Планировщик заданий msi.exe

[svaston0f]

Здравствуйте,где-то подобрал данный вирус,удалить его не могу,так как он изменил права Администратора,по данному пути указаному в планировщике его нет,включаю отображение скрытых файлов и папок,все равно нет,помогите пожалуйста,а то надоело уже ежедневно удалять бред который он устанавливает,а переустанавливать систему не хочется...

Не закрывайте,сейчас все сделаю,сооствественно этой теме https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[svaston0f]

Вот добавил логи,помогите с решением,пожалуйста

CollectionLog-2017.08.11-18.08.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\ASUS\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Windows\system32\Ea3Host.exe', '');
 QuarantineFile('C:\Users\ASUS\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFileF('C:\Users\ASUS\appdata\local\wupdate\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\ASUS\AppData\Roaming\Microsoft\msi.exe', '32');
 DeleteFile('C:\Windows\system32\Ea3Host.exe');
 DeleteFile('C:\Users\ASUS\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\ASUS\appdata\local\wupdate\', '*', true);
 DeleteDirectory('C:\Users\ASUS\appdata\local\wupdate\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uiaorwxrcj', 'command');
 RegKeyDel('hklm', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uiaorwxrcj');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

O17 - HKLM\System\CSS\Services\Tcpip\..\{09050F4C-D8F6-4E93-8601-D3826953DB76}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{09050F4C-D8F6-4E93-8601-D3826953DB76}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{09050F4C-D8F6-4E93-8601-D3826953DB76}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{09050F4C-D8F6-4E93-8601-D3826953DB76}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{09050F4C-D8F6-4E93-8601-D3826953DB76}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 193.41.60.9
O17 - HKLM\System\CSS\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 193.41.63.180
O17 - HKLM\System\CSS\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 192.168.224.1
O17 - HKLM\System\CSS\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 74.82.42.42
O17 - HKLM\System\CSS\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{85C26E2D-4E9B-47BD-BA24-05AA84D63FC0}: NameServer = 10.96.144.1
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{09050F4C-D8F6-4E93-8601-D3826953DB76}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{09050F4C-D8F6-4E93-8601-D3826953DB76}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{09050F4C-D8F6-4E93-8601-D3826953DB76}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{09050F4C-D8F6-4E93-8601-D3826953DB76}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{09050F4C-D8F6-4E93-8601-D3826953DB76}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 193.41.60.9
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 193.41.63.180
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 192.168.224.1
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 74.82.42.42
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{85C26E2D-4E9B-47BD-BA24-05AA84D63FC0}: NameServer = 10.96.144.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{09050F4C-D8F6-4E93-8601-D3826953DB76}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{09050F4C-D8F6-4E93-8601-D3826953DB76}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{09050F4C-D8F6-4E93-8601-D3826953DB76}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{09050F4C-D8F6-4E93-8601-D3826953DB76}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{09050F4C-D8F6-4E93-8601-D3826953DB76}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 193.41.60.9
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 193.41.63.180
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{0D71A9CD-A728-48CD-99CB-EBC131DDCCE1}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 192.168.224.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 74.82.42.42
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{3A9C1E39-D9A7-47EF-8F1D-EDD0BE7E2FA4}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{85C26E2D-4E9B-47BD-BA24-05AA84D63FC0}: NameServer = 10.96.144.1

 

Если вдруг после фикса пропадёт интернет, то пропишите настройки DNS рекомендованные провайдером.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[svaston0f]

https://virusinfo.info/virusdetector/report.php?md5=D156BD8B765E542F43C264441697B4E1
 

 

 

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
Ea3Host.exe
Вoйти в Интeрнeт.lnk
wupdate.exe

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

 

 

newvirus@kaspersky.com [KLAN-6643976825]

 

CollectionLog-2017.08.11-19.07.zip

AdwCleanerS0.txt

[regist]

1) Проверьте, пожалуйста, такой файл у вас есть?

C:\Program Files\Windows Sidebar\Sidebar.exe

2) Деинсталируйте

YoutubeAdBlock [2017/08/11 14:31:17]-->C:\Program Files (x86)\dCHHaxjOpqUn\tobeEnoGxl.exe
Игровой центр [2017/07/29 10:46:27]-->"C:\Users\ASUS\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -uninstall

3)

"Пофиксите" в HijackThis:

O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^SPDriverInstall.lnk - C:\Program Files\MediaTek\SP Driver\SPDriverInstall (2017/07/31) (file missing)
O4 - MSConfig\startupreg: [Discord] C:\Users\ASUS\AppData\Local\Discord\app-0.0.297\Discord.exe  (file missing) (HKCU) (2017/04/27)
O4 - MSConfig\startupreg: [MyComGames] C:\Users\ASUS\AppData\Local\MyComGames\MyComGames.exe -autostart (file missing) (HKCU) (2017/07/31)
O4 - MSConfig\startupreg: [Windscribe] C:\Program Files (x86)\Windscribe\Windscribe.exe (file missing) (HKCU) (2017/07/31)
O4 - MSConfig\startupreg: [uiaorwxrcj] C:\Windows\explorer.exe "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=F0E562F92D1188E2695A2570FF77242A&utm_d=20170602" (HKCU) (2017/06/02)
O22 - Task (Ready): MSI - C:\Users\ASUS\AppData\Roaming\Microsoft\msi.exe cnt=3 fts="scoped_dir1328_28546\zajim_ak-103_oropuna_222-5ec___.exe" (file missing)

 

4)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

5) Повторите лог Автлогера.

[svaston0f]

 

 

C:\Program Files\Windows Sidebar\Sidebar.exe

Нету в папке,я не вижу их,пишут,что msi мог изменить мне права...

 

 

 

YoutubeAdBlock [2017/08/11 14:31:17]-->C:\Program Files (x86)\dCHHaxjOpqUn\tobeEnoGxl.exe

Тоже нету,но я удалил его через Uninstalltool

 

 

 

"Пофиксите" в HijackThis

Выполнил

Пункт 4+5 выполнил

Вот результаты

AdwCleanerS3.txt

CollectionLog-2017.08.11-23.24.zip

[regist]

 

 

Игровой центр

Не удалили. Удалите, затем

 

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирован

[svaston0f]

 

 

Не удалили. Удалите, затем

 

А его обязательно удалять?Это центр прост,я через него в игру играю короче,я его вручную устанавливал 

 

 

Игровой центр [2017/07/29 10:46:27]-->"C:\Users\ASUS\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -uninstall

Папки Mail.ru нету по этому пути...

 

Игровой центр

Не удалили. Удалите, затем

 

 

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирован

 

Все выполнил,а папка Mail.ru уже удалена была

Ты не дописал,что именно скидывать,поэтому кинул 3 

Shortcut.txt

Addition.txt

FRST.txt

AdwCleanerC2.txt

Изменено 11 августа, 2017 пользователем svaston0f

[regist]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  Task: {36A98A4B-C9AF-4D7C-BAE2-A8A62F5F539C} - \TnqpiRJoXWMCwN -> No File <==== ATTENTION
  Task: {5FB98880-2DD0-45B6-9ACB-91BAD5CCBBDB} - \uuxHwpnMkRCRpJh2 -> No File <==== ATTENTION
  Task: {B53D15EA-A45C-482C-97FF-D55558664D84} - System32\Tasks\MSI => C:\Users\ASUS\AppData\Roaming\Microsoft\msi.exe
  Task: {C91D0B71-0185-4E8B-A30E-BBCDFBD0AB5D} - \uuxHwpnMkRCRpJh -> No File <==== ATTENTION
  Task: C:\Windows\Tasks\uuxHwpnMkRCRpJh.job => C:\Program Files (x86)\thzXuJvjU\W94vVKR.dll
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-1015105985-1077735623-4085421869-1000\...\MountPoints2: {0c65ad0f-6e9d-11e7-ba84-b010414af610} - G:\Lenovo_Suite.exe
  HKU\S-1-5-21-1015105985-1077735623-4085421869-1000\...\MountPoints2: {2d04a8ea-3fb5-11e7-a40c-b010414af610} - H:\Lenovo_Suite.exe
  FF Homepage: Mozilla\Firefox\Profiles\rrdiquwq.default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=F0E562F92D1188E2695A2570FF77242A&utm_d=20170602
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin HKU\S-1-5-21-1015105985-1077735623-4085421869-1000: @mail.ru/GameCenter -> C:\Users\ASUS\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
  FF Plugin HKU\S-1-5-21-1015105985-1077735623-4085421869-1000: @my.com/Games -> C:\Users\ASUS\AppData\Local\MyComGames\NPMyComDetector.dll [No File]
  OPR StartupUrls: "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=F0E562F92D1188E2695A2570FF77242A&utm_d=20170602"
  2017-08-11 14:31 - 2017-08-12 00:09 - 000000288 _____ C:\Windows\Tasks\uuxHwpnMkRCRpJh.job
  2017-08-11 14:31 - 2017-08-11 15:44 - 000000000 ____D C:\Program Files (x86)\GXZiGyYLSHyU2
  2017-08-11 14:31 - 2017-08-11 15:38 - 000000000 ____D C:\Program Files (x86)\thzXuJvjU
  2017-08-11 14:31 - 2017-08-11 14:31 - 000000000 ____D C:\Program Files (x86)\QYERbvxRHIE
  2017-08-09 11:15 - 2017-08-11 14:36 - 000000000 ____D C:\Users\ASUS\AppData\Local\yc
  2017-07-29 15:15 - 2017-07-29 15:15 - 000000016 _____ C:\ProgramData\mntemp
  2017-07-17 12:51 - 2017-07-17 12:51 - 000000004 _____ C:\ProgramData\_lg.3sap
  2017-07-17 12:47 - 2017-07-17 12:53 - 000000000 ____D C:\Users\ASUS\AppData\Roaming\qihfmwljui0
  2017-07-17 12:47 - 2017-07-17 12:53 - 000000000 ____D C:\Program Files\QI3RHJOQL6
  2017-07-17 12:47 - 2017-07-17 12:47 - 000140800 _____ C:\Users\ASUS\AppData\Local\installer.dat
  2017-07-17 12:46 - 2017-07-17 12:53 - 000000000 ____D C:\Users\ASUS\AppData\Roaming\xdi2slys25e
  2017-07-17 12:46 - 2017-07-17 12:53 - 000000000 ____D C:\Program Files\8PEQ7HS86R
  2017-07-17 12:38 - 2017-07-17 12:53 - 000000000 ____D C:\Users\ASUS\AppData\Roaming\bit4hd5jz1i
  2017-07-17 12:35 - 2017-08-11 15:38 - 000000000 ____D C:\Program Files (x86)\YiuAskUn
  2017-07-17 12:35 - 2017-07-17 12:53 - 000000000 ____D C:\Program Files\6L001OI86V
  2017-07-17 12:35 - 2017-07-17 12:53 - 000000000 ____D C:\Program Files (x86)\YiuAskIE
  2017-07-17 12:35 - 2017-07-17 12:53 - 000000000 ____D C:\Program Files (x86)\wzrvzpunxq2
  2017-07-17 12:35 - 2017-07-17 12:39 - 000000000 ____D C:\Users\ASUS\AppData\Roaming\lqywdonjjcv
  2017-07-17 12:35 - 2017-07-17 12:39 - 000000000 ____D C:\Users\ASUS\AppData\Roaming\egcl51cwgtc
  2017-07-17 12:35 - 2017-07-17 12:35 - 000000000 ____D C:\Users\ASUS\AppData\Roaming\Easeware
  2017-07-17 12:47 - 2017-07-17 12:47 - 000140800 _____ () C:\Users\ASUS\AppData\Local\installer.dat
  2017-07-17 12:47 - 2017-07-17 12:47 - 001847296 _____ () C:\Users\ASUS\AppData\Local\po.db
  2017-07-08 11:51 - 2017-07-08 11:51 - 000000258 _____ () C:\ProgramData\fontcacheev1.dat
  2017-07-29 15:15 - 2017-07-29 15:15 - 000000016 _____ () C:\ProgramData\mntemp
  2017-07-17 12:51 - 2017-07-17 12:51 - 000000004 _____ () C:\ProgramData\_lg.3sap
  C:\ProgramData\fontcacheev1.dat
  C:\Users\Все пользователи\fontcacheev1.dat
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[svaston0f]

Все выполнил,вот лог 

Fixlog.txt

[regist]

Свежие логи FRST сделайте

 

+ проверьте, что с проблемой.

[svaston0f]

Свежие логи FRST сделайте

 

+ проверьте, что с проблемой.

Вроде как все отлично,из планировщика заданий все пропало,за,что очень благодарен<3

Вот лог с FRST

Addition.txt

FRST.txt

Shortcut.txt

[regist]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

Удалите папку C:\FRST со всем содержимым.
 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[svaston0f]

 

 

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

 

Удалите папку C:\FRST со всем содержимым.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

 

Спасибо большое,сейчас все выполню 

avz_log.txt

[regist]

 

 

Нету в папке,

сделайте ещё такую проверку

 

1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
2. • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
   • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
     

  [*]Введите sfc /scannow и нажмите Энтер. [*]Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка. [*]После того как закончится проверка в командной строке введите команду:

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt

[*]После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.