Шифровальщик breaking_bad

[Антон Дубов]

На компьютере на протяжении более полугода скопилось около сотни вирусов. Один из них шифровальщик. KIS был установлен после заражения. Лицензия есть. Нужна помощь в расшифровке.

CollectionLog-2016.05.01-18.15.zip

README9.txt

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\max driver updater\idscservice.exe','');
 QuarantineFile('C:\Program Files\WinTsks\WinTsks\WinTsks.exe','');
 QuarantineFile('C:\Program Files\webHancer\Programs\whAgent.exe','');
 QuarantineFile('C:\Documents and Settings\Олег\Local Settings\Application Data\mpck_en_005030302\upmpck_en_005030302.exe','');
 QuarantineFile('C:\Program Files\rec_ru_258\rec_ru_258.exe','');
 QuarantineFile('C:\Program Files\mpck_en_005030302\mpck_en_005030302.exe','');
 QuarantineFile('C:\Program Files\Max Driver Updater\maxdu.exe','');
 QuarantineFile('C:\Program Files\IconRunner\MoneyBot.exe','');
 QuarantineFile('C:\DOCUME~1\05AC~1\LOCALS~1\Temp\app-helper1.exe','');
 QuarantineFile('C:\Program Files\Advanced PC Care\advancedpccare.exe','');
 DeleteService('QMUdisk');
 DeleteService('TS888');
 DeleteService('TSSK');
 DeleteService('WinSvces');
 DeleteService('WeatherChiknSrvr');
 DeleteService('tyriwozozbt');
 DeleteService('rowugoqo');
 DeleteService('rocufyky');
 DeleteService('rijufoze');
 QuarantineFile('C:\Program Files\WinSvces\WinSvces\WinSvces.exe','');
 QuarantineFile('C:\Program Files\WeatherChickn\WeatherChickn.exe','');
 QuarantineFile('C:\Program Files\Win32_ComputerSystemProduct-1460369030---\knsvB3.tmpfs','');
 QuarantineFile('C:\Documents and Settings\Олег\Local Settings\Application Data\0D8F86A0-1460394427-11DE-906E-E0CB4EC25FD2\snsk128.tmp','');
 QuarantineFile('C:\Program Files\Win32_ComputerSystemProduct-1460369030---\jnseC8.tmp','');
 QuarantineFile('C:\Program Files\Win32_ComputerSystemProduct-1460369030---\hnsmD2.tmp','');
 DeleteService('AppVerifier');
 DeleteService('BugreportW');
 DeleteService('CloudPrinter');
 DeleteService('Doubleing');
 DeleteService('fbd6547492cc8159a0ebabc51d7ed2ad');
 QuarantineFile('C:\Program Files\387181c2d3bc587a86b80ede9b657d3a\a28b23048c9c05fee52902f8f5c2be67.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Doubleing\Doubleing.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\CloudPrinter\CloudPrinter.exe','');
 QuarantineFile('C:\Program Files\SpeedSearchesbnd\Bugreportauclt.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Appverifier\AppVerifierService.exe','');
 TerminateProcessByName('c:\documents and settings\Олег\application data\utorrent\updates\3.4.6_42094\utorrentie.exe');
 QuarantineFile('c:\documents and settings\Олег\application data\utorrent\updates\3.4.6_42094\utorrentie.exe','');
 TerminateProcessByName('c:\documents and settings\Олег\application data\svchost.exe');
 QuarantineFile('c:\documents and settings\Олег\application data\svchost.exe','');
 TerminateProcessByName('c:\documents and settings\Олег\application data\nssm.exe');
 QuarantineFile('c:\documents and settings\Олег\application data\nssm.exe','');
 DeleteFile('c:\documents and settings\Олег\application data\nssm.exe','32');
 DeleteFile('c:\documents and settings\Олег\application data\svchost.exe','32');
 DeleteFile('c:\documents and settings\Олег\application data\utorrent\updates\3.4.6_42094\utorrentie.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Appverifier\AppVerifierService.exe','32');
 DeleteFile('C:\Program Files\SpeedSearchesbnd\Bugreportauclt.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\CloudPrinter\CloudPrinter.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Doubleing\Doubleing.exe','32');
 DeleteFile('C:\Program Files\387181c2d3bc587a86b80ede9b657d3a\a28b23048c9c05fee52902f8f5c2be67.exe','32');
 DeleteFile('C:\Program Files\Win32_ComputerSystemProduct-1460369030---\hnsmD2.tmp','32');
 DeleteFile('C:\Program Files\Win32_ComputerSystemProduct-1460369030---\jnseC8.tmp','32');
 DeleteFile('C:\Documents and Settings\Олег\Local Settings\Application Data\0D8F86A0-1460394427-11DE-906E-E0CB4EC25FD2\snsk128.tmp','32');
 DeleteFile('C:\Program Files\WeatherChickn\WeatherChickn.exe','32');
 DeleteFile('C:\Program Files\WinSvces\WinSvces\WinSvces.exe','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMUdisk.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TS888.sys','32');
 DeleteFile('C:\windows\system32\tssk.sys','32');
 DeleteFile('C:\Documents and Settings\Олег\AppData\Local\Baidu\BaiduClient\1.6.0.359\BaiduUpdate.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BRBrowserInst');
 DeleteFile('C:\Program Files\Advanced PC Care\advancedpccare.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced PC Care_Logon','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
 DeleteFile('C:\DOCUME~1\05AC~1\LOCALS~1\Temp\app-helper1.exe','32');
 DeleteFile('C:\Program Files\badu\uc.exe','32');
 DeleteFile('C:\Documents and Settings\Олег\AppData\Local\Baidu\BaiduClient\1.8.0.821\Baidu.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduClient','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\app-helper1','command');
 DeleteFile('C:\Program Files\IconRunner\MoneyBot.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IconRunner','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MaxDUReminder','command');
 DeleteFile('C:\Program Files\Max Driver Updater\maxdu.exe','32');
 DeleteFile('C:\Program Files\mpck_en_005030302\mpck_en_005030302.exe','32');
 DeleteFile('C:\Program Files\rec_ru_258\rec_ru_258.exe','32');
 DeleteFile('C:\Documents and Settings\Олег\Local Settings\Application Data\mpck_en_005030302\upmpck_en_005030302.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upmpck_en_005030302.exe','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_ru_258','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mpck_en_005030302','command');
 DeleteFile('C:\Program Files\webHancer\Programs\whAgent.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\webHancer Agent','command');
 DeleteFile('C:\windows\Tasks\MAXDriverUpdater_UPDATES.job','32');
 DeleteFile('C:\windows\Tasks\PPTAssistantNotifyTask_Олег.job','32');
 DeleteFile('C:\windows\Tasks\PPTAssistantUpdateTask_Олег.job','32');
 DeleteFile('C:\windows\Tasks\WinTsks.job','32');
 DeleteFile('C:\Program Files\WinTsks\WinTsks\WinTsks.exe','32');
 DeleteFile('C:\Documents and Settings\Олег\Local Settings\Application Data\PPTAssist\assistupdate.exe','32');
 DeleteFile('C:\Documents and Settings\Олег\Local Settings\Application Data\PPTAssist\notify.exe','32');
 DeleteFile('C:\Program Files\max driver updater\idscservice.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[egor783]

Строгое предупреждение от модератора thyrex

У Вас нет прав раздавать советы в этом разделе

[Антон Дубов]

KLAN-4190810023

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

idscservice.exe,
WinTsks.exe,
WinSvces.exe,
WeatherChickn.exe,
utorrentie.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

maxdu.exe,
nssm.exe

Вредоносный код в файлах не обнаружен.

advancedpccare.exe - not-a-virus:RiskTool.Win32.AdvancedPcCare.a
svchost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.tb

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

CollectionLog-2016.04.30-20.32.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[Антон Дубов]

Готово

log mbam.txt

[thyrex]

Удалите в МВАМ все, кроме

PUP.Optional.StartPage, D:\Instal\DAEMON Tools Lite 5.01.0407\DAEMON Tools Lite 5.0.1.0407 RePack by KpoJIuK\Daemon.Tools.Lite.v5.0.1.0407.exe, , [9f5d80342a6f171f73f391c3aa56af51],
RiskWare.CRK, D:\Instal\Microsoft_Office_Professional_Plus_2010_Volume_RUS\_mini-KMS Activator\mini-KMS Activator v1.054 MS VL\mini-KMS_Activator_v1.054_ENG.exe, , [a8540ea6f9a0e94d15bdcc82e21f8d73],
RiskWare.CRK, D:\Instal\Microsoft_Office_Professional_Plus_2010_Volume_RUS\_mini-KMS Activator\mini-KMS Activator v1.054 MS VL\mini-KMS_Activator_v1.054_RUS.exe, , [e31980346e2bd165874b98b634cd28d8],
RiskWare.CRK, D:\Instal\Microsoft_Office_Professional_Plus_2010_Volume_RUS\_mini-KMS Activator\mini-KMS Activator v1.3 Office 2010 VL\mini-KMS_Activator_v1.3_Office2010_VL_ENG.exe, , [30cca50fe1b80f274b875cf239c82bd5],
RiskWare.CRK, D:\Instal\Microsoft_Office_Professional_Plus_2010_Volume_RUS\_mini-KMS Activator\mini-KMS Activator v1.3 Office 2010 VL\mini-KMS_Activator_v1.3_Office2010_VL_RUS.exe, , [3ebe6e46059433032ea467e7bc458977],
Trojan.VirTool, D:\Zona Download\Fast and Furious - Showdown\steam_api.dll, , [4cb0377dadec84b2b1fe55198e74b947],
PUP.Optional.MediaGet, D:\Загрузки\MediaGet_id1605925ids2s.exe, , [4ab2d4e02d6ce94d955e8eaa837d8f71],
PUP.Optional.MediaGet, D:\Загрузки\MediaGet_id1606440ids2s.exe, , [dc20882ce6b31f1744af092f42bed62a],
PUP.Optional.InstallMonster, D:\Загрузки\4791-profilaktika-disleksii-u-uchaschihsya-1-klassa.exe, , [14e8fabab2e7cf6719fb6dc020e2c63a],
PUP.Optional.MediaGet, D:\Загрузки\sumerki-saga-rassvet-chast-1-the-twilight-saga-breaking-dawn-part-1-2011-bdrip-avctorrent_id2854589ids2s.exe, , [1ede565e27725dd9c23194a4a25e1ee2],
PUP.Optional.DownloadHelper, D:\Загрузки\minecraft.exe, , [a85460541d7cf640ba71d33262a0d729],
PUP.Optional.RuBar, D:\Загрузки\mod_dlya_gta_4_skachat_igry_cherez_torrent_-_skachat_igry_na_psp.exe, , [d626e5cf36631f173517490b19e81fe1],
PUP.Optional.ZvuZona, D:\Загрузки\kazaki-snova-voyna-[torrentino].exe, , [fa02e2d23e5b211598eed7e36f910af6],
PUP.Optional.RuBar, D:\Загрузки\nnm-club_ru_thunder-wolves.exe, , [5ba1c4f0adec191d18347cd80100b54b],
PUP.Optional.RuBar, D:\Загрузки\microsoft_office_2010_pro_plus_visio_premium_project_pro_sharepo.exe, , [c834169e485161d59fad282cb44d0af6],
PUP.Optional.ZvuZona, D:\Загрузки\duck-tales-remastered-[torrentino].exe, , [de1eb20230695ed89ee806b441bf9769],
PUP.Optional.MediaGet, D:\Загрузки\tajna-egora-ili-neobyknovennye-priklyucheniya-obyknovennym-letom_id2692276ids1s.exe, , [40bcc5ef06932511955e2f09da268977],
PUP.Optional.LoadMoney, D:\Загрузки\bulat-okudzhava-prelestnie-priklyucheniya.exe, , [4fadbdf741588da9f55e2c93768ae11f],
PUP.Optional.LoadMoney, D:\Загрузки\bulat-okudzhava-prelestnyie-priklyucheniya-_torrentino.exe, , [817b6e4655448fa7ec544288d62ac43c],
PUP.Optional.RuBar, D:\Загрузки\khrabraja_serdcem_2012_bdrip_1400_igrhost.exe, , [b745b103148556e079d3b99b5da4bb45],
RiskWare.FilePatcher, D:\Загрузки\Angry Birds Seasons 3.2.0\Patch\Patch.exe, , [8b7111a3adec1e181f6e038f1ce530d0],
RiskWare.CRK, D:\Закачка\Samovary by Krokoz - Professional Plus VL\_mini-KMS Activator\mini-KMS Activator v1.3 Office 2010 VL\mini-KMS_Activator_v1.3_Office2010_VL_ENG.exe, , [629ad8dcc6d362d418ba8ac4a55c4ab6],
Trojan.HTKeyGen, D:\проги\Autodesk AutoCAD 2011 x32 x64 ISO\activation\keygens\xf-a2011-32bits.exe, , [cd2f189cbfdae353001712b8b050e31d],
RiskWare.Tool.CK, D:\проги\Autodesk AutoCAD 2011 x32 x64 ISO\activation\keygens\xf-a2011-64bits.exe, , [b24a0ea640596bcb32d7d0819f63e31d],
RiskWare.Tool.CK, D:\проги\Reg Organizer 5.10 Beta 4\Keygen\keygen.exe, , [a458773d3e5bf6402579e57c22e049b7],
Trojan.Agent, D:\пчелы\пчелы\DjVu\DjVuReader_2.0.0.27_CoolFiles.RU_\djvureader\DjVuReader.exe, , [fc00e9cba5f422145683d986bb458a76],
RiskWare.Tool.HCK, D:\с рабочег стол 10.03.2012\serj2006_70@mail.ru\aleksshibaev@mail.ru\ALCOHOL 120% V1.9.5.3105\PATCH_3105.EXE, , [ca32209498011c1a0aa5303307fb41bf],

[Антон Дубов]

Все выполнил. Перезагрузился. Очистил карантин. Продолжить смогу только завтра. Что делать дальше?

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[Антон Дубов]

Готово

FRST logs.ZIP

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
BHO: Визуальные закладки -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> C:\Program Files\Yandex\FastDial\fastdialhost.dll => No File
Toolbar: HKLM - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartabhost.dll No File
OPR Extension: (Quick Searcher) - C:\Documents and Settings\Олег\Application Data\Opera Software\Opera Stable\Extensions\ecnphlgnajanjnkcmbpancdjoidceilk [2016-02-17]
2016-04-20 17:24 - 2016-04-20 17:24 - 00000000 ____D C:\Documents and Settings\坞邈\Application Data\Tencent
2016-04-20 13:18 - 2016-04-20 13:18 - 00000000 ____D C:\Documents and Settings\LocalService\Application Data\Tencent
2016-04-20 13:10 - 2016-04-20 13:10 - 00000000 ____D C:\Documents and Settings\Олег\Application Data\kingsoft
2016-04-20 13:00 - 2016-05-01 19:30 - 00000000 ____D C:\Documents and Settings\Олег\Local Settings\Application Data\PPTAssist
2016-04-20 13:00 - 2016-04-23 12:10 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\kingsoft
2016-04-20 13:00 - 2016-04-20 13:00 - 00000000 ____D C:\Program Files\badu
2016-04-20 13:00 - 2016-04-20 13:00 - 00000000 ____D C:\Documents and Settings\Олег\Application Data\pptassist
2016-04-11 18:50 - 2016-04-21 20:34 - 00009590 _____ C:\appverifier.txt
2016-04-11 17:11 - 2016-04-11 17:11 - 00000945 _____ C:\Documents and Settings\Олег\Рабочий стол\Continue installation .lnk
2016-04-11 17:10 - 2016-04-11 17:10 - 00000000 ____D C:\Program Files\WinTsks
2016-04-11 17:10 - 2016-04-11 17:10 - 00000000 ____D C:\Program Files\WinSvces
2016-04-11 17:10 - 2016-04-11 17:10 - 00000000 ____D C:\Documents and Settings\Олег\Local Settings\Application Data\3810282D-6C19-47B0-8283-5C6C29A7E108
2016-04-11 17:07 - 2016-04-29 19:08 - 00000000 ____D C:\Documents and Settings\Олег\Local Settings\Application Data\0D8F86A0-1460394427-11DE-906E-E0CB4EC25FD2
2016-04-11 17:04 - 2016-04-11 17:00 - 00000983 _____ C:\windows\system32\Drivers\etc\hp.bak
2016-04-11 17:03 - 2016-05-01 01:17 - 00000000 ____D C:\Documents and Settings\Олег\Application Data\WeatherChickn
2016-02-17 16:49 - 2016-04-22 09:00 - 00000000 ____D C:\Documents and Settings\Олег\Application Data\FreeVPN
C:\Documents and Settings\Олег\Local Settings\Temp\Adblocker3.exe
C:\Documents and Settings\Олег\Local Settings\Temp\AmigoDistrib.exe
C:\Documents and Settings\Олег\Local Settings\Temp\amigo_setup.exe
C:\Documents and Settings\Олег\Local Settings\Temp\Baidu_Setup_1.6.0.359_10003087_20150507002.exe
C:\Documents and Settings\Олег\Local Settings\Temp\hcv_mailruhomesearch (1).exe
C:\Documents and Settings\Олег\Local Settings\Temp\hcv_mailruhomesearch.exe
C:\Documents and Settings\Олег\Local Settings\Temp\mailruhomesearchvbm.exe
C:\Documents and Settings\Олег\Local Settings\Temp\MailRuUpdater.exe
C:\Documents and Settings\Олег\Local Settings\Temp\qqpcmgr_v10.10.16434.218_72830_Silence.exe
C:\Documents and Settings\Олег\Local Settings\Temp\qqpcmgr_v10.11.16588.235_72623_Silence.exe
2015-11-04 09:14 - 2015-11-04 09:14 - 0921654 _____ () C:\Documents and Settings\Олег\Application Data\98AC63A698AC63A6.bmp
2015-09-24 20:56 - 2015-09-24 20:56 - 0371216 _____ () C:\Documents and Settings\Олег\Application Data\data13.dat
C:\Documents and Settings\Олег\Local Settings\Temp\tmp2E.tmp.exe
CustomCLSID: HKU\S-1-5-21-343818398-1957994488-682003330-1003_Classes\CLSID\{034DF736-A378-4292-ACAE-A561088999F5}\InprocServer32 -> C:\Documents and Settings\Олег\Local Settings\Application Data\PPTAssist\pptassist.dll (珠海金山办公软件有限公司)
CustomCLSID: HKU\S-1-5-21-343818398-1957994488-682003330-1003_Classes\CLSID\{1077138E-896C-445E-BD31-CFCFFA4636C4}\InprocServer32 -> C:\Documents and Settings\Олег\Local Settings\Application Data\PPTAssist\pptassist.dll (珠海金山办公软件有限公司)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[Антон Дубов]

Сначала FRST завершала работу с ошибкой. Потом включил восстановление системы и все сработало нормально.

Fixlog.txt

[thyrex]

Сделайте лог AdwCleaner

[Антон Дубов]

Готово

AdwCleanerS1.txt

[thyrex]

Отметьте и удалите все найденное