SAV89 Опубликовано 20 февраля, 2017 Опубликовано 20 февраля, 2017 Секретарь подцепила неизвестно откуда неизвестно что... Появляется куча процессов с разными именами, но в описании чаще всего указано GoodThingsShow, auurR2S3, Habay58, IA477ASSSoo Автоматом постоянно открывается в браузере несколько закладок и пытается установиться какой-то setup.exe Помогите, пожалуйста CollectionLog-2017.02.20-13.51.zip
Sandor Опубликовано 20 февраля, 2017 Опубликовано 20 февраля, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\program files (x86)\hpzebra\zebrastarter.exe'); TerminateProcessByName('c:\users\Светлана\appdata\roaming\qipapp\qipapp.exe'); TerminateProcessByName('c:\program files (x86)\hpzebra\hpzebrasrv.exe'); TerminateProcessByName('c:\program files (x86)\bikaqrssreader\bikaq.exe'); TerminateProcessByName('c:\windows\temp\dbc0.tmp'); TerminateProcessByName('c:\windows\temp\dbc1.tmp'); TerminateProcessByName('c:\program files (x86)\d4cb742a-90db-40d3-b341-53f98c5ccf641486553805\kns22df.tmp'); StopService('Ntp2NetSvc'); StopService('HPZebra Service'); StopService('cymiloqi'); StopService('serverss'); StopService('serverws'); QuarantineFile('C:\Program Files (x86)\Atuvaght\mimoch.exe',''); QuarantineFile('C:\Users\Светлана\AppData\Roaming\fhmnpnfihdlhfoabihfhcfpajhohfdbe\ml.py',''); QuarantineFile('C:\Program Files (x86)\Stfokchaquy\kogght.exe',''); QuarantineFile('C:\Users\Светлана\AppData\Roaming\bestQR\ml.py',''); QuarantineFile('C:\Program Files (x86)\Bozoty Agent\local64spl.dll',''); QuarantineFile('C:\Program Files (x86)\Common Files\ntp2UpSvc\notepad2.exe',''); QuarantineFile('C:\Program Files (x86)\notepad2\notepad2.exe',''); QuarantineFile('c:\program files (x86)\hpzebra\zebrastarter.exe',''); QuarantineFile('c:\users\Светлана\appdata\roaming\qipapp\qipapp.exe',''); QuarantineFile('c:\program files (x86)\hpzebra\hpzebrasrv.exe',''); QuarantineFile('c:\program files (x86)\bikaqrssreader\bikaq.exe',''); QuarantineFile('c:\windows\temp\dbc0.tmp', ''); QuarantineFile('c:\windows\temp\dbc1.tmp', ''); QuarantineFile('c:\program files (x86)\d4cb742a-90db-40d3-b341-53f98c5ccf641486553805\kns22df.tmp', ''); QuarantineFile('C:\Windows\Temp\C0E5.tmp', ''); QuarantineFile('C:\Windows\Temp\F837.tmp', ''); QuarantineFile('C:\Users\Светлана\AppData\Local\Temp\w94pHkenXl.exe', ''); QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk', ''); QuarantineFile('C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk', ''); QuarantineFile('C:\Users\Светлана\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Start Tor Browser.lnk', ''); QuarantineFile('C:\Users\drobovvv\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk', ''); QuarantineFile('C:\Users\Светлана\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', ''); QuarantineFile('C:\Users\Светлана\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', ''); QuarantineFile('C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', ''); QuarantineFile('C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', ''); QuarantineFile('C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr (64-bit).lnk', ''); QuarantineFile('C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', ''); QuarantineFile('C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', ''); QuarantineFile('C:\Users\drobovvv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', ''); QuarantineFile('C:\Users\drobovvv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr (64-bit).lnk', ''); QuarantineFile('C:\Users\drobovvv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', ''); QuarantineFile('C:\Users\Default\Desktop\Yаndех.lnk', ''); QuarantineFile('C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk', ''); QuarantineFile('C:\Users\drobovvv\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk', ''); QuarantineFile('C:\Program Files (x86)\HPZebra\ZebraStarter.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Anitadomcoegersy" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "bestQR" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "BikaQ_FetchAndUpgrade_CanBeDel" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Bozoty Agent" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "fhmnpnfihdlhfoabihfhcfpajhohfdbe" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Gherotyreiferdom Engine" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "urlopener" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Vdeghcosily" /F', 0, 15000, true); DeleteFile('c:\program files (x86)\hpzebra\hpzebrasrv.exe','32'); DeleteFile('c:\users\Светлана\appdata\roaming\qipapp\qipapp.exe','32'); DeleteFile('c:\program files (x86)\hpzebra\zebrastarter.exe','32'); DeleteFile('C:\Program Files (x86)\notepad2\notepad2.exe','32'); DeleteFile('C:\Program Files (x86)\Common Files\ntp2UpSvc\notepad2.exe','32'); DeleteFile('C:\Program Files (x86)\Bozoty Agent\local64spl.dll','32'); DeleteFile('C:\Users\Светлана\AppData\Roaming\bestQR\ml.py','32'); DeleteFile('C:\Program Files (x86)\BikaQRssReader\BikaQ.exe','32'); DeleteFile('C:\Program Files (x86)\Stfokchaquy\kogght.exe','32'); DeleteFile('C:\Users\Светлана\AppData\Roaming\fhmnpnfihdlhfoabihfhcfpajhohfdbe\ml.py','32'); DeleteFile('C:\Program Files (x86)\Atuvaght\mimoch.exe','32'); DeleteFile('C:\Program Files (x86)\HPZebra\ZebraStarter.exe', ''); DeleteFile('c:\windows\temp\dbc0.tmp', '32'); DeleteFile('c:\windows\temp\dbc1.tmp', '32'); DeleteFile('c:\program files (x86)\d4cb742a-90db-40d3-b341-53f98c5ccf641486553805\kns22df.tmp', '32'); DeleteFile('C:\Windows\Temp\C0E5.tmp', '32'); DeleteFile('C:\Windows\Temp\F837.tmp', '32'); DeleteFile('C:\Users\Светлана\AppData\Local\Temp\w94pHkenXl.exe', '32'); DeleteService('Ntp2UpSvc'); DeleteService('Ntp2NetSvc'); DeleteService('HPZebra Service'); DeleteService('cymiloqi'); DeleteService('serverss'); DeleteService('serverws'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZebraStarter'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CG6W1W3G7M'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QIPApp'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RMBTQTLWWA'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','0BD979QU0F'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aijJGSXjX4'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DFno4kPyLJ'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','yi7MUPN7wb'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CYVzzve6Wv'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','btau9pCFa5'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','idaR4JhhCW'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GXAGVzQUSR'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MQc91yNxCz'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xXNrZjORMT'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aAKzmeQTPJ'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xy2cDr8FWQ'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','00Z5rV2nKr'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Rq602LK8IS'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cwfGP4PHHP'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vKHX7XDVLY'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','i9LseCEkhM'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ChMzvViWWE'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rAoBRCzQL4'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HmKs49Zw2m'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Oa2jAMHolf'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','H7UHFoRf8Y'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zOIcpbvf6C'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','V0cRfpW3Zc'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','XoGmWpsAip'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AFAotEC0u4'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','61sy3AcTv0'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','q7IyFJMrM2'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xVJNEsBBfC'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RJ0W6Y5s1a'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KVmOp4nPOc'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kkREkN3geW'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','05CQQSEYRD'