task: {BE4D96BA-3F2E-4A39-8EA0-AF817899A57A} - \{32EC4DB9-6E0A-4160-AFB6-2888B2089FA6} -> No File <==== ATTENTION
Task: {C0675B47-7CFE-486F-BEC8-2878245B7CAB} - \psv_Saotom -> No File <==== ATTENTION
Task: {C5AF8B74-1034-4C25-B7C4-F671AA4AA8E4} - \ekdkbhhhgpgbbhaljkbeihbagmgmeemp -> No File <==== ATTENTION
Task: {D22E77EC-E22F-4C7C-803F-35C08658D907} - \Mucacult Controls -> No File <==== ATTENTION
Task: {D3D91AF9-16A2-4626-846E-2660D0024AD3} - \psv_Volttouch -> No File <==== ATTENTION
Task: {D49D1E24-B25C-4F34-9EA5-5155F0475201} - \{7621536D-8B41-4ED7-BF3F-48F8740961E8} -> No File <==== ATTENTION
Task: {D64E2B13-CD66-4E91-AD0F-4947F7820A7E} - \Wujole Verfier -> No File <==== ATTENTION
Task: {DA4C96DF-6C98-4D93-A585-531444449676} - \psv_Zimjob -> No File <==== ATTENTION
Task: {EE6AC920-204F-4C54-A9CF-639CED264205} - \mm -> No File <==== ATTENTION
Task: {F1FBBC5E-1C8A-40EC-A02A-337747806366} - \psv_Hotstock -> No File <==== ATTENTION
Task: {FF76D292-29F4-4CDD-9BE1-BCD4216E95D8} - \Vofer22 -> No File <==== ATTENTION
HKU\S-1-5-21-2051226570-2315188445-2854146808-1001\...\StartupApproved\Run: => "AceStream"
FirewallRules: [UDP Query User{6A9A68DA-9C22-4149-A083-E6FCEEEC72D5}C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [TCP Query User{E45491A2-4CFF-4414-A034-DFB6A72A9B52}C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [UDP Query User{21E33DF5-8FDD-412E-ADDC-35D7DD8537CE}C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [TCP Query User{9BE2C576-6D6D-4C04-8DF3-048025783F2B}C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\marina\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [{A74A2BF4-89AB-4025-A0F9-F5FAABD384CD}] => (Allow) C:\Users\marina\AppData\Local\Temp\FlowSpritSetup_slnt_5011.exe
FirewallRules: [{47786FCE-1E3B-4A4D-9676-668DE7CCE63C}] => (Allow) C:\Users\marina\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{A5819F97-D9C2-48E8-A24D-A987ACA33EF6}] => (Allow) C:\WINDOWS\SysWOW64\SurfShield.exe
FirewallRules: [{434DE563-7E11-427A-8472-0400AEACF62D}] => (Allow) C:\WINDOWS\SysWOW64\SurfShield.exe
irewallRules: [{FE407CEC-D5E6-4430-B06E-BE3DC331789D}] => (Allow) C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe
FirewallRules: [{40A51D36-BBD1-42AA-8762-D2FD5F7F827B}] => (Allow) C:\Program Files (x86)\MIO\loader\wdcxwd5000lpvx-22v0tt0_wd-wx81a730918709187.dat
FirewallRules: [{EC5F9AD4-524E-4098-BC0E-EF968ED48B2B}] => (Allow) C:\Program Files (x86)\MIO\loader\wdcxwd5000lpvx-22v0tt0_wd-wx81a730918709187.dat
FirewallRules: [{2532E44D-F6A2-4F2A-B74A-9F842BF8AE3D}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{8AE85321-413E-454B-9125-76DDDAEED96E}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
C:\Users\marina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\757e690e5adfd328\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\marina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk
C:\Users\marina\AppData\Roaming\Microsoft\Windows\Start Menu\їмС№.lnk
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с FRST64.exe.
Отключите до перезагрузки антивирус, запустите FRST (через контекстное меню Проводника - "Запуск имени Администратора"), нажмите Fix и подождите.
Программа создаст лог-файл Fixlog.txt. Прикрепите его следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
2) Подготовьте и приложите повторные логи FRST, как описано в посте #13
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#16
Выполнено. Логи во вложении.
 

