• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Словил Tencent-QQPCMgr

Статус
В этой теме нельзя размещать новые ответы.

magicwd

Активный пользователь
Сообщения
40
Реакции
4
Баллы
88
Здравствуйте! Все банально пошло, скачал и установил файл WindowsPhonePowerTools.exe и приобрел полный китайский фарш для винды). Удалось удалить службу QQPCMgrRTPService методом описаным по ссылке (Tencent QQPCMgr - как удалить с компьютера?), через их собственный китайский деинсталятор. Но рекламные окна в браузерах остались, вылазят при каждом открытии новой вкладки. Посоветуйте пожалуйста как избавиться от инфекции.
 

Кирилл

Команда форума
Администратор
Сообщения
13,918
Реакции
6,254
Баллы
993
Здравствуйте!
Удалите через установку и удаление программ:
Browser Extensions
Search Protection
Surfing Protection
swMSM

Это вам знакомо? IObit

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Chrome Apps & Extensions Developer Tool.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndeх.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех (2).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndeх.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnet Exрlоrer Вrowsеr.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrome (2).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе (2).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Exрlorеr.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Еxplоrer (2).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа (2).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орera (2).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орera.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Еxplorer (Nо Add-оns).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Пaнель запуска приложений Сhrоme.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Сhrome Аpрs & Еxtеnsiоns Develoреr Тoоl.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оperа.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Chrоmе.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Nokia Care Suite.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (2).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb tegdiw eboda.bat', '');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualretrevnocxvid.bat', '');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnuallenaplortnocxvid.bat', '');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnual_tsilkcalb.bat', '');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb.bat', '');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualnoitacilppa.bat', '');
 QuarantineFile('C:\Program Files\Hide Folders\WiFi-autostart.bat', '');
 QuarantineFile('QMUdisk.sys', '');
 QuarantineFile('C:\Windows\system32\Drivers\TS888x64.sys', '');
 QuarantineFile('C:\Windows\MPK\mpk.exe', '');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb.bat', '');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualnoitacilppa.bat', '');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb tegdiw eboda.bat', '');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualretrevnocxvid.bat', '');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnuallenaplortnocxvid.bat', '');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnual_tsilkcalb.bat', '');
 DeleteFile('C:\Windows\system32\Drivers\TS888x64.sys', '32');
 DeleteFile('QMUdisk.sys', '32');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualnoitacilppa.bat', '32');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb.bat', '32');
 DeleteService('QMUdisk');
 DeleteService('TS888x64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

magicwd

Активный пользователь
Сообщения
40
Реакции
4
Баллы
88
swMSM, вот эту гадость не нашел, прикрепляю логи. quarantine.zip отправил через форму. как было указанно выше
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,918
Реакции
6,254
Баллы
993
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

magicwd

Активный пользователь
Сообщения
40
Реакции
4
Баллы
88
Удалил все отмеченное что было после сканирования
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,918
Реакции
6,254
Баллы
993
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\008i.com -> 008i.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\008k.com -> 008k.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\00hq.com -> 00hq.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\0190-dialers.com -> 0190-dialers.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\01i.info -> 01i.info
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\02pmnzy5eo29bfk4.com -> 02pmnzy5eo29bfk4.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\05p.com -> 05p.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\07ic5do2myz3vzpk.com -> 07ic5do2myz3vzpk.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\08nigbmwk43i01y6.com -> 08nigbmwk43i01y6.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\093qpeuqpmz6ebfa.com -> 093qpeuqpmz6ebfa.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\0calories.net -> 0calories.net
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\0cj.net -> 0cj.net
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\0scan.com -> 0scan.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1-britney-spears-nude.com -> 1-britney-spears-nude.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1-domains-registrations.com -> 1-domains-registrations.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1-se.com -> 1-se.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1001movie.com -> 1001movie.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1001night.biz -> 1001night.biz
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\100gal.net -> 100gal.net
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\100sexlinks.com -> 100sexlinks.com
FirewallRules: [{8432FC9D-6EF3-4BE3-B6B7-32532CF39651}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{7292BB3F-C122-43C3-ACA2-5EEB2DE03E57}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  No File
Toolbar: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
FF Plugin HKU\S-1-5-21-1166898318-1680202229-4136601030-1000: @acestream.net/acestreamplugin,version=2.1.7.1 -> C:\Users\Dany\AppData\Roaming\ACEStream\player\npace_plugin.dll [2014-07-09] (Innovative Digital Technologies)
CHR HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lkgikdljlijdigcpknpecodlmihmdmij] - C:\Users\Dany\AppData\Local\CRE\lkgikdljlijdigcpknpecodlmihmdmij.crx [2013-05-09]
CHR HKLM-x32\...\Chrome\Extension: [acaoakiamfeidcmgooclgeleejkbaecf] - C:\Program Files (x86)\WinToFlash Suggestor\WinToFlashSuggestor.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [lkgikdljlijdigcpknpecodlmihmdmij] - C:\Users\Dany\AppData\Local\CRE\lkgikdljlijdigcpknpecodlmihmdmij.crx [2013-05-09]
OPR Extension: (Quick Searcher) - C:\Users\Dany\AppData\Roaming\Opera Software\Opera Stable\Extensions\heildphpnddilhkemkielfhnkaagiabh [2015-08-24]
S2 XapcnPhoneService; C:\Program Files (x86)\爱应用PC版\wp8svc.exe [34776 2014-06-20] () [File not signed]
2015-08-24 00:51 - 2015-08-24 00:51 - 00000000 ____D C:\Users\Dany\AppData\Local\gmsd_ua_025010027
2015-08-24 00:51 - 2015-08-24 00:51 - 00000000 ____D C:\Program Files (x86)\gmsd_ua_025010027
2015-08-24 00:50 - 2015-08-24 00:50 - 00000000 ____D C:\Program Files (x86)\798CA8FF-1440366645-E211-B805-B888E3A77292
cmd: Mkdir C:\MPKsz
unlock: C:\Windows\MPK
cmd: copy /y C:\Windows\MPK\* C:\MPKsz
cmd: del /f/q C:\Windows\MPK
Reg: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v userinit /t REG_SZ /d "C:\\WINDOWS\\system32\\userinit.exe,"
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Папки C:\MPKsz и C:\FRST\Quarantine упаковать в архив с паролем virus и отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Предыдущий карантин я от вас так и не увидел.
Жду.

+ смените пароли.
 
Последнее редактирование:

magicwd

Активный пользователь
Сообщения
40
Реакции
4
Баллы
88
Письмо отправил с первым карантином и Fixlog.txt, а созданный архив с Папки C:\MPKsz и C:\FRST\Quarantine получился 25 Мб, ни с яндекса ни с gmail немогу отправить, может на яндекс диск вам ссылку дать?
Яндекс.Диск

А пароли где сменить?)
 

Вложения

Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
13,918
Реакции
6,254
Баллы
993
А пароли где сменить?)
Все.
У вас клавиатурный шпион сидел.

Registry Trash Keys Finder вам знаком?Ваше?

Повторите лог FRST.

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 

magicwd

Активный пользователь
Сообщения
40
Реакции
4
Баллы
88
Спасибо, после работы уже все выполню. Registry Trash Keys Finder не знаком. В браузерах еще есть реклама.
 

magicwd

Активный пользователь
Сообщения
40
Реакции
4
Баллы
88
Повторите лог FRST.
Повторил и вот, что произошло. Винда загружается, а на рабочем столе все мертвое, ни одна прога незапускается с иконок, выключил ноут только с розетки) и так 2 раза. Решил зайти в безопасный с сет.драйверами, чтоб отписаться, прикрепляю лог
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,918
Реакции
6,254
Баллы
993
Повторил и вот, что произошло.
Вы были не внимательны - я просил не выполнить старый скрипт,а сделать новый лог.
Откатитесь на точку восстановления на 25 августа,на время когда первый раз выполнили скрипт FRST.

Когда вернете нормальную загрузку системы продолжайте начиная с сбора лога Malwarebytes' Anti-Malware.
 

magicwd

Активный пользователь
Сообщения
40
Реакции
4
Баллы
88
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Вот это надо было сделать? у меня восстановление системы отключенно, никак откат не сделаю. Так малваре с безопасно ненужно запускать?
Ну вообщем я сделал сканирование в безопасном режиме на всякий. Подскажите мне пожалуйста выход из ситуации, при том, что я теперь окатиться не могу на раннюю точку?
 

Вложения

magicwd

Активный пользователь
Сообщения
40
Реакции
4
Баллы
88
Вы были не внимательны - я просил не выполнить старый скрипт,а сделать новый лог.
Откатитесь на точку восстановления на 25 августа,на время когда первый раз выполнили скрипт FRST.

Когда вернете нормальную загрузку системы продолжайте начиная с сбора лога Malwarebytes' Anti-Malware.
Я так понимаю, сносить винду единственный выход из сложившейся ситуации? Не в моем положении торопить события, но мне ноут для работы необходим, поэтому хочу определиться, если нельзя исправить, то буду переустанавливать., что вы скажете?
 

Кирилл

Команда форума
Администратор
Сообщения
13,918
Реакции
6,254
Баллы
993
В безопасном режиме нормально загружается?
Диагностируйте источник проблем с загрузкой и запуском программ:
Windows - Диагностика загрузки Windows

Как сможете нормально работать с компьютером продолжим лечение.
 

magicwd

Активный пользователь
Сообщения
40
Реакции
4
Баллы
88
Да, в безопасном режиме все в норме, я и рекламу в браузерах отключил путем поиска значений в реестре. Но не все ключи получилось удалить, как оказалось у меня прав недостаточно) Ок спасибо, займусь диагностикой загрузки.
 

Кирилл

Команда форума
Администратор
Сообщения
13,918
Реакции
6,254
Баллы
993
я и рекламу в браузерах отключил путем поиска значений в реестре. Но не все ключи получилось удалить, как оказалось у меня прав недостаточно)
Это добьем,не переживайте.
Жду вашего возвращения,потом
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве.

Код:
Данные реестра: 2
PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Хорошо: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Плохо: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),,[ed1c907d18731f17ae1acd8c45c0de22]
PUP.Optional.Qone8, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Хорошо: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Плохо: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),,[ca3fde2f7912ae88dbed46138c791be5]

Папки: 9
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\S-1-5-21-1166898318-1680202229-4136601030-1000, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
Refog.KeyLogger, C:\ProgramData\MPK, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\1, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\1\HCAL, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\CPDA, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\CPDM, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\MIPKO Employee Monitor, , [69a012fbfc8f3ff78d6658c214efe719], 

Файлы: 37

PUP.Optional.Conduit.A, C:\ministub.exe, , [6a9f69a4b4d79e989656d7486c94a957], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Bulgarian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Croatian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Czech.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Danish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Dutch.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\English.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Finnish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\French.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\German.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Greek.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Hungarian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Indonesian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Italian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Japanese.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Norwegian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Polish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Portuguese.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Romanian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Russian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\SimpChinese.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Spanish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Swedish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Thai.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\TradChinese.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Turkish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\S-1-5-21-1166898318-1680202229-4136601030-1000\Settings.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
Refog.KeyLogger, C:\ProgramData\MPK\M0000, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\S0000, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\1\D0000, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\1\S0000, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\CPDM\cpfm.bin, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\MIPKO Employee Monitor\Купить сейчас!.lnk, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\MIPKO Employee Monitor\Сайт  MIPKO Employee Monitor в Интернете.lnk, , [69a012fbfc8f3ff78d6658c214efe719],
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу