Решена Словил Tencent-QQPCMgr

Статус
В этой теме нельзя размещать новые ответы.

magicwd

Новый пользователь
Сообщения
40
Реакции
4
Здравствуйте! Все банально пошло, скачал и установил файл WindowsPhonePowerTools.exe и приобрел полный китайский фарш для винды). Удалось удалить службу QQPCMgrRTPService методом описаным по ссылке (Tencent QQPCMgr - как удалить с компьютера?), через их собственный китайский деинсталятор. Но рекламные окна в браузерах остались, вылазят при каждом открытии новой вкладки. Посоветуйте пожалуйста как избавиться от инфекции.
 
Кое-что забыл, прилагаю.
 

Вложения

  • CollectionLog-2015.08.24-13.59.zip
    109.2 KB · Просмотры: 6
Здравствуйте!
Удалите через установку и удаление программ:
Browser Extensions
Search Protection
Surfing Protection
swMSM

Это вам знакомо? IObit

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Chrome Apps & Extensions Developer Tool.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndeх.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех (2).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndeх.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnet Exрlоrer Вrowsеr.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrome (2).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе (2).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Exрlorеr.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Еxplоrer (2).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа (2).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орera (2).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орera.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Еxplorer (Nо Add-оns).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Пaнель запуска приложений Сhrоme.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Сhrome Аpрs & Еxtеnsiоns Develoреr Тoоl.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оperа.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Chrоmе.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Nokia Care Suite.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (2).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk','');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb tegdiw eboda.bat', '');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualretrevnocxvid.bat', '');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnuallenaplortnocxvid.bat', '');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnual_tsilkcalb.bat', '');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb.bat', '');
 QuarantineFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualnoitacilppa.bat', '');
 QuarantineFile('C:\Program Files\Hide Folders\WiFi-autostart.bat', '');
 QuarantineFile('QMUdisk.sys', '');
 QuarantineFile('C:\Windows\system32\Drivers\TS888x64.sys', '');
 QuarantineFile('C:\Windows\MPK\mpk.exe', '');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb.bat', '');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualnoitacilppa.bat', '');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb tegdiw eboda.bat', '');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualretrevnocxvid.bat', '');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnuallenaplortnocxvid.bat', '');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnual_tsilkcalb.bat', '');
 DeleteFile('C:\Windows\system32\Drivers\TS888x64.sys', '32');
 DeleteFile('QMUdisk.sys', '32');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.rehcnualnoitacilppa.bat', '32');
 DeleteFile('C:\Users\Dany\AppData\Roaming\Browsers\exe.resworb.bat', '32');
 DeleteService('QMUdisk');
 DeleteService('TS888x64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
swMSM, вот эту гадость не нашел, прикрепляю логи. quarantine.zip отправил через форму. как было указанно выше
 

Вложения

  • ClearLNK-24.08.2015_15-51.log
    19.8 KB · Просмотры: 3
  • AdwCleaner[S1].txt
    43.2 KB · Просмотры: 2
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Удалил все отмеченное что было после сканирования
 

Вложения

  • AdwCleaner[C1].txt
    9.5 KB · Просмотры: 1
А остальное?
 
Готово.
 

Вложения

  • Shortcut.txt
    215.4 KB · Просмотры: 1
  • FRST.txt
    49 KB · Просмотры: 2
  • Addition.txt
    83 KB · Просмотры: 2
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\008i.com -> 008i.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\008k.com -> 008k.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\00hq.com -> 00hq.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\0190-dialers.com -> 0190-dialers.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\01i.info -> 01i.info
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\02pmnzy5eo29bfk4.com -> 02pmnzy5eo29bfk4.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\05p.com -> 05p.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\07ic5do2myz3vzpk.com -> 07ic5do2myz3vzpk.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\08nigbmwk43i01y6.com -> 08nigbmwk43i01y6.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\093qpeuqpmz6ebfa.com -> 093qpeuqpmz6ebfa.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\0calories.net -> 0calories.net
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\0cj.net -> 0cj.net
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\0scan.com -> 0scan.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1-britney-spears-nude.com -> 1-britney-spears-nude.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1-domains-registrations.com -> 1-domains-registrations.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1-se.com -> 1-se.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1001movie.com -> 1001movie.com
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\1001night.biz -> 1001night.biz
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\100gal.net -> 100gal.net
IE restricted site: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\...\100sexlinks.com -> 100sexlinks.com
FirewallRules: [{8432FC9D-6EF3-4BE3-B6B7-32532CF39651}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{7292BB3F-C122-43C3-ACA2-5EEB2DE03E57}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  No File
Toolbar: HKU\S-1-5-21-1166898318-1680202229-4136601030-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
FF Plugin HKU\S-1-5-21-1166898318-1680202229-4136601030-1000: @acestream.net/acestreamplugin,version=2.1.7.1 -> C:\Users\Dany\AppData\Roaming\ACEStream\player\npace_plugin.dll [2014-07-09] (Innovative Digital Technologies)
CHR HKU\S-1-5-21-1166898318-1680202229-4136601030-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lkgikdljlijdigcpknpecodlmihmdmij] - C:\Users\Dany\AppData\Local\CRE\lkgikdljlijdigcpknpecodlmihmdmij.crx [2013-05-09]
CHR HKLM-x32\...\Chrome\Extension: [acaoakiamfeidcmgooclgeleejkbaecf] - C:\Program Files (x86)\WinToFlash Suggestor\WinToFlashSuggestor.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [lkgikdljlijdigcpknpecodlmihmdmij] - C:\Users\Dany\AppData\Local\CRE\lkgikdljlijdigcpknpecodlmihmdmij.crx [2013-05-09]
OPR Extension: (Quick Searcher) - C:\Users\Dany\AppData\Roaming\Opera Software\Opera Stable\Extensions\heildphpnddilhkemkielfhnkaagiabh [2015-08-24]
S2 XapcnPhoneService; C:\Program Files (x86)\爱应用PC版\wp8svc.exe [34776 2014-06-20] () [File not signed]
2015-08-24 00:51 - 2015-08-24 00:51 - 00000000 ____D C:\Users\Dany\AppData\Local\gmsd_ua_025010027
2015-08-24 00:51 - 2015-08-24 00:51 - 00000000 ____D C:\Program Files (x86)\gmsd_ua_025010027
2015-08-24 00:50 - 2015-08-24 00:50 - 00000000 ____D C:\Program Files (x86)\798CA8FF-1440366645-E211-B805-B888E3A77292
cmd: Mkdir C:\MPKsz
unlock: C:\Windows\MPK
cmd: copy /y C:\Windows\MPK\* C:\MPKsz
cmd: del /f/q C:\Windows\MPK
Reg: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v userinit /t REG_SZ /d "C:\\WINDOWS\\system32\\userinit.exe,"
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Папки C:\MPKsz и C:\FRST\Quarantine упаковать в архив с паролем virus и отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Предыдущий карантин я от вас так и не увидел.
Жду.

+ смените пароли.
 
Последнее редактирование:
Письмо отправил с первым карантином и Fixlog.txt, а созданный архив с Папки C:\MPKsz и C:\FRST\Quarantine получился 25 Мб, ни с яндекса ни с gmail немогу отправить, может на яндекс диск вам ссылку дать?
Яндекс.Диск

А пароли где сменить?)
 

Вложения

  • Fixlog.txt
    11.6 KB · Просмотры: 4
Последнее редактирование:
А пароли где сменить?)
Все.
У вас клавиатурный шпион сидел.

Registry Trash Keys Finder вам знаком?Ваше?

Повторите лог FRST.

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 
Спасибо, после работы уже все выполню. Registry Trash Keys Finder не знаком. В браузерах еще есть реклама.
 
Повторите лог FRST.
Повторил и вот, что произошло. Винда загружается, а на рабочем столе все мертвое, ни одна прога незапускается с иконок, выключил ноут только с розетки) и так 2 раза. Решил зайти в безопасный с сет.драйверами, чтоб отписаться, прикрепляю лог
 

Вложения

  • Fixlog.txt
    10.6 KB · Просмотры: 5
Повторил и вот, что произошло.
Вы были не внимательны - я просил не выполнить старый скрипт,а сделать новый лог.
Откатитесь на точку восстановления на 25 августа,на время когда первый раз выполнили скрипт FRST.

Когда вернете нормальную загрузку системы продолжайте начиная с сбора лога Malwarebytes' Anti-Malware.
 
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Вот это надо было сделать? у меня восстановление системы отключенно, никак откат не сделаю. Так малваре с безопасно ненужно запускать?
Ну вообщем я сделал сканирование в безопасном режиме на всякий. Подскажите мне пожалуйста выход из ситуации, при том, что я теперь окатиться не могу на раннюю точку?
 

Вложения

  • log-anti-malware.txt
    7.2 KB · Просмотры: 2
Вы были не внимательны - я просил не выполнить старый скрипт,а сделать новый лог.
Откатитесь на точку восстановления на 25 августа,на время когда первый раз выполнили скрипт FRST.

Когда вернете нормальную загрузку системы продолжайте начиная с сбора лога Malwarebytes' Anti-Malware.
Я так понимаю, сносить винду единственный выход из сложившейся ситуации? Не в моем положении торопить события, но мне ноут для работы необходим, поэтому хочу определиться, если нельзя исправить, то буду переустанавливать., что вы скажете?
 
В безопасном режиме нормально загружается?
Диагностируйте источник проблем с загрузкой и запуском программ:
Windows - Диагностика загрузки Windows

Как сможете нормально работать с компьютером продолжим лечение.
 
Да, в безопасном режиме все в норме, я и рекламу в браузерах отключил путем поиска значений в реестре. Но не все ключи получилось удалить, как оказалось у меня прав недостаточно) Ок спасибо, займусь диагностикой загрузки.
 
я и рекламу в браузерах отключил путем поиска значений в реестре. Но не все ключи получилось удалить, как оказалось у меня прав недостаточно)
Это добьем,не переживайте.
Жду вашего возвращения,потом
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве.

Код:
Данные реестра: 2
PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Хорошо: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Плохо: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),,[ed1c907d18731f17ae1acd8c45c0de22]
PUP.Optional.Qone8, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Хорошо: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Плохо: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),,[ca3fde2f7912ae88dbed46138c791be5]

Папки: 9
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\S-1-5-21-1166898318-1680202229-4136601030-1000, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
Refog.KeyLogger, C:\ProgramData\MPK, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\1, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\1\HCAL, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\CPDA, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\CPDM, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\MIPKO Employee Monitor, , [69a012fbfc8f3ff78d6658c214efe719], 

Файлы: 37

PUP.Optional.Conduit.A, C:\ministub.exe, , [6a9f69a4b4d79e989656d7486c94a957], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Bulgarian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Croatian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Czech.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Danish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Dutch.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\English.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Finnish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\French.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\German.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Greek.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Hungarian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Indonesian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Italian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Japanese.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Norwegian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Polish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Portuguese.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Romanian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Russian.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\SimpChinese.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Spanish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Swedish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Thai.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\TradChinese.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\Language\Turkish.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
PUP.Optional.RegistryReviver.A, C:\ProgramData\ReviverSoft\Registry Reviver\S-1-5-21-1166898318-1680202229-4136601030-1000\Settings.xml, , [db2ec34a9bf0db5ba56a5ebab3500cf4], 
Refog.KeyLogger, C:\ProgramData\MPK\M0000, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\S0000, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\1\D0000, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\1\S0000, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\CPDM\cpfm.bin, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\MIPKO Employee Monitor\Купить сейчас!.lnk, , [69a012fbfc8f3ff78d6658c214efe719], 
Refog.KeyLogger, C:\ProgramData\MPK\MIPKO Employee Monitor\Сайт  MIPKO Employee Monitor в Интернете.lnk, , [69a012fbfc8f3ff78d6658c214efe719],

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 
Результаты удаления прикрепляю, через 20мин досканирует будет отчет после удаления
Готово
 

Вложения

  • log-anti-malware-26.08.15txt.txt
    8.1 KB · Просмотры: 1
  • log-anti-malware-26.08.15(2).txt
    1.6 KB · Просмотры: 1
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу