Решена Вирус, куча процессов в диспетчере задач

[rainbled]

Здраствуйте, опять младший брат мне подсобил и что-то накачал. Антивируса не стоит, ибо серфить уже умею давно (но забываю, что близкие не умеют...)
Сегодня утром брат, что-то накачал и стало вылазить куча окон в браузере опера (она его), я сам пользуюсь хромом и все ужасно зависало, и не давало открыть даже браузеры (писало, что типо у вас нет прав от этого пользователя). Потом вручную в диспетчере задач, стал закрывать процессы (их было около 80, когда обычно где-то 30) и потом вроде пустило в хром, зашел на DrWeb CureIT скачал, он проверял около 3 часов и завис на одном каком-то файле около 2 часов, но успел удалить 2 каких-то файла и 2 запустил в карантин, затем просто не отвечал. Теперь вот приполз к вам, последний оплот надежды) В винде (7 sp1) часто раздаются звуки(стандарные), по типу ошибок (оповещений) и подключения устройств. Все ужасно зависает и долго думает
Прошу, помогите...
ЗЫ Автологгер зависает в конце, как и антивирус до этого, написано просто как не отвечает и все, уже больше часа жду окончания бесполезно... Процессов стало еще больше, 118 на данный момент в диспетчере...

 

[Severnyj]

Соберите логи из безопасного режима

 

[rainbled]

После многих перезагрузок, чисток и удалений. Удалось провести процедуру...
Извеняюсь, за столь долгое ожидание

 

[akok]

CloudPrinter - деинсталлируйте

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('MaskitService', 4);
 QuarantineFile('C:\Program Files (x86)\Common Files\Stanplus\uninstall.dat', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\Stanplus\uninstall.exe', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\SVCUPDATE\gpupdate.exe', '');
 QuarantineFile('c:\program files (x86)\emoticons mail\emomail.exe', '');
 QuarantineFile('c:\program files (x86)\machinerdata\emomail.exe', '');
 QuarantineFile('C:\Program Files (x86)\Maskit\MaskitService.exe', '');
 QuarantineFile('C:\Program Files (x86)\Sexteen\520034864.exe', '');
 QuarantineFile('C:\Program Files\1CW48EBR5E\1CW48EBR5.exe', '');
 QuarantineFile('C:\Program Files\HG29JTQGHU\HG29JTQGH.exe', '');
 QuarantineFile('C:\Program Files\ITJ1Z1GL27\ITJ1Z1GL2.exe', '');
 QuarantineFile('C:\Program Files\KWEAULIIUW\KWEAULIIU.exe', '');
 QuarantineFile('C:\Program Files\RCC8DEXXOV\RCC8DEXXO.exe', '');
 QuarantineFile('C:\Program Files\SYR6EC2T4I\SYR6EC2T4.exe', '');
 QuarantineFile('C:\Program Files\W7UYB2EU19\W7UYB2EU1.exe', '');
 QuarantineFile('C:\Program Files\YJF4CWGLGQ\YJF4CWGLG.exe', '');
 QuarantineFile('c:\programdata\cloudprinter\cloudprinter.exe', '');
 QuarantineFile('C:\Users\castle\AppData\Local\ocxtti.dll', '');
 QuarantineFile('C:\Users\castle\AppData\Local\Temp\is-I2TG2.tmp\Suiters.exe', '');
 QuarantineFile('C:\Users\castle\appdata\local\updaterprobrowser\updaterprobrowser.exe', '');
 QuarantineFile('C:\Users\castle\AppData\Roaming\0k3zbcgypmu\y3u33isjsdz.exe', '');
 QuarantineFile('C:\Users\castle\AppData\Roaming\dmgo1eozwa4\wdz5geedsvj.exe', '');
 QuarantineFile('C:\Users\castle\AppData\Roaming\f3e2njliens\bltvxogsdrh.exe', '');
 QuarantineFile('C:\Users\castle\AppData\Roaming\k2axlfu1acp\cj5wdmc0ynf.exe', '');
 QuarantineFile('C:\Users\castle\AppData\Roaming\lwyeyeptpfo\qvg50d1jvb3.exe', '');
 QuarantineFile('C:\Users\castle\AppData\Roaming\MarketAdvior\python\pythonw.exe', '');
 QuarantineFile('C:\Users\castle\AppData\Roaming\SearchNewTab\python\pythonw.exe', '');
 QuarantineFile('C:\Users\castle\AppData\Roaming\uikmzt0qxal\2hla3krfbu4.exe', '');
 QuarantineFile('C:\Users\castle\AppData\Roaming\xzjbt2chmo3\mhwaizyjblx.exe', '');
 QuarantineFile('C:\Windows\mibyhy2.exe', '');
 DeleteFile('C:\Program Files (x86)\Common Files\Stanplus\uninstall.dat', '64');
 DeleteFile('C:\Program Files (x86)\Common Files\Stanplus\uninstall.exe', '64');
 DeleteFile('C:\Program Files (x86)\Common Files\SVCUPDATE\gpupdate.exe', '64');
 DeleteFile('C:\Program Files (x86)\Maskit\MaskitService.exe', '64');
 DeleteFile('C:\Program Files (x86)\Sexteen\520034864.exe', '64');
 DeleteFile('C:\Program Files\1CW48EBR5E\1CW48EBR5.exe', '32');
 DeleteFile('C:\Program Files\1CW48EBR5E\1CW48EBR5.exe', '64');
 DeleteFile('C:\Program Files\HG29JTQGHU\HG29JTQGH.exe', '32');
 DeleteFile('C:\Program Files\HG29JTQGHU\HG29JTQGH.exe', '64');
 DeleteFile('C:\Program Files\ITJ1Z1GL27\ITJ1Z1GL2.exe', '32');
 DeleteFile('C:\Program Files\ITJ1Z1GL27\ITJ1Z1GL2.exe', '64');
 DeleteFile('C:\Program Files\KWEAULIIUW\KWEAULIIU.exe', '32');
 DeleteFile('C:\Program Files\KWEAULIIUW\KWEAULIIU.exe', '64');
 DeleteFile('C:\Program Files\RCC8DEXXOV\RCC8DEXXO.exe', '32');
 DeleteFile('C:\Program Files\RCC8DEXXOV\RCC8DEXXO.exe', '64');
 DeleteFile('C:\Program Files\SYR6EC2T4I\SYR6EC2T4.exe', '32');
 DeleteFile('C:\Program Files\SYR6EC2T4I\SYR6EC2T4.exe', '64');
 DeleteFile('C:\Program Files\W7UYB2EU19\W7UYB2EU1.exe', '32');
 DeleteFile('C:\Program Files\W7UYB2EU19\W7UYB2EU1.exe', '64');
 DeleteFile('C:\Program Files\YJF4CWGLGQ\YJF4CWGLG.exe', '32');
 DeleteFile('C:\Program Files\YJF4CWGLGQ\YJF4CWGLG.exe', '64');
 DeleteFile('c:\programdata\cloudprinter\cloudprinter.exe', '32');
 DeleteFile('c:\users\castle\appdata\local\ocxtti.dll', '32');
 DeleteFile('C:\Users\castle\AppData\Local\ocxtti.dll', '64');
 DeleteFile('C:\Users\castle\AppData\Local\Temp\is-I2TG2.tmp\Suiters.exe', '32');
 DeleteFile('C:\Users\castle\AppData\Local\Temp\is-I2TG2.tmp\Suiters.exe', '64');
 DeleteFile('C:\Users\castle\appdata\local\updaterprobrowser\updaterprobrowser.exe', '32');
 DeleteFile('C:\Users\castle\AppData\Roaming\0k3zbcgypmu\y3u33isjsdz.exe', '32');
 DeleteFile('C:\Users\castle\AppData\Roaming\0k3zbcgypmu\y3u33isjsdz.exe', '64');
 DeleteFile('C:\Users\castle\AppData\Roaming\dmgo1eozwa4\wdz5geedsvj.exe', '32');
 DeleteFile('C:\Users\castle\AppData\Roaming\dmgo1eozwa4\wdz5geedsvj.exe', '64');
 DeleteFile('C:\Users\castle\AppData\Roaming\f3e2njliens\bltvxogsdrh.exe', '32');
 DeleteFile('C:\Users\castle\AppData\Roaming\f3e2njliens\bltvxogsdrh.exe', '64');
 DeleteFile('C:\Users\castle\AppData\Roaming\k2axlfu1acp\cj5wdmc0ynf.exe', '32');
 DeleteFile('C:\Users\castle\AppData\Roaming\k2axlfu1acp\cj5wdmc0ynf.exe', '64');
 DeleteFile('C:\Users\castle\AppData\Roaming\lwyeyeptpfo\qvg50d1jvb3.exe', '32');
 DeleteFile('C:\Users\castle\AppData\Roaming\lwyeyeptpfo\qvg50d1jvb3.exe', '64');
 DeleteFile('C:\Users\castle\AppData\Roaming\MarketAdvior\python\pythonw.exe', '64');
 DeleteFile('C:\Users\castle\AppData\Roaming\SearchNewTab\python\pythonw.exe', '64');
 DeleteFile('C:\Users\castle\AppData\Roaming\uikmzt0qxal\2hla3krfbu4.exe', '32');
 DeleteFile('C:\Users\castle\AppData\Roaming\uikmzt0qxal\2hla3krfbu4.exe', '64');
 DeleteFile('C:\Users\castle\AppData\Roaming\xzjbt2chmo3\mhwaizyjblx.exe', '32');
 DeleteFile('C:\Users\castle\AppData\Roaming\xzjbt2chmo3\mhwaizyjblx.exe', '64');
 DeleteFile('C:\Windows\mibyhy2.exe', '32');
 DeleteService('MaskitService');
 DeleteSchedulerTask('{50CE04C4-2E8B-4229-91D7-275BDCE17709}');
 DeleteSchedulerTask('BrowserUpdateTaskMachineCore');
 DeleteSchedulerTask('MarketAdvior');
 DeleteSchedulerTask('MarketAdvior2');
 DeleteSchedulerTask('SearchNewTab');
 DeleteSchedulerTask('SearchNewTab2');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [0CQL0M7KHCV3W7C] = C:\Program Files\ITJ1Z1GL27\ITJ1Z1GL2.exe
O4 - HKCU\..\Run: [1122835] = C:\Users\castle\AppData\Local\Temp\is-I2TG2.tmp\Suiters.exe /VERYSILENT
O4 - HKCU\..\Run: [1994020] = C:\Users\castle\AppData\Roaming\0k3zbcgypmu\y3u33isjsdz.exe /VERYSILENT
O4 - HKCU\..\Run: [2047549] = C:\Users\castle\AppData\Roaming\k2axlfu1acp\cj5wdmc0ynf.exe /VERYSILENT
O4 - HKCU\..\Run: [3526967] = C:\Users\castle\AppData\Roaming\xzjbt2chmo3\mhwaizyjblx.exe /VERYSILENT
O4 - HKCU\..\Run: [409929] = C:\Users\castle\AppData\Roaming\lwyeyeptpfo\qvg50d1jvb3.exe /VERYSILENT
O4 - HKCU\..\Run: [4R7CP4ZLYFI6X67] = C:\Program Files\1CW48EBR5E\1CW48EBR5.exe
O4 - HKCU\..\Run: [5209385] = C:\Users\castle\AppData\Roaming\uikmzt0qxal\2hla3krfbu4.exe /VERYSILENT
O4 - HKCU\..\Run: [6059351] = C:\Users\castle\AppData\Roaming\dmgo1eozwa4\wdz5geedsvj.exe /VERYSILENT
O4 - HKCU\..\Run: [8403279] = C:\Users\castle\AppData\Roaming\f3e2njliens\bltvxogsdrh.exe /VERYSILENT
O4 - HKCU\..\Run: [C1457QTZ1MOK3P9] = C:\Program Files\W7UYB2EU19\W7UYB2EU1.exe
O4 - HKCU\..\Run: [GANFKEA5O78MORO] = C:\Program Files\HG29JTQGHU\HG29JTQGH.exe
O4 - HKCU\..\Run: [Gaijin.Net Updater] = C:\Users\castle\AppData\Local\Gaijin\Program Files (x86)\NetAgent\gjagent.exe
O4 - HKCU\..\Run: [LP7NEXLGSA368VL] = C:\Program Files\RCC8DEXXOV\RCC8DEXXO.exe
O4 - HKCU\..\Run: [P7G0SJNO7ZVCLLJ] = C:\Program Files\SYR6EC2T4I\SYR6EC2T4.exe
O4 - HKCU\..\Run: [SteamServerBrowser] = C:\Users\castle\AppData\Roaming\SteamServerBrowser\SteamServerBrowser.exe
O4 - HKCU\..\Run: [T6G9U9LUQ0X4UNK] = C:\Program Files\YJF4CWGLGQ\YJF4CWGLG.exe
O4 - HKCU\..\Run: [UZUJOZXQM4N7OY0] = C:\Program Files\KWEAULIIUW\KWEAULIIU.exe
O4 - HKCU\..\Run: [ocxtti] = C:\Users\castle\AppData\Local\ocxtti.dll "C:\Users\castle\AppData\Local\ocxtti.dll",ocxtti
O4 - HKLM\..\RunOnce: [4b5cdgfjsgs] = C:\Program Files (x86)\Sexteen\520034864.exe 1 3.1585806465.5e857c816174d

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[rainbled]

@akok, Здравствуйте Грандмастер

CloudPrinter - деинсталлируйте

Я извиняюсь, но не нашел нигде данной программы\приложения... Вчера кстати вручную удалял, последние закачанные братом программы. Но ее там не было насколько помню.

 

[akok]

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
• В меню Настройки отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


А после
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[rainbled]

готово

 

[akok]

Advanced Windows Service Manager - деинтсллируйте

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  HKU\S-1-5-21-2618259121-2202002996-3396095063-1000\...\MountPoints2: {0aeeb4fb-e60e-11e7-89ac-d850e6496177} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\PhoneUSBDriverSetup.exe
  Task: {76B4D712-606A-4CFB-B390-4D4934C10CB4} - System32\Tasks\{A4C9B6D1-F45E-49ED-806B-7E9C2FCEDC18} => C:\Windows\system32\pcalua.exe -a "C:\Users\castle\Downloads\GameDownload_PUBG_MOBILE_100103_1.0.5727.123 (2).exe" -d C:\Users\castle\Downloads
  2020-04-03 11:37 - 2020-04-03 11:37 - 000000000 ____D C:\Users\Все пользователи\lslbxuku
  2020-04-03 11:37 - 2020-04-03 11:37 - 000000000 ____D C:\Users\Все пользователи\Komare
  2020-04-03 11:37 - 2020-04-03 11:37 - 000000000 ____D C:\ProgramData\lslbxuku
  2020-04-03 11:37 - 2020-04-03 11:37 - 000000000 ____D C:\ProgramData\Komare
  2020-04-03 11:35 - 2020-04-03 11:35 - 000000000 ____D C:\Users\Все пользователи\Oded
  2020-04-03 11:35 - 2020-04-03 11:35 - 000000000 ____D C:\Users\Все пользователи\Newf
  2020-04-03 11:35 - 2020-04-03 11:35 - 000000000 ____D C:\Users\Все пользователи\fiscoan4LstuVS
  2020-04-03 11:35 - 2020-04-03 11:35 - 000000000 ____D C:\Users\Все пользователи\AxiqyFDRSjB
  2020-04-03 11:35 - 2020-04-03 11:35 - 000000000 ____D C:\ProgramData\Oded
  2020-04-03 11:35 - 2020-04-03 11:35 - 000000000 ____D C:\ProgramData\Newf
  2020-04-03 11:35 - 2020-04-03 11:35 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Emoticons Mail
  2020-04-03 11:35 - 2020-04-03 11:35 - 000000000 ____D C:\ProgramData\fiscoan4LstuVS
  2020-04-03 11:35 - 2020-04-03 11:35 - 000000000 ____D C:\ProgramData\AxiqyFDRSjB
  FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\autoconfig.js [2018-11-08] <==== ATTENTION (Points to *.cfg file)
  FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-11-08] <==== ATTENTION
  S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
  2020-04-03 11:34 - 2020-04-03 18:14 - 000000000 ____D C:\Users\castle\AppData\Roaming\a0siwvefhgv
  2020-04-03 11:34 - 2020-04-03 18:13 - 000000000 ____D C:\Program Files\J4XFNP70FX
  2020-04-02 19:32 - 2020-04-03 17:59 - 000000000 ____D C:\Users\castle\AppData\Roaming\uikmzt0qxal
  2020-04-02 19:32 - 2020-04-03 17:59 - 000000000 ____D C:\Program Files\1CW48EBR5E
  2020-04-02 12:48 - 2020-04-03 17:59 - 000000000 ____D C:\Users\castle\AppData\Roaming\xzjbt2chmo3
  2020-04-02 12:48 - 2020-04-03 17:59 - 000000000 ____D C:\Program Files\RCC8DEXXOV
  2020-04-02 12:28 - 2020-04-03 17:59 - 000000000 ____D C:\Users\castle\AppData\Roaming\k2axlfu1acp
  2020-04-02 12:28 - 2020-04-02 19:30 - 000000000 ____D C:\Program Files\L2F63ZH89Z
  2020-04-02 12:08 - 2020-04-03 17:59 - 000000000 ____D C:\Program Files\YJF4CWGLGQ
  2020-04-02 12:08 - 2020-04-02 19:30 - 000000000 ____D C:\Users\castle\AppData\Roaming\h4nktxer2pm
  2020-04-02 11:48 - 2020-04-03 17:59 - 000000000 ____D C:\Users\castle\AppData\Roaming\f3e2njliens
  2020-04-02 11:48 - 2020-04-02 19:35 - 000000000 ____D C:\Users\castle\AppData\Roaming\SearchNewTab
  2020-04-02 11:48 - 2020-04-02 19:30 - 000000000 ____D C:\Program Files\FMV3Q2FO45
  2020-04-02 11:28 - 2020-04-03 17:59 - 000000000 ____D C:\Program Files\KWEAULIIUW
  2020-04-02 11:28 - 2020-04-02 19:30 - 000000000 ____D C:\Users\castle\AppData\Roaming\lo2wxkmfyjl
  2020-04-02 11:08 - 2020-04-03 17:59 - 000000000 ____D C:\Program Files\W7UYB2EU19
  2020-04-02 11:08 - 2020-04-02 19:30 - 000000000 ____D C:\Users\castle\AppData\Roaming\isqw1if2iij
  2020-04-02 10:47 - 2020-04-03 17:59 - 000000000 ____D C:\Users\castle\AppData\Roaming\dmgo1eozwa4
  2020-04-02 10:47 - 2020-04-02 19:30 - 000000000 ____D C:\Program Files\OL4A29O5L3
  2020-04-02 10:27 - 2020-04-03 17:59 - 000000000 ____D C:\Users\castle\AppData\Roaming\0k3zbcgypmu
  2020-04-02 10:27 - 2020-04-03 17:59 - 000000000 ____D C:\Program Files\SYR6EC2T4I
  2020-04-02 10:07 - 2020-04-03 17:59 - 000000000 ____D C:\Users\castle\AppData\Roaming\lwyeyeptpfo
  2020-04-02 10:07 - 2020-04-03 17:59 - 000000000 ____D C:\Program Files\ITJ1Z1GL27
  2020-04-02 09:51 - 2020-04-02 09:51 - 000000116 _____ C:\Users\castle\qwertyyy
  2020-04-02 09:48 - 2020-04-02 09:48 - 009205760 _____ C:\Users\castle\AppData\Local\agent.dat
  2020-04-02 09:48 - 2020-04-02 09:48 - 002241931 _____ C:\Users\castle\AppData\Local\Qvofind.tst
  2020-04-02 09:48 - 2020-04-02 09:48 - 001895382 _____ C:\Users\castle\AppData\Local\Round-Dom.bin
  2020-04-02 09:48 - 2020-04-02 09:48 - 000126464 _____ C:\Users\castle\AppData\Local\noah.dat
  2020-04-02 09:48 - 2020-04-02 09:48 - 000126464 _____ C:\Users\castle\AppData\Local\lobby.dat
  2020-04-02 09:48 - 2020-04-02 09:48 - 000070992 _____ C:\Users\castle\AppData\Local\Config.xml
  2020-04-02 09:48 - 2020-04-02 09:48 - 000068608 _____ C:\Users\castle\AppData\Local\Recom.tst
  2020-04-02 09:48 - 2020-04-02 09:48 - 000045056 _____ C:\Users\castle\AppData\Local\ApplicationHosting.dat
  2020-04-02 09:48 - 2020-04-02 09:48 - 000005568 _____ C:\Users\castle\AppData\Local\md.xml
  2020-04-02 09:48 - 2020-04-02 09:47 - 004657152 _____ C:\Users\castle\AppData\Local\Recom.exe
  2020-04-02 09:48 - 2020-04-02 09:47 - 004657152 _____ C:\Users\castle\AppData\Local\Qvofind.exe
  2020-04-02 09:47 - 2020-04-03 17:59 - 000000000 ____D C:\Program Files\HG29JTQGHU
  2020-04-02 09:47 - 2020-04-02 19:30 - 000000000 ____D C:\Users\castle\AppData\Roaming\jv50cjfsh0l
  2020-04-02 16:01 - 2020-04-02 16:01 - 000000000 ____D C:\Users\Все пользователи\AdvancedWindowsManager
  2020-04-02 16:01 - 2020-04-02 16:01 - 000000000 ____D C:\ProgramData\AdvancedWindowsManager
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  AlternateDataStreams: C:\Users\castle\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
  AlternateDataStreams: C:\Users\castle\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[rainbled]

прикрепил

 

[akok]

Что с проблемой?

 

[rainbled]

Что с проблемой?

Да вроде работает, все нормально, но что-то такое ощущение что какйо-то остался осадок, потому что в удалении программ через панель управления остались вчерашние проги, хотя я их удалял вручную и сейчас опять они были, я их удалил (две из трех), третью не смог, ибо писало типо идет удаление.
Ну а так в целом судно стало вроде как в обычном режиме работать, спасибо!
Я вас очень благодарю, за ваше время, силы и терпенье.
ЗЫ и третья удалилась! ложная тревога, надеюсь...

 

[akok]

понаблюдайте до завтра, а пока финальные рекомендации
Подготовьте лог SecurityCheck by glax24



Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

[Sandor]

@rainbled, тему закрываем?

 

[rainbled]

да, спасибо!