Вложения

VexMD

Активный пользователь
Сообщения
778
Симпатии
136
#17
1) Это ваша папка (содержимое известно) ? - C:\Distr

2) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
CloseProcesses:
R0 flowhlp; system32\drivers\flowhlp.dat [X]
2017-04-01 19:09 - 2017-04-01 20:58 - 00000000 _____ C:\Users\Public\Documents\temp.dat
2017-03-31 14:47 - 2017-03-31 14:47 - 00000000 _____ C:\WINDOWS\SysWOW64\4
2017-03-31 14:47 - 2017-03-31 14:47 - 00000000 _____ C:\WINDOWS\SysWOW64\3
2017-03-31 20:47 - 2017-03-31 20:47 - 00000000 ____H C:\WINDOWS\system32\Drivers\Msft_Kernel_avusbflt_01011.Wdf
2017-04-01 20:58 - 2017-04-01 20:58 - 00000000 ____H C:\Users\Все пользователи\DP45977C.lfl
2017-04-01 20:58 - 2017-04-01 20:58 - 00000000 ____H C:\ProgramData\DP45977C.lfl
FirewallRules: [{FE407CEC-D5E6-4430-B06E-BE3DC331789D}] => (Allow) C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe
FirewallRules: [{0A6B20B6-A71C-4BFC-A5E4-647F916E09CA}] => (Allow) C:\Program Files (x86)\Hotcine\Application\chrome.exe
C:\Program Files (x86)\Wujole Verfier
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с FRST64.exe.
Отключите до перезагрузки антивирус, запустите FRST (через контекстное меню Проводника - "Запуск имени Администратора"), нажмите Fix и подождите.
Программа создаст лог-файл Fixlog.txt. Прикрепите его следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

3) Сообщите, какие остаются проблемы ?
 
Последнее редактирование:

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#18
Да, содержимое папки известно - сам ее создавал...

Лог во вложении.

Проблемы? Перед предыдущими 2 лечениями, кроме не запуска IE и Mozillla (при создании логов AVZ) больше ничего криминального визуально (и по ощущениям) не наблюдал... Думаю, вам виднее :) . У вас логи AVZ, HJT, FRST, AdwCleaner'a, ClearLNK... :)
 

Вложения

VexMD

Активный пользователь
Сообщения
778
Симпатии
136
#19
1) Понаблюдайте сегодня - завтра и пришлите контрольные логи FRST.

2) Пока проверим уязвимости системы:
Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите через правую кнопку мыши - Запустить от имени администратора.
Если увидите предупреждение от вашего фаерволла относительно программы SecurityCheck, то не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, напримерC:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое этого файла в свое следующее сообщение (сам файл можно не выкладывать).
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#20
SecurityCheck by glax24 & Severnyj v.1.4.0.47 [25.03.17]
WebSite: www.safezone.cc
DateLog: 01.04.2017 22:19:21
Path starting: C:\Users\marina\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: marina
VersionXML: 4.05is-25.03.2017
___________________________________________________________________________

Windows 8.1(6.3.9600) (x64) CoreSingleLanguage Lang: Russian(0419)
Дата установки ОС: 21.02.2015 20:31:36
Статус лицензии: Windows(R), CoreSingleLanguage edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: 0
Системный диск: C: ФС: [NTFS] Емкость: [450.2 Гб] Занято: [416.1 Гб] Свободно: [34.1 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18618
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2017-04-01 12:35:40
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2010 x86 v.14.0.4763.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
Avira Antivirus (включен и обновлен)
Windows Defender (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Avira Antivirus (включен и обновлен)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avira Antivirus v.15.0.25.172
McAfee WebAdvisor v.4.0.189
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.01 (64-bit) v.5.01.0 Внимание! Скачать обновления
TeamViewer 12 v.12.0.75813
TeamViewer 12 (TeamViewer) - Служба работает
--------------------------------- [ IM ] ----------------------------------
QIP 2005 8098 v.8098
Skype™ 7.16 v.7.16.102 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.7.42330 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 51 v.7.0.510 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u121-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 25 NPAPI v.25.0.0.127
Adobe Flash Player 25 PPAPI v.25.0.0.127
------------------------------- [ Browser ] -------------------------------
Google Chrome v.57.0.2987.133 [+]
Mozilla Firefox 52.0.2 (x86 ru) v.52.0.2 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
Avira Планировщик (AntiVirSchedulerService) - Служба работает
C:\Program Files (x86)\Avira\Antivirus\sched.exe v.15.0.25.170
Avira Real-Time Protection (AntiVirService) - Служба работает
C:\Program Files (x86)\Avira\Antivirus\avguard.exe v.15.0.25.170
Avira Mail Protection (AntiVirMailService) - Служба остановлена
Avira Web Protection (AntiVirWebService) - Служба остановлена
Avira Service Host (Avira.ServiceHost) - Служба работает
C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe v.1.2.81.41506
C:\Program Files (x86)\Avira\Launcher\Avira.Systray.exe v.1.2.81.41506
C:\Program Files (x86)\Avira\Antivirus\avshadow.exe v.15.0.25.172
C:\Program Files (x86)\Avira\Antivirus\avgnt.exe v.15.0.25.170
McAfee SiteAdvisor Service (McAfee SiteAdvisor Service) - Служба работает
C:\Program Files (x86)\McAfee\SiteAdvisor\mcsacore.exe v.4.0.2.189
Служба Защитника Windows (WinDefend) - Служба остановлена
Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
QIP Internet Guardian Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------


P.S. По поводу контрольных логов FRST - хорошо, пришлю завтра. Пока не закрывайте тему.