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rO4sIwc7La'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2hqTK8B8Si'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ljgY9myXPH'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ygxcn008nE'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','M1ZwkLLgOv'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wBd5aXlczN'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RWjQaR30Je'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eB7nERNbVb'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SWSX63mR40'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DhLdIfhAc0'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RIH7nbPkgg'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','5XJEetqOOZ'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RQgw2mVdFo'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Xz1TUQ5vGb'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MsmuvtKd3o'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TTQcxQ5h53'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MTaJExumaa'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Wmeh7P3O5t'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Wh0QusLNGy'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SSoXdteGTx'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7F45grpQ9E'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RczHEx3eT2'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MOb43zcodm'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nHUtkt6tK9'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','UUfldkS4B5'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mJeqK7XMOH'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HsQwOcm6zO'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','9CLhyZsbF6'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','V0rKxm1o0P'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hHCaLlbqZJ'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bbjbolAebk'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8Wupf1vc33'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','k2a2e7oKTu'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TaZOK6z9Pz'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
SAV89 Опубликовано 21 февраля, 2017 Автор Опубликовано 21 февраля, 2017 Добрый день! После выполнения скрипта машина перегрузилась, но такое ощущение, что этих процессов стало еще больше Скриншот во вложении Ответ от newvirus@kaspersky.com [KLAN-5847476422] ----- Вредоносные программы не найдены в файлах: kogght.exenotepad2.exenotepad2_0.exezebrastarter.exeqipapp.exehpzebrasrv.exebikaq.exeYаndех.lnkGооglе Сhrоmе.lnkStart Tor Browser.lnkGооglе Сhrоmе_0.lnkIntеrnеt Ехрlоrеr (Nо Аdd-оns).lnkIntеrnеt Ехрlоrеr.lnkIntеrnеt Ехрlоrеr_0.lnkIntеrnеt Ехрlоrеr (Nо Аdd-оns)_0.lnkIntеrnеt Ехрlоrеr (64-bit).lnkIntеrnеt Ехрlоrеr_1.lnkIntеrnеt Ехрlоrеr (Nо Аdd-оns)_1.lnkIntеrnеt Ехрlоrеr (Nо Аdd-оns)_2.lnkIntеrnеt Ехрlоrеr (64-bit)_0.lnkIntеrnеt Ехрlоrеr_2.lnkYаndех_0.lnkIntеrnеt Ехрlоrеr_3.lnkIntеrnеt Ехрlоrеr_4.lnkВ файлах найдены вредоносные программыlocal64spl.dll - Trojan.Win64.Eroyee.byПрограмма Adware, предназначенная для показа рекламных сообщений, найдена в файлахdbc1.tmp - not-a-virus:AdWare.Win32.ConvertAd.cgno ----- ClearLNK-21.02.2017_10-28.log
Sandor Опубликовано 21 февраля, 2017 Опубликовано 21 февраля, 2017 Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.А где повторный лог?
SAV89 Опубликовано 21 февраля, 2017 Автор Опубликовано 21 февраля, 2017 Упс... извиняюсь... CollectionLog-2017.02.21-11.44.zip
Sandor Опубликовано 21 февраля, 2017 Опубликовано 21 февраля, 2017 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\temp\d733.tmp'); TerminateProcessByName('c:\program files (x86)\d4cb742a-90db-40d3-b341-53f98c5ccf641486553805\knsdd29.tmp'); StopService('serverss'); QuarantineFile('C:\Program Files (x86)\Bozoty Agent\local64spl.dll',''); QuarantineFile('C:\Users\Светлана\AppData\Roaming\А¶ФВ№Щ·ЅїН»§¶Л\А¶ФВ№Щ·ЅїН»§¶Л.exe',''); QuarantineFile('C:\Program Files (x86)\t0yacluq\Yandextyacluq.dll',''); QuarantineFile('c:\windows\temp\d733.tmp', ''); QuarantineFile('c:\program files (x86)\d4cb742a-90db-40d3-b341-53f98c5ccf641486553805\knsdd29.tmp', ''); DeleteFile('C:\Program Files (x86)\Bozoty Agent\local64spl.dll','32'); DeleteFile('c:\windows\temp\d733.tmp', '32'); DeleteFile('c:\program files (x86)\d4cb742a-90db-40d3-b341-53f98c5ccf641486553805\knsdd29.tmp', '32'); DeleteService('serverss'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6yXGDXhJx2'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FFBi3QFy9L'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','esskgVI7X6'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6yX26UIgfj'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kRf4zvl0F2'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','s2h8vaFhbL'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2neYbB4EOM'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','836el4MRDy'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FARw6ycQ7q'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cEd7vy1zx3'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xMwqFRM1BJ'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Qeyu3eaYm6'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QghUdqWkX6'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','phHJwYABtE'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dOn5nG07TQ'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VQ0HqCJKEN'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','UgT1QXnPeR'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','e4FjDmmbb3'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','iubfwjTD1r'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','XEoJ7FrBKH'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ErqK3U28mQ'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','BzwISFNDt2'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8TFOLn3Hzf'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zK4z8gnHy4'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','akmRYsQ5F6'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AgWO4FL8R1'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LNJj04f6Mf'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','yTo4sBxEl0'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','R4UIxh2IZH'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','g1pc8HGxMb'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','y6CsfmXyUN'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gHLyAMggfD'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LEcQRKu6Qs'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','m7yhTmT8XA'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NGrCXylfQK'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','4wl9EoU0oR'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TKt8Q6lGlQ'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','jbUsLPcV2q'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','10GKY2GyLW'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GuQVNofToS'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DjqfJdGQ5S'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qtx8dPdCW1'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Hc3UEmfYMj'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uYbFrgbBcf'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MODmmO4LUD'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DyT28hyQ7s'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ey4LkCaMmI'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dOlreuw5Et'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TFj3mlPWJf'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RoP2M3HFIu'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','OoP12uLUuB'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KUdKlBqY4b'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VcWVmhOjBh'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rNH8T9Ioif'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zew8h9tecc'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QShbwfxtBi'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите еще раз логи по правилам. Для повторной диагностики запустите снова Autologger.
SAV89 Опубликовано 21 февраля, 2017 Автор Опубликовано 21 февраля, 2017 После этого скрипта, процессов не вижу... ----- [KLAN-5849090564] Антивирус Касперского проверил файлы. Вредоносные программы не найдены в файлах:А¶ФВ№Щ·ЅїН»§¶Л.exeВ файлах найдены вредоносные программыYandextyacluq.dll - Trojan.Win32.Agentb.iiflПрограмма Adware, предназначенная для показа рекламных сообщений, найдена в файлахd733.tmp - not-a-virus:AdWare.Win32.ConvertAd.cgohknsdd29.tmp - not-a-virus:HEUR:AdWare.Win32.Generic ----- Результаты повторного теста - во вложении CollectionLog-2017.02.21-12.53.zip
Sandor Опубликовано 21 февраля, 2017 Опубликовано 21 февраля, 2017 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
SAV89 Опубликовано 21 февраля, 2017 Автор Опубликовано 21 февраля, 2017 Готово Addition.txt FRST.txt Shortcut.txt
Sandor Опубликовано 21 февраля, 2017 Опубликовано 21 февраля, 2017 Через Панель управления - Удаление программ - удалите нежелательное ПО: HPZebra ProfitSaver QIPApp SafeFinder trotux - Uninstall WinSnare youndoo - Uninstall Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: CloseProcesses: HKLM\...\Providers\97h8zufu: C:\Program Files (x86)\Bozoty Agent\local64spl.dll ShellExecuteHooks: No Name - {8BC2E310-EABD-11E6-9AFB-64006A5CFC23} - C:\Users\Светлана\AppData\Roaming\Domety\Pezergh.dll [145408 2017-02-08] () ShellExecuteHooks: No Name - {82880ECC-F444-11E6-9369-64006A5CFC23} - C:\Program Files (x86)\Plowiseprunoght\Fevusenatash.dll [145408 2017-02-20] () ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\їмС№\X64\KZipShell.dll [2017-02-13] () GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION HKU\S-1-5-21-2741812499-2598102215-2783485338-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9Wp65vBYdXmQ_zq2MX4UOw728eNi4IvQHo1ymqZLPTAbXSNoCy5U2cNo_ck6L1vjkEd9CRCdhuy_S-5Yhet9FmJj2urS56fH_xHd8Y8LW7L1FC4NY76Jq2vRoEe-19G6yB6lz9JbafcNeDlaX3kuLYNeNX6ym&q={searchTerms} HKU\S-1-5-21-2741812499-2598102215-2783485338-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9Wp65vBYdXmQ_zq2MX4UOw728eNi4IvQHo1ymqZLPTAbXSNoCy5U2cNo_ck6L1vjkEd9CRCdhuy_S-5Yhet9FmJj2urS56fH_xHd8Y8LW7L1FC4NY76Jq2vRoEe-19G6yB6lz9JbafcNeDlaX3kuLYNeNX6ym&q={searchTerms} SearchScopes: HKU\S-1-5-21-2741812499-2598102215-2783485338-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://zquirrel.com/SmartSearch/index.php?p={searchTerms}&bn=ie&ch_id=NOCHPC&g=d4cb742a-90db-40d3-b341-53f98c5ccf64& SearchScopes: HKU\S-1-5-21-2741812499-2598102215-2783485338-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://zquirrel.com/SmartSearch/index.php?p={searchTerms}&bn=ie&ch_id=NOCHPC&g=d4cb742a-90db-40d3-b341-53f98c5ccf64& FF DefaultProfile: 41A66E7E5EE1 FF ProfilePath: C:\Users\Светлана\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1 [not found] FF ProfilePath: C:\Users\Светлана\AppData\Roaming\Firefox\Firefox\naweriweentcofise\Profiles\41A66E7E5EE1\Profiles\nahd6ha2.default [not found] FF ProfilePath: C:\Users\Светлана\AppData\Roaming\Firefox\Firefox\naweriweentcofise\Profiles\41A66E7E5EE1\Profiles\41A66E7E5EE1 [not found] FF Extension: (No Name) - C:\Users\Светлана\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2016-08-10] [not signed] FF Extension: (TSearch) - C:\Users\Светлана\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2016-08-10] [not signed] FF Extension: (TSearch) - C:\Users\Светлана\AppData\Roaming\Firefox\Firefox\Profiles\41A66E7E5EE1\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2016-07-28] [not signed] CHR Profile: C:\Users\Светлана\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-02-14] <==== ATTENTION CHR Profile: C:\Users\Светлана\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2017-02-20] <==== ATTENTION OPR Extension: (No Name) - C:\Users\Светлана\AppData\Roaming\Opera Software\Opera Stable\Extensions\mlepmakjdoedngidjlanekmdkllganmg [2016-08-08] OPR Extension: (No Name) - C:\Users\Светлана\AppData\Roaming\Opera Software\Opera Stable\Extensions\nbomckfkgpfkhgcponiencnhemallhhh [2017-02-17] S2 cixociso; C:\Program Files (x86)\d4cb742a-90db-40d3-b341-53f98c5ccf641486553805\knsDD29.tmp [X] 2017-02-21 12:54 - 2017-02-21 12:55 - 00003588 _____ C:\Windows\System32\Tasks\Milimili 2017-02-21 12:54 - 2017-02-21 12:55 - 00000000 ____D C:\Program Files (x86)\MIO 2017-02-21 12:54 - 2017-02-21 12:54 - 00000000 ____D C:\Users\Светлана\AppData\Roaming\WinSnare 2017-02-21 12:54 - 2017-02-21 12:54 - 00000000 ____D C:\Users\Светлана\AppData\Roaming\WinSAPSvc 2017-02-21 12:54 - 2017-02-21 12:54 - 00000000 ____D C:\Program Files (x86)\WinSnare(4.1.3) 2017-02-21 12:54 - 2017-02-21 12:54 - 00000000 ____D C:\Program Files (x86)\7f9le1xv 2017-02-20 10:19 - 2017-02-20 10:19 - 00000000 ____D C:\Program Files\NFHZ46XLWL 2017-02-20 10:15 - 2017-02-20 10:15 - 00000000 ____D C:\Program Files\CITC1H0HGT 2017-02-20 09:44 - 2017-02-20 09:44 - 00000000 ____D C:\Program Files\VHYG6029VP 2017-02-20 09:41 - 2017-02-21 12:54 - 00000000 ____D C:\Program Files (x86)\Reozerph 2017-02-20 09:40 - 2017-02-20 09:40 - 00000000 ____D C:\Program Files\RI46YPD31T 2017-02-20 08:57 - 2017-02-20 08:57 - 00000000 ____D C:\Program Files\H1QA1VFQLY 2017-02-20 08:54 - 2017-02-20 11:07 - 00000000 ____D C:\Program Files (x86)\Plowiseprunoght 2017-02-20 08:54 - 2017-02-20 08:54 - 00006084 _____ C:\Windows\System32\Tasks\Qihesclzty Schedule 2017-02-20 08:54 - 2017-02-20 08:54 - 00000000 ____D C:\Users\Светлана\AppData\Local\Bertoward 2017-02-20 08:54 - 2017-02-20 08:54 - 00000000 ____D C:\Program Files\4TNSI9OA1M 2017-02-20 08:54 - 2017-02-20 08:54 - 00000000 ____D C:\Program Files (x86)\Qihesclzty Schedule 2017-02-20 08:45 - 2017-02-20 08:45 - 00000000 ____D C:\Program Files\QIJ7BGWJ00 2017-02-17 16:40 - 2017-02-17 16:40 - 00000000 ____D C:\Program Files\A68V8LI99J 2017-02-17 16:15 - 2017-02-17 16:15 - 00000000 ____D C:\Program Files\29E8P7AJ0H 2017-02-17 16:12 - 2017-02-17 16:12 - 00006028 _____ C:\Windows\System32\Tasks\Plocersp Log 2017-02-17 16:12 - 2017-02-17 16:12 - 00000000 ____D C:\Users\Светлана\AppData\Local\Qermish 2017-02-17 16:12 - 2017-02-17 16:12 - 00000000 ____D C:\Program Files (x86)\Plocersp Log 2017-02-17 15:56 - 2017-02-17 15:57 - 00000000 ____D C:\Program Files\DA7YCR8089 2017-02-17 15:24 - 2017-02-17 15:24 - 00000000 ____D C:\Program Files\WAHOVYTB8L 2017-02-17 12:46 - 2017-02-17 12:46 - 00000000 ____D C:\Program Files\G8ANQSPRV4 2017-02-17 12:40 - 2017-02-17 12:40 - 00000000 ____D C:\Users\Светлана\AppData\Local\Standuck 2017-02-17 12:39 - 2017-02-17 12:39 - 00000000 ____D C:\Program Files (x86)\Standuck 2017-02-17 12:13 - 2017-02-17 12:13 - 00000000 ____D C:\Program Files\0RLV6LV2XP 2017-02-17 12:10 - 2017-02-17 12:10 - 00000000 ____D C:\Program Files\WNLVYY468V 2017-02-17 11:38 - 2017-02-17 11:38 - 00000000 ____D C:\Program Files\L7RS0H5W9D 2017-02-17 11:35 - 2017-02-17 11:35 - 00000000 ____D C:\Program Files\236M3D1B22 2017-02-17 11:03 - 2017-02-17 11:03 - 00000000 ____D C:\Program Files\RA7UI0NZE1 2017-02-17 11:00 - 2017-02-17 11:00 - 00000000 ____D C:\Program Files\GNSSAZXGDE 2017-02-17 10:28 - 2017-02-17 10:28 - 00000000 ____D C:\Program Files\EVL3IS2TQM 2017-02-17 10:25 - 2017-02-17 10:25 - 00000000 ____D C:\Program Files\F4PUYDPE22 2017-02-17 09:53 - 2017-02-17 09:53 - 00000000 ____D C:\Program Files\X5AYHP2S5P 2017-02-17 09:50 - 2017-02-17 09:50 - 00000000 ____D C:\Program Files\HLFMEIMOAJ 2017-02-17 09:18 - 2017-02-17 09:18 - 00000000 ____D C:\Program Files\W426DW8N6F 2017-02-17 09:14 - 2017-02-17 09:14 - 00000000 ____D C:\Program Files\UALO6JC6K6 2017-02-17 08:42 - 2017-02-17 08:42 - 00000000 ____D C:\Program Files\OKHSSIO38R 2017-02-16 16:32 - 2017-02-16 16:32 - 00000000 ____D C:\Program Files\YQ1Y09O4BF 2017-02-16 16:32 - 2017-02-16 16:32 - 00000000 ____D C:\Program Files\8N9EU9T4NW 2017-02-16 16:28 - 2017-02-16 16:28 - 00000000 ____D C:\Program Files\LUAUFTHTG7 2017-02-16 16:28 - 2017-02-16 16:28 - 00000000 ____D C:\Program Files\G2GOQA18WJ 2017-02-16 15:56 - 2017-02-16 15:56 - 00000000 ____D C:\Program Files\DB7R1JC07U 2017-02-16 15:56 - 2017-02-16 15:56 - 00000000 ____D C:\Program Files\D1MQDUBN73 2017-02-16 15:53 - 2017-02-16 15:53 - 00000000 ____D C:\Program Files\NKVDAPKCK2 2017-02-16 15:53 - 2017-02-16 15:53 - 00000000 ____D C:\Program Files\G3GJVL2DJS 2017-02-16 15:21 - 2017-02-16 15:21 - 00000000 ____D C:\Program Files\X51NEWFQMF 2017-02-16 15:21 - 2017-02-16 15:21 - 00000000 ____D C:\Program Files\8N3YDI9COB 2017-02-16 15:18 - 2017-02-16 15:18 - 00000000 ____D C:\Program Files\O3IXTAO1ON 2017-02-16 15:18 - 2017-02-16 15:18 - 00000000 ____D C:\Program Files\JBE1FQ4K9C 2017-02-16 14:46 - 2017-02-16 14:46 - 00000000 ____D C:\Program Files\LJMEL65XD5 2017-02-16 14:46 - 2017-02-16 14:46 - 00000000 ____D C:\Program Files\3F2ADO1U5S 2017-02-16 14:43 - 2017-02-20 15:32 - 00000000 ____D C:\Program Files (x86)\notepad2 2017-02-16 14:43 - 2017-02-16 14:43 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BikaQ 2017-02-16 14:43 - 2017-02-16 14:43 - 00000000 ____D C:\Program Files\24JNH5A6KK 2017-02-16 14:43 - 2017-02-16 14:43 - 00000000 ____D C:\Program Files\04PXPE4V2R 2017-02-16 14:43 - 2017-02-16 14:43 - 00000000 ____D C:\Program Files (x86)\BikaQRssReader 2017-02-16 11:30 - 2017-02-16 11:30 - 00000000 ____D C:\Program Files\Z72NVXVCO0 2017-02-16 11:30 - 2017-02-16 11:30 - 00000000 ____D C:\Program Files\PTZ9FDS3C1 2017-02-16 11:27 - 2017-02-16 11:27 - 00000000 ____D C:\Program Files\WDV3ZUKF9Y 2017-02-16 11:27 - 2017-02-16 11:27 - 00000000 ____D C:\Program Files\S2OLPM7F8L 2017-02-16 10:55 - 2017-02-16 10:55 - 00000000 ____D C:\Program Files\K8KTTJTZ79 2017-02-16 10:55 - 2017-02-16 10:55 - 00000000 ____D C:\Program Files\7RP0NF9QX3 2017-02-16 10:52 - 2017-02-16 10:52 - 00000000 ____D C:\Program Files\PQ4JN5GT56 2017-02-16 10:52 - 2017-02-16 10:52 - 00000000 ____D C:\Program Files\8VW1HIYINK 2017-02-16 10:20 - 2017-02-16 10:20 - 00000000 ____D C:\Program Files\S4G01YUM50 2017-02-16 10:20 - 2017-02-16 10:20 - 00000000 ____D C:\Program Files\NWPF836K8E 2017-02-16 10:17 - 2017-02-16 10:17 - 00000000 ____D C:\Program Files\4G3B6XCNXM 2017-02-16 09:45 - 2017-02-16 09:45 - 00000000 ____D C:\Program Files\8CMLCXCINE 2017-02-16 09:45 - 2017-02-16 09:45 - 00000000 ____D C:\Program Files\7UGSLQQFYF 2017-02-16 09:41 - 2017-02-16 09:41 - 00000000 ____D C:\Program Files\A1MQYU6LDT 2017-02-16 09:09 - 2017-02-16 09:10 - 00000000 ____D C:\Program Files\GYXRWLCRLE 2017-02-16 09:09 - 2017-02-16 09:10 - 00000000 ____D C:\Program Files\BW2WP9MJAS 2017-02-16 09:06 - 2017-02-16 09:06 - 00000000 ____D C:\Program Files\ZF9XNW60IZ 2017-02-16 09:06 - 2017-02-16 09:06 - 00000000 ____D C:\Program Files\VWYY9WLTPL 2017-02-16 09:06 - 2017-02-16 09:06 - 00000000 ____D C:\Program Files\QASLU2456Q 2017-02-16 09:06 - 2017-02-16 09:06 - 00000000 ____D C:\Program Files\KP9SM6UO19 2017-02-16 08:34 - 2017-02-16 08:34 - 00000000 ____D C:\Program Files\RDTIOY5SRX 2017-02-16 08:34 - 2017-02-16 08:34 - 00000000 ____D C:\Program Files\QBK313Q7HW 2017-02-16 08:34 - 2017-02-16 08:34 - 00000000 ____D C:\Program Files\N7SGRATI96 2017-02-16 08:31 - 2017-02-16 08:32 - 00000000 ____D C:\Program Files\SNK2XQEATA 2017-02-16 08:31 - 2017-02-16 08:32 - 00000000 ____D C:\Program Files\O2V0HKA46M 2017-02-15 14:12 - 2017-02-15 14:12 - 00000000 ____D C:\Program Files\BZX047CE1L 2017-02-15 14:11 - 2017-02-15 14:11 - 00000000 ____D C:\Program Files\PNA6QY8U3U 2017-02-15 12:45 - 2017-02-15 12:45 - 00000000 ____D C:\Program Files\QGSHNJ5VNN 2017-02-15 12:42 - 2017-02-15 12:42 - 00000000 ____D C:\Program Files\505RHS8P8W 2017-02-15 12:10 - 2017-02-15 12:10 - 00000000 ____D C:\Program Files\P1MTPEKXX9 2017-02-15 12:06 - 2017-02-15 12:06 - 00000000 ____D C:\Program Files\G9P7SYH9L7 2017-02-15 11:34 - 2017-02-15 11:34 - 00000000 ____D C:\Program Files\YKWCZ0W0OL 2017-02-15 11:31 - 2017-02-15 11:31 - 00000000 ____D C:\Program Files\BD1XP8UWRS 2017-02-15 10:59 - 2017-02-15 10:59 - 00000000 ____D C:\Program Files\CUQU1MNFGW 2017-02-15 10:55 - 2017-02-15 10:56 - 00000000 ____D C:\Program Files\C0Z7GDFI2W 2017-02-15 10:24 - 2017-02-15 10:24 - 00000000 ____D C:\Program Files\LML5FPJ7WH 2017-02-15 10:20 - 2017-02-15 10:20 - 00000000 ____D C:\Program Files\FZ78HRTNKZ 2017-02-15 09:48 - 2017-02-20 13:40 - 00000000 ____D C:\Program Files\EF3F1EGVRA 2017-02-15 09:45 - 2017-02-15 09:45 - 00000000 ____D C:\Program Files\PBUE0HD2QX 2017-02-15 09:13 - 2017-02-15 09:13 - 00000000 ____D C:\Program Files\SKA6SRU14R 2017-02-15 09:09 - 2017-02-15 09:09 - 00000000 ____D C:\Program Files\PGV101BJBK 2017-02-15 08:37 - 2017-02-15 08:38 - 00000000 ____D C:\Program Files\03AQR3LJOY 2017-02-14 13:04 - 2017-02-14 13:04 - 00000000 ____D C:\Program Files\Q7IN6U5MIU 2017-02-14 13:04 - 2017-02-14 13:04 - 00000000 ____D C:\Program Files\89W2Y25C6Y 2017-02-14 12:32 - 2017-02-14 12:32 - 00000000 ____D C:\Program Files\9K76C1IJ3F 2017-02-14 12:28 - 2017-02-14 12:28 - 00000000 ____D C:\Program Files\YC1PG6EMQT 2017-02-14 11:56 - 2017-02-14 11:56 - 00000000 ____D C:\Program Files\32PHTOPVVR 2017-02-14 11:53 - 2017-02-14 11:53 - 00000000 ____D C:\Program Files\MV90BWO16T 2017-02-14 11:21 - 2017-02-14 11:21 - 00000000 ____D C:\Program Files\NPQ52A4Z3S 2017-02-14 11:18 - 2017-02-14 11:18 - 00000000 ____D C:\Program Files\5X8ER10YDF 2017-02-14 10:46 - 2017-02-14 10:46 - 00000000 ____D C:\Program Files\I9G4S15LGN 2017-02-14 10:43 - 2017-02-20 11:07 - 00000000 ____D C:\Users\Светлана\AppData\Roaming\Drevosyvpoph 2017-02-14 10:43 - 2017-02-14 10:43 - 00000000 ____D C:\Users\Светлана\AppData\Local\Aruwerlykerey 2017-02-14 09:08 - 2017-02-14 09:08 - 00000000 ____D C:\Program Files\WHT2CLZEMS 2017-02-14 09:08 - 2017-02-14 09:08 - 00000000 ____D C:\Program Files\LDA91YNBV4 2017-02-14 08:49 - 2017-02-14 08:50 - 00000000 ____D C:\Program Files\OMAOMCATTJ 2017-02-14 08:49 - 2017-02-14 08:49 - 00000000 ____D C:\Program Files\TNZLPMVN8L 2017-02-14 08:46 - 2017-02-14 08:46 - 00000000 ____D C:\Program Files\P385HP2O1D 2017-02-14 08:46 - 2017-02-14 08:46 - 00000000 ____D C:\Program Files\OC0GDOXQIB 2017-02-14 08:46 - 2017-02-14 08:46 - 00000000 ____D C:\Program Files\KMY92535SZ 2017-02-14 08:46 - 2017-02-14 08:46 - 00000000 ____D C:\Program Files\ISHWQ13XOD 2017-02-14 08:45 - 2017-02-14 08:45 - 00000000 ____D C:\Program Files\ZCBM9JUE7Z 2017-02-14 08:45 - 2017-02-14 08:45 - 00000000 ____D C:\Program Files\OI9D5UAG2L 2017-02-14 08:44 - 2017-02-14 08:44 - 00000000 ____D C:\Program Files\OW4YDPFVKJ 2017-02-14 08:44 - 2017-02-14 08:44 - 00000000 ____D C:\Program Files\AC1HZI0CPU 2017-02-14 08:42 - 2017-02-14 08:42 - 00000000 ____D C:\Program Files\VWQDRXMH7U 2017-02-14 08:42 - 2017-02-14 08:42 - 00000000 ____D C:\Program Files\0DUVBFXB7I 2017-02-14 08:41 - 2017-02-14 08:41 - 00000000 ____D C:\Program Files\9X2P1D41PB 2017-02-14 08:41 - 2017-02-14 08:41 - 00000000 ____D C:\Program Files\2FNN105EDI 2017-02-14 08:40 - 2017-02-14 08:40 - 00000000 ____D C:\Program Files\XXZW6K4KME 2017-02-14 08:40 - 2017-02-14 08:40 - 00000000 ____D C:\Program Files\WWE0P1BBSY 2017-02-14 08:40 - 2017-02-14 08:40 - 00000000 ____D C:\Program Files\F2SE0XM94R 2017-02-14 08:40 - 2017-02-14 08:40 - 00000000 ____D C:\Program Files\DJJU43QFR0 2017-02-14 08:38 - 2017-02-14 08:38 - 00000000 ____D C:\Program Files\XHONHJBPE2 2017-02-14 08:38 - 2017-02-14 08:38 - 00000000 ____D C:\Program Files\AR6271PUA1 2017-02-13 15:35 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\4MQAMXOGFL 2017-02-13 15:21 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\L94T2PQJQ2 2017-02-13 15:18 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\J9LWP09JWS 2017-02-13 15:05 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\JAFRNQPT34 2017-02-13 14:46 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\B6X246TPVP 2017-02-13 14:42 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\Q31JDHIYNT 2017-02-13 14:17 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\Z8IW5FVCAZ 2017-02-13 14:17 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\T1QJXTOYNW 2017-02-13 14:16 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\LO43QXRIX5 2017-02-13 14:16 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\JQGKNH68MG 2017-02-13 14:10 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\2UF5NLIBP3 2017-02-13 14:07 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\BEA5UV4OEJ 2017-02-13 14:07 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\43JW365X1J 2017-02-13 14:05 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\MKWO5QMLJK 2017-02-13 13:05 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\DZUSZ577MX 2017-02-13 12:34 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\6N29PWNEF4 2017-02-13 12:34 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\39IBI4VNPG 2017-02-13 12:05 - 2017-02-20 10:53 - 00000000 ____D C:\Program Files\NSOAZQUD0R 2017-02-13 11:39 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\M3L4PJ2P9I 2017-02-13 11:36 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\LPEFFL8INU 2017-02-13 11:21 - 2017-02-20 10:52 - 00000000 ____D C:\Program Files\P87R1M5SH3 2017-02-13 11:04 - 2017-02-20 10:53 - 00000000 ____D C:\Program Files\O10EY6AJ8R 2017-02-13 11:01 - 2017-02-20 10:53 - 00000000 ____D C:\Program Files\OBV92YZ7Y1 2017-02-13 10:35 - 2017-02-14 08:55 - 00000000 ____D C:\Users\Все пользователи\IObit 2017-02-13 10:35 - 2017-02-14 08:55 - 00000000 ____D C:\ProgramData\IObit 2017-02-13 10:35 - 2017-02-14 08:40 - 00002898 _____ C:\Windows\System32\Tasks\Driver Booster SkipUAC (Светлана) 2017-02-13 10:35 - 2017-02-13 12:13 - 00000000 ____D C:\Users\Светлана\AppData\Roaming\IObit 2017-02-13 10:35 - 2017-02-13 10:36 - 00000000 ____D C:\Users\Светлана\AppData\LocalLow\IObit 2017-02-13 10:35 - 2017-02-13 10:35 - 00027552 _____ (REALiX(tm)) C:\Windows\SysWOW64\Drivers\HWiNFO64A.SYS 2017-02-13 10:35 - 2017-02-13 10:35 - 00000000 ____D C:\Windows\IObit 2017-02-13 10:34 - 2017-02-13 10:35 - 00000000 ____D C:\Users\Светлана\AppData\Roaming\urlopener 2017-02-13 10:34 - 2017-02-13 10:34 - 00000000 ____D C:\Users\Светлана\AppData\Roaming\QIPApp 2017-02-13 10:29 - 2017-02-20 10:53 - 00000000 ____D C:\Program Files\FGYPD4EGEX 2017-02-13 10:25 - 2017-02-20 10:53 - 00000000 ____D C:\Program Files\6DR60B1VR7 2017-02-13 10:21 - 2017-02-20 10:53 - 00000000 ____D C:\Program Files\78OTKDEWF9 2017-02-13 09:53 - 2017-02-20 10:53 - 00000000 ____D C:\Program Files\SOKJ7MBLKO 2017-02-13 09:50 - 2017-02-20 10:53 - 00000000 ____D C:\Program Files\HJJA23RPF6 2017-02-13 09:18 - 2017-02-20 10:53 - 00000000 ____D C:\Program Files\LVGU0JGJC9 2017-02-13 09:15 - 2017-02-20 10:53 - 00000000 ____D C:\Program Files\S6RNWA7IAF 2017-02-13 09:15 - 2017-02-20 10:53 - 00000000 ____D C:\Program Files\8M0CD9USKN 2017-02-13 09:15 - 2017-02-20 10:53 - 00000000 ____D C:\Program Files\43TNV8OSF6 2017-02-13 08:47 - 2017-02-13 08:47 - 00000000 ____D C:\Users\Светлана\AppData\Roaming\А¶ФВ№Щ·ЅїН»§¶Л 2017-02-13 08:46 - 2017-02-13 08:46 - 00000000 ____D C:\Program Files\їмС№ 2017-02-09 16:32 - 2017-02-16 14:43 - 00000000 ____D C:\Program Files\97h8zufu 2017-02-09 09:10 - 2017-02-09 09:10 - 00003004 _____ C:\Windows\System32\Tasks\{5E2C77CB-05C3-4443-81B7-35617F6647D6} 2017-02-08 16:41 - 2017-02-08 16:41 - 00000000 ____D C:\Users\Светлана\AppData\Local\UCBrowser 2016-07-28 14:03 - 2016-08-23 12:39 - 5842516 _____ (Update) C:\Program Files (x86)\SSFK.exe Task: {29BC7CFF-2AB0-4505-9B0C-F67AB8075C90} - \LefttoeUpdateTaskMachineUA -> No File <==== ATTENTION Task: {31B607E0-8BA6-4B3F-9940-6F9818462FAF} - System32\Tasks\Driver Booster SkipUAC (Светлана) => C:\Program Files (x86)\IObit\Driver Booster\4.2.0\DriverBooster.exe Task: {4CB1D625-93EA-413E-9241-2AA254AE70D8} - \LefttoeUpdateTaskMachineCore -> No File <==== ATTENTION Task: {647F34BE-AAF8-49FC-95CC-0B6A7C6E817F} - System32\Tasks\{5E2C77CB-05C3-4443-81B7-35617F6647D6} => Firefox.exe Task: {80031D56-F12D-4364-BC6E-FCD7C4830346} - System32\Tasks\Plocersp Log => C:\Program Files (x86)\Chuvch\nehied.exe Task: {88A4B451-9285-4681-928A-4885D91175C2} - \CupblueUpdateTaskMachineUA -> No File <==== ATTENTION Task: {9A972345-9F65-45E8-A39F-3D786878F00D} - System32\Tasks\{3EAE08E1-FC02-4D92-9AEF-440E19602BFA} => Firefox.exe Task: {A206A4B8-69F6-45A3-96A7-E97CB4A448F0} - \CupblueUpdateTaskMachineCore -> No File <==== ATTENTION Task: {A460F38B-9199-4906-BA33-8AC73C87DD95} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-02-21] () Task: {F496302B-4FB1-4700-AF77-83439A13BEBB} - \ToolrainUpdateTaskMachineUA -> No File <==== ATTENTION 2017-02-08 16:40 - 2017-02-08 16:40 - 00225792 ____H () C:\Program Files (x86)\t0yacluq\Yandextyacluq.dll FirewallRules: [{2B95ED78-F25B-454B-AAA1-FAA156DC15C8}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe FirewallRules: [{A6559360-3751-4B42-BD4B-EDA3068D36A8}] => (Allow) C:\Windows\Temp\F837.tmp FirewallRules: [{218EEE0C-E5ED-4213-9181-30D52AE005C8}] => (Allow) C:\Users\Светлана\AppData\Local\Amigo\Application\amigo.exe FirewallRules: [{16B31ECA-C998-44EA-9C1E-9049CA6E3204}] => (Allow) C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe FirewallRules: [{8C6F4400-1623-4589-80A0-78953EFEEF46}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{D173A8A1-A9BC-4343-BC72-F5DD762F60CE}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe FirewallRules: [{99077B06-3148-4634-A03E-C9AF64A9725F}] => (Allow) C:\Program Files (x86)\Standuck\Application\chrome.exe FirewallRules: [{FD959725-F9DB-4914-8639-3ABB4F1C907B}] => (Allow) C:\Program Files (x86)\MIO\loader\wdcxwd5000aakx-75u6aa0_wd-wcc2ely7160971609.exe FirewallRules: [{B66056A1-E980-47BB-A353-539361144B81}] => (Allow) C:\Program Files (x86)\MIO\loader\wdcxwd5000aakx-75u6aa0_wd-wcc2ely7160971609.exe EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
SAV89 Опубликовано 21 февраля, 2017 Автор Опубликовано 21 февраля, 2017 Фикслог во вложении При попытке удаления программ (по списку) все проги удалились кроме одной - SafeFinder, причем винда ругнулась, что какая-то прога пытается открыть ссылку, но не может, так как, возможно, несовместима с этой версией винды. Сразу после этого ругнулся защитник винды (скриншот тоже во вложении) с предложением удалить ПО... что я и сделал... Но терзают смутные сомнения.... Fixlog.txt
Sandor Опубликовано 21 февраля, 2017 Опубликовано 21 февраля, 2017 терзают смутные сомненияНе волнуйтесь, мы пока не прощаемся Соберите и прикрепите свежие логи FRST (три отчета).
SAV89 Опубликовано 21 февраля, 2017 Автор Опубликовано 21 февраля, 2017 Готово! Addition.txt FRST.txt Shortcut.txt
Sandor Опубликовано 21 февраля, 2017 Опубликовано 21 февраля, 2017 все проги удалились кроме одной - SafeFinderПробуйте удалить с помощью Revo Uninstall Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: HKU\S-1-5-21-2741812499-2598102215-2783485338-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9Wp65vBYdXmQ_zq2MX4UOw728eNi4IvQHo1ymqZLPTAbXSNoCy5U2cNo_ck6L1vjkEd9CRCdhuy_S-5Yhet9FmJj2urS56fH_xHd8Y8LW7L1FC4NY76Jq2vRoEe-19G6yB6lz9JbafcNeDlaX3kuLYNeNX6ym&q={searchTerms} 2017-02-21 13:49 - 2017-02-21 13:49 - 00000000 ____D C:\Users\Светлана\AppData\Roaming\Sterferent 2017-02-21 13:47 - 2017-02-21 13:47 - 00003580 _____ C:\Windows\System32\Tasks\{5D077840-A7C0-4061-851F-0E65C826694C} 2017-02-13 10:36 - 2017-02-13 10:36 - 00000000 ____D C:\Users\Все пользователи\ProductData 2017-02-13 10:36 - 2017-02-13 10:36 - 00000000 ____D C:\ProgramData\ProductData 2017-02-08 16:38 - 2017-02-08 16:38 - 01938533 _____ C:\Users\Светлана\AppData\Roaming\Ecotax.bin 2017-02-08 16:38 - 2017-02-08 16:38 - 00000000 ____D C:\Users\Все пользователи\Avira 2017-02-08 16:38 - 2017-02-08 16:38 - 00000000 ____D C:\Users\Все пользователи\Avg 2017-02-08 16:38 - 2017-02-08 16:38 - 00000000 ____D C:\Users\Все пользователи\AVAST Software 2017-02-08 16:38 - 2017-02-08 16:38 - 00000000 ____D C:\ProgramData\Avira 2017-02-08 16:38 - 2017-02-08 16:38 - 00000000 ____D C:\ProgramData\Avg 2017-02-08 16:38 - 2017-02-08 16:38 - 00000000 ____D C:\ProgramData\AVAST Software 2017-02-08 16:37 - 2017-02-08 16:37 - 01907470 _____ C:\Users\Светлана\AppData\Roaming\Runtom.tst 2017-02-08 16:37 - 2017-02-08 16:37 - 00278519 _____ C:\Users\Светлана\AppData\Roaming\Stockis.bin 2017-02-08 16:37 - 2017-02-08 16:37 - 00278519 _____ C:\Users\Светлана\AppData\Roaming\Joytip.bin 2017-02-08 16:37 - 2017-02-08 16:36 - 00983040 _____ C:\Users\Светлана\AppData\Roaming\Runtom.exe 2017-02-08 16:36 - 2017-02-21 12:28 - 00000000 ____D C:\Program Files (x86)\d4cb742a-90db-40d3-b341-53f98c5ccf641486553805 2017-02-08 16:36 - 2017-02-20 15:33 - 00000000 ____D C:\Program Files (x86)\Bozoty Agent 2017-02-08 16:36 - 2017-02-20 15:32 - 00000000 ____D C:\Program Files (x86)\Stfokchaquy 2017-02-08 16:36 - 2017-02-08 16:36 - 00000000 ____D C:\Users\Светлана\AppData\Roaming\Domety 2017-02-08 15:03 - 2017-02-08 15:03 - 00000000 ____D C:\Program Files (x86)\unkbackup7z_00000000 2017-01-25 12:54 - 2017-01-25 12:54 - 00000000 ____D C:\Users\Светлана\AppData\Local\Bigold 2017-01-23 12:36 - 2017-01-23 12:36 - 00000000 ____D C:\Program Files (x86)\p8ovmwnf Task: {068D0A74-CF06-4953-B5DE-129AA2645CDE} - \Qihesclzty Schedule -> No File <==== ATTENTION Task: {CF95FEB4-9D20-4CEC-AF48-B9C91D9351D5} - System32\Tasks\{5D077840-A7C0-4061-851F-0E65C826694C} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Jobtam\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Jobtam\uninstall.dat" -a uninstallme 2F369A5E-8D94-48AC-82EF-10D52028F435 DeviceId=84ec6e13-2f6a-3b0a-15a5-f589b4f9610d BarcodeId=51107003 ChannelId=3 DistributerName=APSFClickMeIn Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. В целом, картина должна уже улучшиться.
SAV89 Опубликовано 21 февраля, 2017 Автор Опубликовано 21 февраля, 2017 (изменено) Да, с помощью Revo Uninstall удалилась Fixlog во вложении В целом картина не просто улучшилась, а очень даже улучшилась Fixlog.txt Изменено 21 февраля, 2017 пользователем SAV89
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти