GamesDesktop 092.005010123 и реклама в браузере вместе с всплывающими окнами [not-a-virus:AdWare.Win32.ConvertAd.bai, Trojan.Win32.StartPage.fsgi ]

**Inarus** · 25.10.2015, 13:35

Добрый день.
Постоянно появляется в программах GamesDesktop 092.005010123 и невозможно работать в браузерах. Куча окон открывается. У кого есть возможность посмотрите логи.
Спасибо

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.10.2015, 13:36

Уважаемый(ая) Inarus, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 25.10.2015, 21:03

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe');
 TerminateProcessByName('c:\users\sergey\appdata\local\09cdf43a-1445613844-1756-4311-7824af4153df\qnsvc69f.tmp');
 TerminateProcessByName('c:\program files (x86)\09cdf43a-1445452424-1756-4311-7824af4153df\knsy381.tmp');
 TerminateProcessByName('c:\program files (x86)\hp defender\hhandler.exe');
 StopService('SSFK');
 StopService('hidekoqe');
 StopService('HHandler Service');
 StopService('bepucugi');
 QuarantineFile('C:\Users\Sergey\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '');
 QuarantineFile('C:\Users\Sergey\AppData\Roaming\Browsers\exe.atemok.bat', '');
 QuarantineFile('C:\Users\Sergey\AppData\Local\AJCfUPwjC\AGQNFNC1.bat', '');
 QuarantineFile('C:\ProgramData\qbzOvEIqfTob\aLrHCpbROTss5.bat', '');
 QuarantineFile('C:\ProgramData\RjwPXm\cCAXDmtFuxi0.bat', '');
 QuarantineFile('C:\ProgramData\lUCzDsDnE\MnlHOdBstrgln0.bat', '');
 QuarantineFile('C:\Program Files (x86)\gmsd_re_005010123\gmsd_re_005010123.exe', '');
 QuarantineFile('c:\program files (x86)\sfk\ssfk.exe', '');
 QuarantineFile('c:\users\sergey\appdata\local\09cdf43a-1445613844-1756-4311-7824af4153df\qnsvc69f.tmp', '');
 QuarantineFile('c:\program files (x86)\09cdf43a-1445452424-1756-4311-7824af4153df\knsy381.tmp', '');
 QuarantineFile('c:\program files (x86)\hp defender\hhandler.exe', '');
 DeleteFile('c:\program files (x86)\09cdf43a-1445452424-1756-4311-7824af4153df\knsy381.tmp', '32');
 DeleteFile('C:\Program Files (x86)\HP Defender\HHandler.exe', '32');
 DeleteFile('C:\Users\Sergey\AppData\Local\09CDF43A-1445613844-1756-4311-7824AF4153DF\qnsvC69F.tmp', '32');
 DeleteFile('C:\Program Files (x86)\SFK\SSFK.exe', '32');
 DeleteFile('C:\Program Files (x86)\gmsd_re_005010123\gmsd_re_005010123.exe', '32');
 DeleteService('SSFK');
 DeleteService('HHandler Service');
 DeleteService('bepucugi');
 DelBHO('{961a325c-7fdf-4a82-b0b5-43e136f4edb1}');
 DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hdxtrfrdmw');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_624C0C0EF36908A1F3BF5AA505A95313');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1895647271-3466003277-1995105267-1003\Software\Microsoft\Windows\CurrentVersion\Run', 'eTranslator Update');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1895647271-3466003277-1995105267-1003\Software\Microsoft\Windows\CurrentVersion\Run', 'kometaup');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1895647271-3466003277-1995105267-1003\Software\Microsoft\Windows\CurrentVersion\Run', 'hdxtrfrdmw');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1895647271-3466003277-1995105267-1003\Software\Microsoft\Windows\CurrentVersion\Run', 'MediaGet2');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1895647271-3466003277-1995105267-1003\Software\Microsoft\Windows\CurrentVersion\Run', 'amigo');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1895647271-3466003277-1995105267-1003\Software\Microsoft\Windows\CurrentVersion\Run', 'MailRuUpdater');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidusdTray', 'command');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

Сделайте лог Check Browsers' LNK.

**Inarus** · 26.10.2015, 21:26

Добрый вечер.
Прилагаю логи.
Спасибо

**Vvvyg** · 26.10.2015, 21:46

# AdwCleaner v5.011 - Отчёт создан 07/10/2015 в 19:02:55
# Обновлено 07/10/2015 by Xplode
# База данных : 2015-10-07.1 [Сервер]

Это старый лог, самый свежий с буквой S в имени приложите.

**Inarus** · 26.10.2015, 21:58

кажись вот он

**Vvvyg** · 26.10.2015, 22:05

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования уберите галочки на вкладках Папки (Folders) и Реестр (Registry) со всех пунктов, где упоминаются Mail.Ru, Zona и MediaGet только если используете соответствующие программы.

В пункте меню "Настройки" (Settings) уберите галочку "Сброс настроек Winsoсk" и установите галочку "Сброс политик Chrome".
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C#].txt (где #- цифра), прикрепите к своему следующему сообщению.

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

**Inarus** · 26.10.2015, 22:23

все запускал от имени админа

**Vvvyg** · 26.10.2015, 22:32

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**Inarus** · 26.10.2015, 22:45

сделано

**Vvvyg** · 26.10.2015, 23:33

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [InstallUpdate] => [X]
CHR HKU\S-1-5-21-1895647271-3466003277-1995105267-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-1895647271-3466003277-1995105267-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=mp4
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id={9D9656F5-4C23-4B4C-8C03-109A5D93F199}&gp=mp4
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id={9D9656F5-4C23-4B4C-8C03-109A5D93F199}&gp=mp4
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> 74C964D104415E2E8F1698A9EDDDB789 URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3FEUKDVTEKDVTE&ts=1432913695&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3FEUKDVTEKDVTE&ts=1432913695&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = hxxp://www.mystart.com/results.php?gen=ms&pr=jomedia&id=dlsecuretb&v=1_0&ent=ch_6277&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {B175D803-604D-4AE0-B59E-3D489BC1AFD5} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3FEUKDVTEKDVTE&ts=1432913695&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3FEUKDVTEKDVTE&ts=1432913695&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3FEUKDVTEKDVTE&ts=1432913695&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {EBE882A2-20C3-4680-AF1B-1DE87D283E4A} URL = hxxp://1stserp.com/search.php?us=searcher&pcid=EEA04DE4-D1EA-4635-A935-7F12F814B871&pid=61&query={searchTerms}&sc=ie
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {F4137D40-259A-4FB3-B780-F8C39B303C41} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3FEUKDVTEKDVTE&ts=1432913695&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {FA8D1616-A0DE-445D-AE6C-F1737F03D9ED} URL = hxxp://1stserp.com/search.php?us=searcher&pcid=A93A0C8D-BF4D-4D84-AAA5-CFC5DB7CC7C7&pid=81&query={searchTerms}&sc=ie
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=blackbear15
BHO: No Name -> {11111111-1111-1111-1111-110611221142} -> No File
Handler: rubar - {7A05BDCB-8F81-45C5-B9EC-3764E6FC1439} -  No File
FF DefaultSearchEngine: Поиск@Mail.Ru
FF Homepage: hxxp://mail.ru/cnt/10445?gp=mp4
FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id={4C3AB232-5785-469E-BD4F-C4BA3A97DE8F}&gp=mp4
FF Extension: Домашняя страница Mail.Ru - C:\Users\Sergey\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-10-23] [not signed]
FF Extension: Поиск@Mail.Ru - C:\Users\Sergey\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-10-23]
FF Extension: Спутник @Mail.Ru - C:\Users\Sergey\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2015-06-16] [not signed]
CHR HomePage: Default -> mail.ru/cnt/11956636?gp=mp4
CHR NewTab: Default -> "chrome-extension://bpgangmffjcofiknibcmfjionicohfgj/visual-bookmarks.html"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms}&fr=xtn9
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgbgnhmfbcifpkjofoojfplmfkmaiadn [2015-10-23]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions\bpgangmffjcofiknibcmfjionicohfgj [2015-10-23]
CHR Extension: (gpnamfpkffldfnlkofbbebcndfdkclpc) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions\gpnamfpkffldfnlkofbbebcndfdkclpc [2015-09-22]
CHR Extension: (Mail.Ru) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2015-10-19]
CHR Extension: (Mail.Ru) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions\nbifdkmdojgmpmopdebnjcobekgdoncn [2015-10-23]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions\pnooffjhclkocplopffdbcdghmiffhji [2015-10-19]
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vk.ijmelto.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fidibeiehaokohhbnkdjmkcapgnndfkc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jkagakiplhpgacmegfblcddbckenmiio] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kjlpdpfmpoggibmjgmbaoidffidifakh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (adelhekhakakocomdfejiipdnaadiiib) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\adelhekhakakocomdfejiipdnaadiiib [2015-09-02]
OPR Extension: (Edu App) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\aflbfhfpnnffgamnmnajappkdmmhmlpl [2015-05-29]
OPR Extension: (NetFilterPRO) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\cfmnkhhioonhiehehedmnjibmampjiab [2015-06-14]
OPR Extension: (Edu App) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\gegdfeiahlfolhcfioipjlkombmgbakh [2015-09-16]
OPR Extension: (AdBlock) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-09-09]
OPR Extension: (Edu App) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\gpnamfpkffldfnlkofbbebcndfdkclpc [2015-09-22]
OPR Extension: (Discount_Frenzy) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\jkbblkobgokdimiefleebjbhmnfjlcfg [2015-01-01]
OPR Extension: (Edu App) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\lkadffjmnaiokkdncgdlecdegajoiemi [2015-08-28]
OPR Extension: (Переводчик для Chrome 2) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\mdanidgdpmkimeiiojknlnekblgmpdll [2015-01-01]
OPR Extension: (Quick Searcher) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\nckgahadagoaajjgafhacjanaoiihapd [2015-04-29]
OPR Extension: (Edu App) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\nilnpbhnhmmjioijfgilcohbknkgfmpa [2015-04-01]
OPR Extension: (Edu App) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\nphbmanpfjfdngbaamhajooihmjacmfe [2015-06-03]
OPR Extension: (Edu App) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\obhekfgkiebcdiemikbpipliohcokogk [2015-04-01]
OPR Extension: (Edu App) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-05-29]
2015-10-26 20:28 - 2015-10-26 20:29 - 00000000 ____D C:\ProgramData\nWMiniPron
2015-10-24 06:33 - 2015-10-24 06:33 - 00000000 ____D C:\ProgramData\cVDbvIOV
2015-10-23 19:47 - 2015-10-23 19:47 - 00000000 ____D C:\ProgramData\lUCzDsDnE
2015-10-23 19:47 - 2015-10-23 19:47 - 00000000 ____D C:\ProgramData\KeooDHn
2015-10-23 18:16 - 2015-10-23 18:16 - 00000000 ____D C:\ProgramData\rQnLwQECQ
2015-10-23 13:54 - 2015-10-23 13:54 - 00000000 ____D C:\ProgramData\WWSFelFkYcBjH
2015-10-23 09:54 - 2015-10-23 09:54 - 00000000 ____D C:\ProgramData\eTxHbpjg
2015-10-22 20:49 - 2015-10-22 20:49 - 00000000 ____D C:\ProgramData\RjwPXm
2015-10-22 20:49 - 2015-10-22 20:49 - 00000000 ____D C:\ProgramData\qbzOvEIqfTob
2015-10-21 20:18 - 2015-10-21 20:18 - 00000000 ____D C:\ProgramData\svXhdPHMIQlniL
2015-10-21 20:17 - 2015-10-21 20:17 - 00000000 ____D C:\Users\Все пользователи\WfzzgPxbc
2015-10-21 20:17 - 2015-10-21 20:17 - 00000000 ____D C:\Users\Все пользователи\McEHHnOCsvtZ
2015-10-21 20:17 - 2015-10-21 20:17 - 00000000 ____D C:\Users\Все пользователи\eDLDWDtXjGGlx
2015-10-19 10:07 - 2015-10-19 10:07 - 00000731 _____ C:\Users\Sergey\Desktop\Zona.lnk
2015-10-19 10:07 - 2015-10-19 10:07 - 00000731 _____ C:\Users\Sergey\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zona.lnk
2015-09-28 17:31 - 2015-09-28 17:31 - 00000000 ____D C:\ProgramData\{2ACB8283-3DA0-4D9A-8EC6-CE39EEA98C97}
2015-10-26 21:38 - 2015-05-19 02:09 - 00000000 _____ C:\Windows\system32\Drivers\lvuvc.hs
2015-10-26 20:28 - 2015-09-13 10:12 - 00000098 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-10-24 21:31 - 2015-03-31 10:14 - 00000385 _____ C:\Users\Sergey\AppData\Roaming\rPzG5HobBZIhlZ1g4yZQlKLsPr
2015-05-30 12:17 - 2015-05-30 12:17 - 0613255 _____ (CMI Limited) C:\Users\Sergey\AppData\Local\nsc1CCF.tmp
2015-09-30 22:29 - 2015-09-30 22:26 - 0613255 _____ (CMI Limited) C:\Users\Sergey\AppData\Local\nsh5992.tmp
2015-09-13 10:15 - 2015-09-13 10:15 - 0613255 _____ (CMI Limited) C:\Users\Sergey\AppData\Local\nsi12D0.tmp
2015-05-29 17:35 - 2015-05-29 17:35 - 0613255 _____ (CMI Limited) C:\Users\Sergey\AppData\Local\nsi3496.tmp
2015-05-31 09:42 - 2015-05-31 09:41 - 0613255 _____ (CMI Limited) C:\Users\Sergey\AppData\Local\nsr14A4.tmp
2015-09-30 14:01 - 2015-09-30 13:56 - 0613255 _____ (CMI Limited) C:\Users\Sergey\AppData\Local\nsr1BAB.tmp
2015-09-16 12:47 - 2015-09-16 12:47 - 0613255 _____ (CMI Limited) C:\Users\Sergey\AppData\Local\nsr65C8.tmp
2015-09-29 18:01 - 2015-09-29 13:20 - 0613255 _____ (CMI Limited) C:\Users\Sergey\AppData\Local\nsx896B.tmp
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Sergey^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^crossbrowse.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidusdTray" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HP Defender" /f
Reg: reg delete "HKU\S-1-5-21-1895647271-3466003277-1995105267-1003\Software\Microsoft\Windows\CurrentVersion\Uninstall\Amigo" /f
FirewallRules: [{F27D57FE-DF68-4D73-B9B2-0E707993016E}] => (Allow) D:\Zona\Zona.exe
FirewallRules: [{E34F14FE-7BCB-47BE-B64C-BEDB066FEBB7}] => (Allow) D:\Zona\Zona.exe
FirewallRules: [{E1DD4DA8-F5BB-4920-8912-4EA6EF8ACB0F}] => (Allow) C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Зaпустить Grаnd Thеft Аuto V.lnk
C:\Users\Sergey\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемами.

**Inarus** · 27.10.2015, 20:41

вот лог. Сейчас проверяю проблемы

**Inarus** · 29.10.2015, 22:52

Большое спасибо. Все помогло

**Vvvyg** · 30.10.2015, 11:43

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 30.10.2015, 11:53

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 9
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\hp defender\hhandler.exe - Trojan.Win32.StartPage.fsgi
2. c:\program files (x86)\sfk\ssfk.exe - not-a-virus:AdWare.Win32.ELEX.el
3. c:\users\sergey\appdata\local\09cdf43a-1445613844-1756-4311-7824af4153df\qnsvc69f.tmp - not-a-virus:AdWare.Win32.ConvertAd.bai ( AVAST4: Win32:Rootkit-gen [Rtk] )

GamesDesktop 092.005010123 и реклама в браузере вместе с всплывающими окнами [not-a-virus:AdWare.Win32.ConvertAd.bai, Trojan.Win32.StartPage.fsgi ] (заявка № 191773)

Опции темы