Не могу удалить trojan.multi.gen autorun bits.a

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION
  HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION
  HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION
  HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION
  HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION
  HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION
  HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION
  HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION
  HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION
  HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION
  HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION
  HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION
  HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION
  HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION
  HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION
  HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION
  HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION
  HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION
  HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION
  HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION
  HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION
  HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION
  HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION
  HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION
  HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION
  HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION
  HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION
  HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION
  HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION
  HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION
  HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
  HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
  HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION
  HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION
  HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION
  HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION
  HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
  HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION
  HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
  HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION
  HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION
  HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION
  HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
  HKU\S-1-5-21-3846415863-753258702-2369629723-1000\...\Run: [MailRuUpdater] => C:\Users\сергей\AppData\Local\Mail.Ru\MailRuUpdater.exe [4087000 2017-12-22] (Mail.Ru)
  SearchScopes: HKLM -> ielnksrch URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYlxkByIJEBc5YycuhjS1-koU-1IJSTyBZWHQXxwaHYMz3p8sC527pWB7IlqY9A-58QtfINp_64xlu1Os3d-qxg0qGXODkseLLu2e2P0_dK_Ke3KHjLlSY78lccsqQA7Zohxl6JAa7bQuhqFpszbNS4Zu-Z5Rd7ZJ4yqyfsq0HuJw,,&q={searchTerms}
  SearchScopes: HKLM -> {09574ECB-8A2F-488C-8F73-A441F5D4011F} URL = hxxp://www.seekeen.com/?prt=SeeFreez&keywords={searchTerms}
  SearchScopes: HKU\S-1-5-21-3846415863-753258702-2369629723-1000 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYlxkByIJEBc5YycuhjS1-koU-1IJSTyBZWHQXxwaHYMz3p8sC527pWB7IlqY9A-58QtfINp_64xlu1Os3d-qxg0qGXODkseLLu2e2P0_dK_Ke3KHjLlSY78lccsqQA7Zohxl6JAa7bQuhqFpszbNS4Zu-Z5Rd7ZJ4yqyfsq0HuJw,,&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-3846415863-753258702-2369629723-1000 -> {09574ECB-8A2F-488C-8F73-A441F5D4011F} URL = hxxp://www.seekeen.com/?prt=SeeFreez&keywords={searchTerms}
  SearchScopes: HKU\S-1-5-21-3846415863-753258702-2369629723-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=ru_US&apn_ptnrs=FV&apn_dtid=YYYYYYYYBY&apn_uid=93D6E728-F379-4036-9D33-5C7821F3211A&apn_sauid=147CFE88-9041-4BB7-B027-2C677E946C37
  SearchScopes: HKU\S-1-5-21-3846415863-753258702-2369629723-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYlxkByIJEBc5YycuhjS1-koU-1IJSTyBZWHQXxwaHYMz3p8sC527pWB7IlqY9A-58QtfINp_64xlu1Os3d-qxg0qGXODkseLLu2e2P0_dK_Ke3KHjLlSY78lccsqQA7Zohxl6JAa7bQuhqFpszbNS4Zu-Z5Rd7ZJ4yqyfsq0HuJw,,&q={searchTerms}
  BHO: No Name -> {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} -> No File
  BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
  BHO: No Name -> {E33CF602-D945-461A-83F0-819F76A199F8} -> No File
  Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  Toolbar: HKU\S-1-5-21-3846415863-753258702-2369629723-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  Toolbar: HKU\S-1-5-21-3846415863-753258702-2369629723-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
  CHR HomePage: Default -> inline.go.mail.ru/homepage?inline_comp=hp&inline_hp_cnt=11956636
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=821133" 
  CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B395A5968-AB63-4A1F-90E5-65C246A88819%7D&gp=821134
  CHR DefaultSearchKeyword: Default -> go.mail.ru
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
  2018-01-05 16:53 - 2018-01-05 17:30 - 000000000 ____D C:\ProgramData\e5ee5eea-2791-0
  2018-01-05 16:53 - 2018-01-05 17:30 - 000000000 ____D C:\ProgramData\e5ee5eea-0fa3-1
  2018-01-04 16:34 - 2018-01-08 10:49 - 000000000 ____D C:\ProgramData\Mail.Ru
  2018-01-04 16:25 - 2018-01-08 16:22 - 000000278 _____ C:\Windows\Tasks\BcyoMZkjXMgFaPP.job
  2018-01-04 16:25 - 2018-01-04 18:00 - 000000000 ____D C:\Program Files\umkISPBbU
  2018-01-04 16:24 - 2018-01-05 15:08 - 000000000 ____D C:\ProgramData\423f9f4d7742438aa8a0c445319758a5
  2018-01-04 16:24 - 2018-01-04 17:01 - 000000000 ____D C:\Users\сергей\AppData\Local\9f5f0f52793147bd82e375cccacb2e38
  2018-01-04 16:24 - 2018-01-04 16:47 - 000000000 ____D C:\Users\сергей\AppData\Roaming\abe36b183f5f497ebac4ff5ae0860501
  2018-01-04 16:23 - 2018-01-05 15:06 - 000000000 ____D C:\ProgramData\f13ea5cb2001458ebe8e850db8877e12
  2018-01-04 10:51 - 2018-01-04 18:02 - 000000000 ____D C:\ProgramData\308f1d3e-5dd7-0
  2018-01-04 10:51 - 2018-01-04 18:02 - 000000000 ____D C:\ProgramData\308f1d3e-54e5-1
  2018-01-04 10:49 - 2018-01-05 12:09 - 000000000 ____D C:\ProgramData\{89DD674E-3E76-D0E5-DB36-92D3ED32E799}
  2018-01-04 10:48 - 2018-01-08 12:41 - 000000000 ____D C:\ProgramData\93420f02
  2018-01-04 10:48 - 2018-01-04 18:02 - 000000000 ____D C:\ProgramData\e5ee5eea-75f7-1
  2018-01-04 10:48 - 2018-01-04 18:02 - 000000000 ____D C:\ProgramData\e5ee5eea-33a7-0
  2018-01-04 10:47 - 2018-01-04 10:47 - 000000000 ____D C:\Users\сергей\AppData\Local\2E6C36A4-37FE-7E08-0A17-2A052FF8452A
  2018-01-04 10:46 - 2018-01-04 18:02 - 000000000 ____D C:\ProgramData\{2f7d27ef-012c-0}
  2018-01-04 10:45 - 2018-01-04 18:02 - 000000000 ____D C:\ProgramData\{77054f13-412c-1}
  2018-01-04 10:42 - 2018-01-04 10:57 - 000000000 ____D C:\Users\сергей\AppData\LocalLow\Unity
  2018-01-04 10:42 - 2018-01-04 10:42 - 000000000 ____D C:\Users\сергей\AppData\Roaming\MailProducts
  2018-01-04 10:41 - 2018-01-05 15:06 - 000000000 ____D C:\ProgramData\cf9beb3fb13c4c99b4339fbfab8f06f2
  2018-01-04 10:41 - 2018-01-04 18:01 - 000000000 ____D C:\Users\сергей\AppData\Local\896d150c18614c68879e8099b133efd0
  2018-01-04 10:41 - 2018-01-04 16:51 - 000000000 ____D C:\Users\сергей\AppData\Local\23cead977438479b9638f324ae235629
  2018-01-04 10:40 - 2018-01-04 18:02 - 000000000 ____D C:\Users\сергей\AppData\Local\04347e5bbd0044cb8adc0ead3bbe1912
  2018-01-04 10:40 - 2018-01-04 18:01 - 000000000 ____D C:\Users\сергей\AppData\Local\6cf9df59f0894c2cb12aa2037eacef30
  2018-01-03 10:49 - 2018-01-05 15:08 - 000000000 ____D C:\ProgramData\86b03f8d69bb4cffa5fa7ce413ee49ed
  2018-01-03 10:49 - 2018-01-04 16:53 - 000000000 ____D C:\Users\сергей\AppData\Roaming\bbd9ad7cf85444e5924a235699e2d91f
  2018-01-03 10:49 - 2018-01-04 16:52 - 000000000 ____D C:\Users\сергей\AppData\Roaming\f9325accff694a96b584ec1f456e939f
  2018-01-03 10:49 - 2018-01-03 10:49 - 000000000 ____D C:\Users\сергей\AppData\Local\d129e65b7f00423eb4dda9b6e2d0558b
  2018-01-03 10:48 - 2018-01-04 18:00 - 000000000 ____D C:\Users\сергей\AppData\Local\507ceaaf762d49399c4dae421476f95e
  2018-01-03 10:48 - 2018-01-03 10:48 - 000000000 ____D C:\Users\сергей\AppData\Roaming\43953986a4f543879309b1a1e41f36aa
  2018-01-03 10:14 - 2018-01-05 15:08 - 000000000 ____D C:\ProgramData\1ff5815a4f42438c9d9c5feb59b048e0
  2018-01-03 10:14 - 2018-01-03 10:14 - 000000000 ____D C:\Users\сергей\AppData\Local\2e3fb3dde3974428a2af2f65cc57ecf4
  2018-01-03 10:04 - 2018-01-05 15:08 - 000000000 ____D C:\ProgramData\63958295437d42b1b8f68710b8c3a0c8
  2018-01-03 10:04 - 2018-01-05 15:07 - 000000000 ____D C:\ProgramData\c2ce54ef28914b3cb68cbae72a7a5f5a
  2018-01-03 10:04 - 2018-01-05 15:06 - 000000000 ____D C:\ProgramData\d4ab10f6b715412b93acd468dbcca332
  2018-01-03 10:04 - 2018-01-04 17:28 - 000000000 ____D C:\Users\сергей\AppData\Local\d607c898ffd542fb8be546fb126a7e38
  2018-01-03 10:04 - 2018-01-04 16:52 - 000000000 ____D C:\Users\сергей\AppData\Roaming\b2d16f8cad084e74b6800513b01ba130
  2018-01-03 10:04 - 2018-01-03 10:04 - 000000000 ____D C:\Users\сергей\AppData\Roaming\6f419d2c6e8749d8b2a2b2f91278690b
  2018-01-01 17:37 - 2018-01-02 17:37 - 000000000 ____D C:\Users\сергей\AppData\Local\xFZwEHAAIqihbNfjk
  2017-12-31 22:33 - 2018-01-05 15:07 - 000000000 ____D C:\ProgramData\b91925be1b3b46ea9f15467d608a6f96
  2017-12-31 22:33 - 2017-12-31 22:33 - 000000000 ____D C:\Users\сергей\AppData\Local\efdcc1dc14154ba88ccadeffac70f553
  2017-12-27 11:36 - 2018-01-05 15:08 - 000000000 ____D C:\ProgramData\3422399211d246feb87cb2987a24b2f3
  2017-12-27 11:36 - 2017-12-27 11:36 - 000000000 ____D C:\Users\сергей\AppData\Local\876c6ecbce4e46218eb7a6296a69be73
  2017-12-27 11:36 - 2017-12-27 11:36 - 000000000 ____D C:\Users\сергей\AppData\Local\60b40370458c403da80863dcd345b02f
  2017-12-27 10:48 - 2017-12-27 10:48 - 000000000 ____D C:\ProgramData\{74E9F814-C737-42CC-B721-DBBC4059367A}
  2017-12-27 10:47 - 2018-01-03 17:41 - 000000000 ____D C:\ProgramData\ProductData
  2017-12-27 10:47 - 2018-01-03 17:39 - 000000000 ____D C:\Program Files\Common Files\IObit
  2017-12-27 10:47 - 2017-12-27 10:48 - 000000000 ____D C:\Users\сергей\AppData\LocalLow\IObit
  2017-12-27 10:47 - 2017-12-27 10:47 - 000000000 ____D C:\Windows\Tasks\ImCleanDisabled
  2017-12-27 10:14 - 2018-01-04 10:45 - 000000000 ____D C:\ProgramData\308f1d3e-7621-1
  2017-12-27 10:14 - 2017-12-27 10:16 - 000000000 ____D C:\Users\сергей\AppData\Roaming\ee66f5a0fb5840b2b324387638ab0866
  2017-12-27 10:09 - 2018-01-04 10:55 - 000000000 ____D C:\Users\сергей\AppData\Local\Amigo
  2017-12-27 10:07 - 2018-01-04 17:14 - 000000000 ____D C:\Users\сергей\AppData\Local\AdService
  2017-12-27 10:07 - 2017-12-27 10:13 - 000000000 ____D C:\Users\сергей\AppData\Roaming\7de0a3aa83154aaf8845c64814f58f80
  2017-12-27 10:07 - 2017-12-27 10:07 - 000000000 ____D C:\Users\сергей\AppData\Local\FastDataX
  2017-12-27 10:06 - 2018-01-05 15:08 - 000000000 ____D C:\ProgramData\599a60cdd6474254a32fe637c2151243
  2017-12-27 10:06 - 2018-01-05 15:07 - 000000000 ____D C:\ProgramData\e22cc1ceeac44e0980cf92577d937b0d
  2017-12-27 10:06 - 2018-01-05 15:07 - 000000000 ____D C:\ProgramData\beaf2b0e64204a4e833436ea1de272c6
  2017-12-27 10:06 - 2018-01-04 16:24 - 000930816 _____ C:\Users\сергей\AppData\Local\po.db
  2017-12-27 10:06 - 2018-01-03 10:16 - 000016080 _____ C:\Users\сергей\AppData\Local\InstallationConfiguration.xml
  2017-12-27 10:06 - 2017-12-27 10:06 - 000140800 _____ C:\Users\сергей\AppData\Local\installer.dat
  2017-12-27 10:06 - 2017-12-27 10:06 - 000000000 ____D C:\Users\сергей\AppData\Local\1ae66554aa53401bbedc963d7f3beae3
  2017-12-27 10:05 - 2017-12-27 10:06 - 000000000 ____D C:\Users\сергей\AppData\Local\863aecb112024c72a747fa4d873f0b8e
  Task: {01BE9BD6-FB74-422D-BA83-EE616971A56E} - \Perspen Screensaver -> No File <==== ATTENTION
  Task: {01C713DF-84B2-44C8-A28C-C624893D4A54} - System32\Tasks\MailRuUpdater => C:\Users\сергей\AppData\Local\Mail.Ru\MailRuUpdater.exe [2017-12-22] (Mail.Ru) <==== ATTENTION
  Task: {02895E77-A794-4BFE-830B-D762DB8EE7FE} - \BcyoMZkjXMgFaPP -> No File <==== ATTENTION
  Task: {184974E5-5D87-4279-BA7B-AEFBDDB48188} - \updater -> No File <==== ATTENTION
  Task: {26BB50DA-C05C-4412-8B44-54DEABC47A5A} - System32\Tasks\GoogleUpdateSecurityTaskMachine_GQ => C:\Users\сергей\AppData\Roaming\ee66f5a0fb5840b2b324387638ab0866\chipset.exe exec hide AGJOSEDNGN.cmd  <==== ATTENTION
  Task: {3786DCD5-A528-4332-A9D6-15AC7FD44E13} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VR => C:\Users\сергей\AppData\Roaming\7de0a3aa83154aaf8845c64814f58f80\chipset.exe exec hide PDORANQKYE.cmd  <==== ATTENTION
  Task: {38A237AE-1653-46CD-AFDF-F4B83CFCD651} - \{8F0794B6-38AC-231D-A991-2D3494E900FA} -> No File <==== ATTENTION
  Task: {6770E26E-92CE-4FE2-A75A-688DA69746DB} - System32\Tasks\GoogleUpdateSecurityTaskMachine_DT => C:\ProgramData\e22cc1ceeac44e0980cf92577d937b0d\chipset.exe exec hide TZDWQAFLZN.cmd  <==== ATTENTION
  Task: {6DEBCF70-2D2F-4AE0-B461-B1C624DA6C21} - \{7D7D7D47-0D0A-0A7A-7E11-0F0E7D0A1109} -> No File <==== ATTENTION
  Task: {A510FA12-5A2E-4595-A3B9-40E34BE4C5FA} - System32\Tasks\GoogleUpdateSecurityTaskMachine_RD => C:\Users\сергей\AppData\Local\1ae66554aa53401bbedc963d7f3beae3\chipset.exe exec hide FEJKZUHPDT.cmd  <==== ATTENTION
  Task: {E9913A59-73F5-43D5-A012-983B8CE23902} - System32\Tasks\GoogleUpdateSecurityTaskMachine_HO => C:\Users\сергей\AppData\Local\863aecb112024c72a747fa4d873f0b8e\chipset.exe exec hide GYRZQXTRIC.cmd  <==== ATTENTION
  Task: C:\Windows\Tasks\BcyoMZkjXMgFaPP.job => C:\Program Files\umkISPBbU\DBlEtY.dll
  AlternateDataStreams: C:\Windows:nlsPreferences [0]
  AlternateDataStreams: C:\Program Files\RedStarPoker:MID [81]
  AlternateDataStreams: C:\Windows\win.ini:s1 [4]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[regist]

+ + файл

C:\FRST\Hives\software

заархивируйте и прикрепите.

[imediaby]

вот файл Fixlog.txt

Fixlog.txt

[Sandor]

Еще предыдущую рекомендацию выполните, пожалуйста и сообщите что с проблемой.

[imediaby]

на текущий момент компьютер может загрузиться только в безопасном режиме.
другие файлы сейчас прикреплю.

проблема должна уйти после последних действий или это станет понятно после того как я логи финальные выложу?

+ + файл

C:\FRST\Hives\software

заархивируйте и прикрепите.

архив весит более 14мб, поэтому тут его прикрепить нельзя.
вот ссылка на файл на битрикс24 диске - https://24.imediasolutions.ru/~GgLcx

[Sandor]

Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

 

Затем:

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS. Изменено 9 января, 2018 пользователем Sandor

[imediaby]

вот лог

СЕРГЕЙ-ПК_2018-01-09_10-48-08.7z

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

на текущий момент компьютер может загрузиться только в безопасном режиме

Что происходит при попытке загрузиться в обычном режиме?

[imediaby]

удалил службу автоматического обновления программ, не видел что это mail.ru )

в обычный режим с 5 или 6-го раза удалось войти, перед этим пытался Касперским лечить файл с помощью перезагрузки - не помогало и все висло. сейчас это отрубил, как понять осталось ли еще что-то от вирусов?
не хочется снова пытаться лечить файл а потом 30 минут грузить систему.. может есть другой способ проверить?

[Sandor]

Попробуйте сейчас собрать лог AdwCleaner (сообщение №10)

[imediaby]

Попробуйте сейчас собрать лог AdwCleaner (сообщение №10)

эта программа не устанавливалась из-за блокировки издателя. Могу собрать с помощью Farbar Recovery Scan Tool

[Sandor]

не устанавливалась из-за блокировки издателя

Покажите скриншот.

[imediaby]

а вот теперь программа запустилась и отработала, логи во вложении

AdwCleanerS0.txt

Изменено 9 января, 2018 пользователем imediaby

[regist]

@imediaby,

1) YoutubeAdBlock, setupsk, Skymonk 2 - деинсталируйте.

2) Skype web features - если не знакомо, то тоже деинсталируйте.

 

3)

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.0
   v400c
   BREG
   dirzooex %SystemDrive%\PROGRAM FILES\TWPUFLOWYRXU2
   deldir %SystemDrive%\PROGRAM FILES\TWPUFLOWYRXU2
   dirzooex %SystemDrive%\PROGRAM FILES\GBEMZXQZBIE
   deldirex %SystemDrive%\PROGRAM FILES\GBEMZXQZBIE
   dirzooex %SystemDrive%\PROGRAM FILES\QTTAACZYWVUN
   deldir %SystemDrive%\PROGRAM FILES\QTTAACZYWVUN
   dirzooex %SystemDrive%\PROGRAM FILES\AOHGTEHEQDNWC
   bl 210C2C284EAB17465C39D516B1A44119 278508
   zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\SOFTLA.BIN
   delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\SOFTLA.BIN
   delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
   delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL
   delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLL
   delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
   delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
   delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
   delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
   delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
   delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.149\PSUSER.DLL
   delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.69\PSUSER.DLL
   delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
   delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
   deldir %SystemDrive%\PROGRAM FILES\AOHGTEHEQDNWC
   dirzooex %SystemDrive%\PROGRAM FILES\AVEST\MINIHTTP
   dirzooex %SystemDrive%\PROGRAM FILES\RRHYXUUPOCPTIXDSPPR
   deldir %SystemDrive%\PROGRAM FILES\RRHYXUUPOCPTIXDSPPR
   zoo %SystemDrive%\PROGRAM FILES\ITELEPORT\ITELEPORT CONNECT\VNCSERVICE-WRAPPER.DLL
   deldir %SystemDrive%\PROGRAM FILES\MAIL.RU\MAILRUUPDATER
   zoo %SystemDrive%\PROGRAM FILES\REGETDX\PATCH.EXE
   dirzooex %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\THREATDATABASE
   zoo %SystemDrive%\PROGRAM FILES\JIVOSITE\JIVOSITE.EXE
   zoo %SystemDrive%\PROGRAM FILES\STATSREMOTE\UNINSTALL.EXE
   zoo %SystemDrive%\PROGRAM FILES\CONTROLSTYLE\YAZZLE\YAZZLE.EXE
   zoo %SystemDrive%\PROGRAMDATA\VLC-1.1.0-WIN32.EXE
   ;---------command-block---------
   bl 926478F439EC4DFEFA5DDE6C7F33D1B4 56362
   zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\FII95R4Y.DEFAULT-1514963968345\EXTENSIONS\SEARCH@MAIL.RU.XPI
   delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\FII95R4Y.DEFAULT-1514963968345\EXTENSIONS\SEARCH@MAIL.RU.XPI
   bl C2B9BE3355D3106B1C6E53659885E5F7 54415
   zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\FII95R4Y.DEFAULT-1514963968345\EXTENSIONS\HOMEPAGE@MAIL.RU.XPI
   delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\FII95R4Y.DEFAULT-1514963968345\EXTENSIONS\HOMEPAGE@MAIL.RU.XPI
   delref HTTP://WWW.SEEKEEN.COM/?PRT=SEEFREEZ&KEYWORDS={SEARCHTERMS}
   delref HTTP://WWW.MAIL.RU/CNT/5089
   delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&FR=NTG&PRODUCT_ID=%7BBDEDC059-0E3A-460E-9F0A-56A85290486E%7D&GP=812258
   delref HTTP://MAIL.RU/CNT/10445?GP=812257
   delref HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC={REFERRER:SOURCE?}
   delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&FROM=IE
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIGNCPHNOHHJKGEKJKGHAHAJIHCLAILJ%26INSTALLSOURCE%3DONDEMAND%26UC
   delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_121\BIN\JP2IEXP.DLL
   delref %SystemRoot%\INSTALLER\{D6E4E5D6-7693-4BB4-95BA-21F38FAFEE90}\SAFARIICO.EXE
   delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\GOOGLE\UPDATE\1.2.183.39\GOOPDATE.DLL
   delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\GOOGLE\UPDATE\1.2.183.39\NPGOOGLEONECLICK8.DLL
   delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\NPGOOGLEUPDATE3.DLL
   delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
   delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
   delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\GOOGLEUPDATEONDEMAND.EXE
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\GOOGLE DESKTOP SEARCH\GOOGLEDESKTOP.EXE
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\GOOGLE DESKTOP SEARCH\GOOGLEDESKTOPAPI2.DLL
   delref %SystemDrive%\PROGRAM FILES\MICROSOFT EXPRESSION\ENCODER 4\\MICROSOFT.EXPRESSION.ENCODER.UTILITIES2.DLL
   delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\\THREATDATABASE\TDGET.EXE
   delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\\THREATDATABASE\\TDGET.EXE
   delref %SystemDrive%\PROGRAM FILES\SKYPE\PLUGIN MANAGER\EZPMUTILS.DLL
   delref %SystemDrive%\FSC-REG\FSCREG.EXE
   delref F:\LAUNCHER.EXE
   delref F:\UCWXPG.EXE
   apply
   
   chklst
   delvir
   
   czoo
   restart 

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

4)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

5) Сделайте свежий лог uVS.
 

[imediaby]

YoutubeAdBlock и Skype web features - не удаляются, одному прав не хватает, а второму - файл msi какой-то битый. Остальное удалилось.

Запускаю скрипт, действую по пунктам.