Изменяется стартовая страница и устанавливается сторонний сфот [not-a-virus:RiskTool.Win32.Agent.nbm, not-a-virus:WebToolbar.Win32.CrossRider.pld ]

**Aranaur** · 24.03.2015, 01:39

Приветствую!
Постоянно меняется стартовая страница в браузерах, установленный сторонний софт после удаления вновь появляется (AnyProtectEx, IGS, XTab, gmsd_re_176, CinemaP-1.9cV16.03)
Заранее благодарю за помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.03.2015, 01:41

Уважаемый(ая) Aranaur, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 24.03.2015, 09:00

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\igs\vcl.exe');
 TerminateProcessByName('c:\users\magistriss\appdata\local\gmsd_re_176\upgmsd_re_176.exe');
 TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
 TerminateProcessByName('c:\program files (x86)\xtab\protectservice.exe');
 TerminateProcessByName('c:\users\magistriss\appdata\roaming\39464e43-1427125532-4a34-5253-00269e88f9ba\nsm9ac3.tmpfs');
 TerminateProcessByName('c:\users\magistriss\appdata\roaming\39464e43-1427125532-4a34-5253-00269e88f9ba\jnsad4d5.tmp');
 TerminateProcessByName('c:\users\magistriss\appdata\local\39464e43-1427137727-4a34-5253-00269e88f9ba\insr3818.tmp');
 TerminateProcessByName('c:\program files (x86)\xtab\hpnotify.exe');
 TerminateProcessByName('c:\program files (x86)\gmsd_re_176\gmsd_re_176.exe');
 TerminateProcessByName('c:\program files (x86)\xtab\cmdshell.exe');
 QuarantineFile('C:\Users\Magistriss\AppData\Roaming\GNOK.exe', '');
 QuarantineFile('C:\Users\Magistriss\AppData\Roaming\BYAIAMUF.exe', '');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '');
 QuarantineFile('C:\Program Files (x86)\XTab\SupTab.dll', '');
 QuarantineFile('C:\Windows\system32\VCL.dll', '');
 QuarantineFile('c:\program files (x86)\igs\vcl.exe', '');
 QuarantineFile('c:\users\magistriss\appdata\local\gmsd_re_176\upgmsd_re_176.exe', '');
 QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe', '');
 QuarantineFile('c:\program files (x86)\xtab\protectservice.exe', '');
 QuarantineFile('c:\users\magistriss\appdata\roaming\39464e43-1427125532-4a34-5253-00269e88f9ba\nsm9ac3.tmpfs', '');
 QuarantineFile('c:\users\magistriss\appdata\roaming\39464e43-1427125532-4a34-5253-00269e88f9ba\jnsad4d5.tmp', '');
 QuarantineFile('c:\users\magistriss\appdata\local\39464e43-1427137727-4a34-5253-00269e88f9ba\insr3818.tmp', '');
 QuarantineFile('c:\program files (x86)\xtab\hpnotify.exe', '');
 QuarantineFile('c:\program files (x86)\gmsd_re_176\gmsd_re_176.exe', '');
 QuarantineFile('c:\program files (x86)\xtab\cmdshell.exe', '');
 DeleteFile('c:\program files (x86)\xtab\cmdshell.exe', '32');
 DeleteFile('c:\program files (x86)\xtab\hpnotify.exe', '32');
 DeleteFile('c:\users\magistriss\appdata\local\39464e43-1427137727-4a34-5253-00269e88f9ba\insr3818.tmp', '32');
 DeleteFile('c:\users\magistriss\appdata\roaming\39464e43-1427125532-4a34-5253-00269e88f9ba\jnsad4d5.tmp', '32');
 DeleteFile('c:\users\magistriss\appdata\roaming\39464e43-1427125532-4a34-5253-00269e88f9ba\nsm9ac3.tmpfs', '32');
 DeleteFile('c:\program files (x86)\xtab\protectservice.exe', '32');
 DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe', '32');
 DeleteFile('c:\users\magistriss\appdata\local\gmsd_re_176\upgmsd_re_176.exe', '32');
 DeleteFile('c:\program files (x86)\igs\vcl.exe', '32');
 DeleteFile('C:\Program Files (x86)\IGS\VCCert.dll', '32');
 DeleteFile('C:\Program Files (x86)\XTab\BrowerWatchCH.dll', '32');
 DeleteFile('C:\Program Files (x86)\XTab\BrowerWatchFF.dll', '32');
 DeleteFile('C:\Program Files (x86)\XTab\IeWatchDog.dll', '32');
 DeleteFile('C:\Program Files (x86)\gmsd_re_176\gmsd_re_176.exe', '32');
 DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll', '32');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job', '64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job', '64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job', '64');
 DeleteFile('C:\Users\Magistriss\AppData\Roaming\BYAIAMUF.exe', '32');
 DeleteFile('C:\Windows\Tasks\BYAIAMUF.job', '64');
 DeleteFile('C:\Users\Magistriss\AppData\Roaming\GNOK.exe', '32');
 DeleteFile('C:\Windows\Tasks\GNOK.job', '64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1', '64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2', '64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3', '64');
 DeleteFile('C:\Windows\system32\Tasks\BYAIAMUF', '64');
 DeleteFile('C:\Windows\system32\Tasks\GNOK', '64');
 DeleteFileMask('C:\Program Files (x86)\AnyProtectEx', '*', true);
 DeleteFileMask('C:\Program Files (x86)\XTab', '*', true);
 DeleteFileMask('C:\Program Files (x86)\gmsd_re_176', '*', true);
 DeleteFileMask('c:\program files (x86)\igs', '*', true);
 DeleteFileMask('c:\users\magistriss\appdata\local\39464e43-1427137727-4a34-5253-00269e88f9ba', '*', true);
 DeleteFileMask('c:\programdata\windowsmangerprotect', '*', true);
 DeleteDirectory('C:\Program Files (x86)\AnyProtectEx');
 DeleteDirectory('C:\Program Files (x86)\XTab');
 DeleteDirectory('C:\Program Files (x86)\gmsd_re_176');
 DeleteDirectory('c:\program files (x86)\igs');
 DeleteDirectory('c:\users\magistriss\appdata\local\39464e43-1427137727-4a34-5253-00269e88f9ba');
 DeleteDirectory('c:\programdata\windowsmangerprotect');
 DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
 DelSPIByFileName('vcl.dll', true);
 ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteRepair(3);
 ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).
Сделайте лог Check Browsers' LNK.

**Aranaur** · 24.03.2015, 10:36

done

**Vvvyg** · 24.03.2015, 12:00

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\users\magistriss\appdata\roaming\39464e43-1427125532-4a34-5253-00269e88f9ba\nsf7698.tmp');
 QuarantineFile('c:\users\magistriss\appdata\roaming\39464e43-1427125532-4a34-5253-00269e88f9ba\nsf7698.tmp', '');
 DeleteFile('c:\users\magistriss\appdata\roaming\39464e43-1427125532-4a34-5253-00269e88f9ba\nsf7698.tmp', '32');
 DeleteFileMask('c:\users\magistriss\appdata\roaming\39464e43-1427125532-4a34-5253-00269e88f9ba','*',true);
 DeleteDirectory('c:\users\magistriss\appdata\roaming\39464e43-1427125532-4a34-5253-00269e88f9ba');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению (можно все в одном архиве).

**Aranaur** · 24.03.2015, 15:54

done

**Vvvyg** · 24.03.2015, 16:27

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [gmsd_re_172] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1427140251&from=cmi&uid=ST9320325AS_6VE3DAEG
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1427140251&from=cmi&uid=ST9320325AS_6VE3DAEG&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1427140251&from=cmi&uid=ST9320325AS_6VE3DAEG
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1427140251&from=cmi&uid=ST9320325AS_6VE3DAEG&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3390308277-1698855064-1764719036-1001 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST9320325AS_6VE3DAEG&ts=1427140286&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3390308277-1698855064-1764719036-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST9320325AS_6VE3DAEG&ts=1427140286&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3390308277-1698855064-1764719036-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST9320325AS_6VE3DAEG&ts=1427140286&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3390308277-1698855064-1764719036-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST9320325AS_6VE3DAEG&ts=1427140286&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3390308277-1698855064-1764719036-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST9320325AS_6VE3DAEG&ts=1427140286&type=default&q={searchTerms}
Winsock: Catalog9 01 C:\Windows\SysWOW64\VCL.dll [335064] (VC Corporation)
Winsock: Catalog9 02 C:\Windows\SysWOW64\VCL.dll [335064] (VC Corporation)
Winsock: Catalog9 03 C:\Windows\SysWOW64\VCL.dll [335064] (VC Corporation)
Winsock: Catalog9 04 C:\Windows\SysWOW64\VCL.dll [335064] (VC Corporation)
Winsock: Catalog9 16 C:\Windows\SysWOW64\VCL.dll [335064] (VC Corporation)
FF DefaultSearchEngine: mystartsearch
FF SelectedSearchEngine: mystartsearch
FF user.js: detected! => C:\Users\Magistriss\AppData\Roaming\Mozilla\Firefox\Profiles\knjpxoq5.default\user.js [2015-03-23]
FF SearchPlugin: C:\Users\Magistriss\AppData\Roaming\Mozilla\Firefox\Profiles\knjpxoq5.default\searchplugins\mystartsearch.xml [2015-03-24]
FF Extension: Fast Start - C:\Users\Magistriss\AppData\Roaming\Mozilla\Firefox\Profiles\knjpxoq5.default\Extensions\[email protected] [2015-03-23]
FF Extension: Search Enginer - C:\Users\Magistriss\AppData\Roaming\Mozilla\Firefox\Profiles\knjpxoq5.default\Extensions\[email protected] [2015-03-23]
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Users\Magistriss\AppData\Roaming\Mozilla\Firefox\Profiles\knjpxoq5.default\extensions\[email protected]
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Users\Magistriss\AppData\Roaming\Mozilla\Firefox\Profiles\knjpxoq5.default\extensions\[email protected]
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.mystartsearch.com/?type=sc&ts=1427140251&from=cmi&uid=ST9320325AS_6VE3DAEG
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.mystartsearch.com/?type=sc&ts=1427140251&from=cmi&uid=ST9320325AS_6VE3DAEG
OPR Extension: (CinemaP-1.9cV16.03) - C:\Users\Magistriss\AppData\Roaming\Opera Software\Opera Stable\Extensions\acklnhgjphbhhomkneonohbjnbmkclfb [2015-03-23]
S2 lifotugo; C:\Users\Magistriss\AppData\Roaming\39464E43-1427125532-4A34-5253-00269E88F9BA\nsi31AD.tmp [X]
2015-03-23 21:54 - 2015-03-23 21:54 - 00613255 _____ (CMI Limited) C:\Users\Magistriss\AppData\Local\nsj86A4.tmp
2015-03-23 21:54 - 2015-03-23 21:54 - 00000000 __SHD () C:\Users\Magistriss\AppData\Roaming\AnyProtectEx
2015-03-23 21:51 - 2015-03-24 09:14 - 00000000 ____D () C:\Program Files (x86)\IGS
2015-03-23 21:51 - 2015-03-23 21:51 - 00000000 ____D () C:\Users\Все пользователи\IHProtectUpDate
2015-03-23 21:51 - 2015-03-23 21:51 - 00000000 ____D () C:\Users\Magistriss\AppData\Roaming\mystartsearch
2015-03-23 21:51 - 2015-03-23 21:51 - 00000000 ____D () C:\ProgramData\IHProtectUpDate
2015-03-23 21:51 - 2015-03-20 15:54 - 00335064 _____ (VC Corporation) C:\Windows\SysWOW64\VCL.dll
2015-03-23 21:50 - 2015-03-23 21:53 - 00000000 ____D () C:\Users\Magistriss\AppData\Local\gmsd_re_176
2015-03-23 21:50 - 2015-03-23 21:51 - 00000000 ____D () C:\Users\Magistriss\AppData\Local\39464E43-1427147447-4A34-5253-00269E88F9BA
2015-03-23 20:33 - 2015-03-23 20:33 - 00613255 _____ (CMI Limited) C:\Users\Magistriss\AppData\Local\nsg39D3.tmp
2015-03-23 19:13 - 2015-03-23 19:13 - 00613255 _____ (CMI Limited) C:\Users\Magistriss\AppData\Local\nsh7346.tmp
2015-03-23 18:33 - 2015-03-23 18:33 - 00613255 _____ (CMI Limited) C:\Users\Magistriss\AppData\Local\nswCADD.tmp
2015-03-23 18:31 - 2015-03-23 18:31 - 00613255 _____ (CMI Limited) C:\Users\Magistriss\AppData\Local\nsb80DE.tmp
2015-03-23 18:00 - 2015-03-23 21:52 - 00008592 _____ () C:\Windows\SysWOW64\VCLOff.ini
2015-03-23 18:00 - 2015-03-23 21:52 - 00008592 _____ () C:\Windows\system32\VCLOff.ini
2015-03-23 17:47 - 2015-03-23 18:52 - 00000000 ____D () C:\Program Files (x86)\CinemaP-1.9cV16.03
2015-03-09 23:30 - 2015-03-09 23:30 - 0005487 _____ () C:\Users\Magistriss\AppData\Roaming\BYAIAMUF
2015-01-25 18:12 - 2015-01-25 18:12 - 0002086 _____ () C:\Users\Magistriss\AppData\Roaming\GNOK
2015-03-23 21:54 - 2015-03-23 21:54 - 0613255 _____ (CMI Limited) C:\Users\Magistriss\AppData\Local\nsj86A4.tmp
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1427140251&from=cmi&uid=ST9320325AS_6VE3DAEG
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1427140251&from=cmi&uid=ST9320325AS_6VE3DAEG
ShortcutWithArgument: C:\Users\Magistriss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1427140251&from=cmi&uid=ST9320325AS_6VE3DAEG
ShortcutWithArgument: C:\Users\Magistriss\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1427140251&from=cmi&uid=ST9320325AS_6VE3DAEG
ShortcutWithArgument: C:\Users\Magistriss\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1427140251&from=cmi&uid=ST9320325AS_6VE3DAEG
ShortcutWithArgument: C:\Users\Magistriss\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1427140251&from=cmi&uid=ST9320325AS_6VE3DAEG
ShortcutWithArgument: C:\Users\Magistriss\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1427140251&from=cmi&uid=ST9320325AS_6VE3DAEG
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1427140251&from=cmi&uid=ST9320325AS_6VE3DAEG
ShortcutWithArgument: C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1427140251&from=cmi&uid=ST9320325AS_6VE3DAEG
ShortcutWithArgument: C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1427140251&from=cmi&uid=ST9320325AS_6VE3DAEG
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделайте новый лог AdwCleaner.

**Aranaur** · 24.03.2015, 16:59

done

**Vvvyg** · 24.03.2015, 21:15

Удалите папку C:\FRST со всем содержимым.

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

**Aranaur** · 24.03.2015, 22:08

Пока все хорошо. Благодарю!

**Vvvyg** · 24.03.2015, 22:16

Запустите AdwCleaner и нажмите Удалить.

Выполните рекомендации после лечения.

**CyberHelper** · 24.03.2015, 22:26

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 14
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\anyprotectex\anyprotect.exe - not-a-virus:AdWare.Win32.Agent.hpxh
2. c:\program files (x86)\gmsd_re_176\gmsd_re_176.exe - not-a-virus:AdWare.Win32.Eorezo.jnf ( BitDefender: Adware.Eorezo.BZ )
3. c:\program files (x86)\igs\vcl.exe - not-a-virus:Downloader.Win32.Agent.disk ( AVAST4: Win32:Dropper-gen [Drp] )
4. c:\program files (x86)\xtab\cmdshell.exe - not-a-virus:AdWare.Win32.SearchProtect.ky ( DrWEB: Adware.Mutabaha.117 )
5. c:\program files (x86)\xtab\hpnotify.exe - not-a-virus:AdWare.Win32.SearchProtect.qt
6. c:\program files (x86)\xtab\protectservice.exe - not-a-virus:AdWare.Win32.SearchProtect.qt ( DrWEB: Adware.Mutabaha.266 )
7. c:\program files (x86)\xtab\suptab.dll - not-a-virus:AdWare.Win32.SearchProtect.qt ( DrWEB: Adware.Mutabaha.267 )
8. c:\programdata\windowsmangerprotect\protectwindows manager.exe - not-a-virus:AdWare.Win32.WProtManager.an ( DrWEB: Trojan.Click3.11058 )
9. c:\users\magistriss\appdata\local\39464e43-1427137727-4a34-5253-00269e88f9ba\insr3818.tmp - not-a-virus:AdWare.Win32.AdSvc.fu
10. c:\users\magistriss\appdata\roaming\byaiamuf.exe - not-a-virus:WebToolbar.Win32.CrossRider.pmd ( BitDefender: Gen:Application.Heur.8v0@kejGCfeO, AVAST4: Win32:Malware-gen )
11. c:\users\magistriss\appdata\roaming\gnok.exe - not-a-virus:WebToolbar.Win32.CrossRider.pld ( BitDefender: Gen:Application.Heur.uv0@kKUstldO, AVAST4: Win32:Malware-gen )
12. c:\users\magistriss\appdata\roaming\39464e43-1427125532-4a34-5253-00269e88f9ba\jnsad4d5.tmp - not-a-virus:AdWare.Win32.Vopak.amf ( AVAST4: Win32:Rootkit-gen [Rtk] )
13. c:\windows\system32\vcl.dll - not-a-virus:RiskTool.Win32.Agent.nbm ( DrWEB: Adware.Superfish.80 )