Китайский вирус

[lolocik]

Доброго времени суток!
25.11.2014 скачал утилиту для жесткого диска - Victoria с фейкового сайта(источник сайта могу в ПМ написать). Изначально было написано, что данная версия распространяется в формате .ISO. Скачал архив, внутри него был еще архив, внутри архива exe-шник, иконка которого была замаскирована под архив, данный exe-шный файл по поведению был очень похож самораспаковывающийся архив, файлы которого необходимо было извлечь. Извлек их на флеш-накопитель. И тут как оказалось "хитрец" начал устанавливать стороннее ПО, сразу несколько штук подряд. На рабочем столе появились ярлыки Амиго, Вконтакте, Одноклассники и кракозябры, не отображающиеся корректно в моей ОС. Вот они: (百度 1.3.1.157, 百度卫士 3.0.0.3971, 百度杀毒 2.1.0.386).
Файл-вирус в архиве у меня сохранен на рабочем столе. После установки сторонних программ начал открываться Google Grome, установленный у меня в качестве браузера по умолчанию. Открывался он несколько раз. В трее об изменениях в автозугрузке меня оповещала, установленная ранее мной на ноутбук Kerish Doctor. Сразу поняв, что мой компьютер заражен, я запустил Malwarebytes Anti-malware, обновил базы, и поставил в режим защиты. Malwarebyres блокировал доступ стороннего ПО, в трее отображался IP-адрес, начинающийся по-моему на 222. Скачал с компьютера соседа CureIT и проверил мой ноутбук в безопасном режиме. Нашло 6 угроз. Trojan.Baidu.45, Trojan.Baidu.40, Trojan.Baidu.42, Trojan.Downloader11.45917 и файл HOSTS был модифицирован. Потом AVPTool и прошелся им также в safe-mode. Обнаружил, что на диске С появились скрытые файлы iexplore.bat и iexplore.bat.exe. Ярлыки для браузеров также модифицированы, на хроме в свойствах можно увидеть: "C:\Program Files\Google\chrome.bat" "http://wassearch.ru". На рабочем столе на данный момент окошко вредоносной программы преимущественно зелено-белового цвета, оно отображается поверх всех окон. В трее иконка голубого щита с белым кантиком. Переодически выскакивают окна с кракозябрами. Я их не трогаю. Сижу сейчас в Maxthone Cloud portable.
Прошу, помогите, пожалуйста уничтожить и избавиться от данной траблы.
Вот мои логи:

[Info_bot]

Уважаемый(ая) lolocik, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[lolocik]

Вот результат анализа исходника в архивах:
virustotal.com
Вот, что в автозагрузке на данный момент:

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files\Google\chrome.bat','');
 DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll','32');
 DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{11292110-6F8D-4D56-863C-44902A1E7880}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
 DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDShellExt.dll','32');
 DeleteFile('C:\Program Files\Google\chrome.bat','32');
 DeleteFile('C:\iexplore.bat','32');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll
O4 - HKLM\..\Run: [BaiduSdTray] "C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe"  -stmd=3
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text=
O18 - Protocol: grooveLocalGWS - (no CLSID) - (no file)

1. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите FixerBro
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. В главном окне программы нажмите на кнопку "Проверить"
5. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
6. По окончанию сканирования нажмите на кнопку "Отчет".
7. Сохраните лог утилиты
8. Прикрепите сохраненный отчет в вашей теме.

Скачайте ComboFix здесь и сохраните в корень диска С.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

[lolocik]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files\Google\chrome.bat','');
 DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll','32');
 DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{11292110-6F8D-4D56-863C-44902A1E7880}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
 DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDShellExt.dll','32');
 DeleteFile('C:\Program Files\Google\chrome.bat','32');
 DeleteFile('C:\iexplore.bat','32');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Выполнил, в последствие чего не вижу интерфейса, только пустой синий экран и курсор. Несколько минут видел данную картину, после чего выскачил BSOD netbt.sys. Нажал на кнопку выключения и включил ноутбук. Интерфейс появился.

- - - - -Добавлено - - - - -

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Вне смущения проделывать этот пункт?

[mike 1]

Вне смущения проделывать этот пункт?

Делайте

[lolocik]

Результат загрузки

Файл сохранён как 141127_103811_virus_5476ff134a23c.zip
Размер файла 2397
MD5 5ca5d5a221ea9e77de320eb6ebdc9d16
Файл закачан, спасибо!

Делаю пункты далее...

- - - - -Добавлено - - - - -

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll
O4 - HKLM\..\Run: [BaiduSdTray] "C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe"  -stmd=3
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text=
O18 - Protocol: grooveLocalGWS - (no CLSID) - (no file)

3 строки не пофиксились, появляются при скане снова:

Код:

O4 - HKLM\..\Run: [BaiduSdTray] "C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe"  -stmd=3
O18 - Protocol: grooveLocalGWS - (no CLSID) - (no file)

- - - - -Добавлено - - - - -

Лог FixerBro:

- - - - -Добавлено - - - - -

Запустил комбо ComboFix, после чего он начал свое выполнение, я отошел в этот момент, пришел - окошка нету, по указанному пути: C:\ComboFix.txt данного txt не нахожу... Также заметил появление иконки 32788R22FWJFW в виде компьютера в корне диска С. Ага, что-то еще выполняется, появилось окно консоли...

- - - - -Добавлено - - - - -

Если ComboFix предложит установить Rеcоvеry Cоnsоlе (консоль восстановления), то согласиться или отвергнуть? Подтвердил, ожидаю...

- - - - -Добавлено - - - - -

Все еще происходит сканирование ComboFix .... 50 этапов прошло, сейчас на стадии Deleting Folders уже несколько часов, при этом прога видимо убила explorer, пустой рабочий стол и меню консоли.

[mike 1]

при этом прога видимо убила explorer, пустой рабочий стол и меню консоли.

Компьютер должен уйти на перезагрузку, а после этого он сформирует свой отчет.

[lolocik]

Компьютер должен уйти на перезагрузку, а после этого он сформирует свой отчет.

Ок, значит, ждем дальше.

- - - - -Добавлено - - - - -

До сих пор сканируется на одном и том же месте, в консоли новые строки не появлялись.

[mike 1]

Попробуйте сделать лог Combofix из безопасного режима.

[lolocik]

Лог Combofix:

- - - - -Добавлено - - - - -

Да, обнаружил вот еще что, если в поле "Выполнить" меню "Пуск" ввести "msconfig" далее перейти во вкладку "службы", поставить галочку в чекбоксе "Не отображать службы Майкрософт", выделив службы и попытаться отключить, после нажатия на кнопку "Применить" было выведено сообщение: "Отказано в доступе при попытке изменения службы. Для восстановления данного действия необходимо войти в систему с учетной записью администратора.". Перезагрузился, вошел и заметил, что те чекбоксы, которые я убрал, все-таки убрались, но сообщение "Отказано в доступе при попытке изменения службы. Для восстановления данного действия необходимо войти в систему с учетной записью администратора." по-прежнему выводится.

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

Код:

KillAll::

File::
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDArKit.SYS
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\BDEnhanceBoost.sys
c:\windows\system32\drivers\BDDefense.sys
c:\windows\system32\drivers\bd0003.sys
c:\windows\system32\drivers\bd0002.sys
C:\iехplоrе.bаt.exe
c:\windows\system32\DRIVERS\BDAntiExp.sys

Driver::
bd0003
bd0004
BDAntiExp
BDEnhanceBoost
BDMWrench
BaiduHips
BDArKit
BDDefense
BDKVRTP
BDMNetMon
BDMRTP
BDSafeBrowser

Folder::
c:\documents and settings\Igor\Application Data\Baidu
c:\documents and settings\LocalService\Application Data\Baidu
c:\documents and settings\All Users\Application Data\Baidu
c:\program files\Common Files\Baidu
c:\program files\Baidu

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Baidu\\BaiduSd\\2.1.0.3086\\BaiduSdSvc.exe"=-
"c:\\Program Files\\Baidu\\BaiduSd\\2.1.0.3086\\BaiduSd.exe"=-
"c:\\Program Files\\Baidu\\BaiduSd\\2.1.0.3086\\BaiduSdUpdate.exe"=-
"c:\\Program Files\\Baidu\\BaiduSd\\2.1.0.3086\\BaiduSdBugRpt.exe"=-
"c:\\Program Files\\Baidu\\BaiduAn\\3.0.0.3971\\BaiduAnSvc.exe"=-
"c:\\Program Files\\Baidu\\BaiduAn\\3.0.0.3971\\BaiduAn.exe"=-
"c:\\Program Files\\Baidu\\BaiduAn\\3.0.0.3971\\BaiduAnUpdate.exe"=-
"c:\\Program Files\\Baidu\\BaiduAn\\3.0.0.3971\\BaiduAnBugRpt.exe"=-
"c:\\Documents and Settings\\Igor\\AppData\\Local\\Baidu\\Baidu\\1.3.1.157\\BaiduUpdate.exe"=-
"c:\\Documents and Settings\\Igor\\AppData\\Local\\Baidu\\Baidu\\1.3.1.157\\BaiduBugRpt.exe"=-

FileLook::

DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[lolocik]

Логи ComboFix'oм удается проделать только в безопасном режиме ибо в обычном как-то "криво" работает. Сначала загрузился в простом безопасном, потом выставил приоритет безопасный с поддержкой сетевых драйверов, отчет создался, прилагаю его.
Лог ComboFix:

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

Код:

KillAll::

File::
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDArKit.SYS
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\BDEnhanceBoost.sys
c:\windows\system32\drivers\BDDefense.sys
c:\windows\system32\drivers\bd0003.sys
c:\windows\system32\drivers\bd0002.sys
C:\iехplоrе.bаt.exe
c:\windows\system32\DRIVERS\BDAntiExp.sys

Driver::

Folder::
c:\program files\BaiduEx

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"BDMRTP"=-
"BDKVRTP"=-
"BaiduHips"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"baidusdTray"=-
"BaiduAnTray"=-

FileLook::

DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[lolocik]

Сделал, лог прилагаю:

[mike 1]

Удалите вручную эти файлы:

Код:

c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDArKit.SYS
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\BDEnhanceBoost.sys
c:\windows\system32\drivers\BDDefense.sys
c:\windows\system32\drivers\bd0003.sys
c:\windows\system32\drivers\bd0002.sys
C:\iехplоrе.bаt.exe
c:\windows\system32\DRIVERS\BDAntiExp.sys

Что с проблемой?

[lolocik]

Стало получше. Файлы удалил из предыдущего поста, только

Код:

c:\windows\system32\DRIVERS\BDAntiExp.sys

по указанному пути данного файла не было.
Ярлыки Амиго, Вконтакте, Одноклассники и кракозябры, не отображающиеся корректно в моей ОС. Вот они: (百度, 百度卫士, 百度杀毒). Присутствуют все еще, но они поврежденные почти все, судя по изображению иконки, Вконтакте и Одноклассники не повреждены.
Ноут при включении стал грузиться дольше на порядок, какбы с запозданием, исчезла панелька управления из трея.
Также показалось, что стало дольше заходить на virusinfo.
Ярлыки браузеров также остались модифицированы.

[mike 1]

1. Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите checkbrowserlnk.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
5. Прикрепите этот отчет в вашей теме.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[lolocik]

Логи:

[mike 1]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
• По окончанию сканирования снимите галочки со следующих строк:
  
  Код:

  ***** [ Файлы / Папки ] *****
  
  Папка Найдено : C:\Documents and Settings\All Users\Главное меню\Программы\Mail.Ru
  Папка Найдено : C:\Documents and Settings\Igor\Local Settings\Application Data\Mail.Ru
  Папка Найдено : C:\Documents and Settings\Igor\Local Settings\Application Data\MailRu

• Нажмите кнопку "Clean" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Запустите ClearLNK
• В окно программы скопируйте следующие ярлыки:
  
  
  Код:

  C:\Documents and Settings\All Users\Главное меню\Программы\Google Chrome\Gооglе Сhrоmе.lnk
  C:\Documents and Settings\All Users\Рабочий стол\Gооglе Сhrоmе.lnk
  C:\Documents and Settings\Igor\Главное меню\Программы\Intеrnеt Ехplоrеr.lnk
  C:\Documents and Settings\Igor\Главное меню\Программы\Стандартные\Служебные\Intеrnеt Ехplоrеr (без надстроек).lnk

• Нажмите на кнопку "Лечить" и дождитесь окончания работы утилиты.
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.