китайское приложение и всплывающие окна [not-a-virus:HEUR:RiskTool.Win32.Hidap.gen ]

**rodnoj** · 12.06.2016, 09:32

В фоновом режиме установились приложения с названиями из иероглифов. Убрал все за исключением одного. Браузеры выкидывают всплывающие окна и треть экрана закрыто рекламой. Реклама не в браузере. Помогите пожалуйста восстановить работу моего аппарата.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.06.2016, 09:33

Уважаемый(ая) rodnoj, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 12.06.2016, 10:02

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\30464336-1465671427-4631-4633-4335ffffffff\knsf1255.tmp');
 StopService('hucodonezbt');
 StopService('zigipyro');
 QuarantineFileF('c:\users\синхрофазатрон\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 TerminateProcessByName('C:\Program Files (x86)\badu\uc.exe');
 QuarantineFileF('C:\Users\Синхрофазатрон\AppData\Roaming\UPUpdata\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\Синхрофазатрон\AppData\Roaming\UPUpdata\service90132.exe', '');
 DeleteFile('C:\Users\Синхрофазатрон\AppData\Roaming\UPUpdata\service90132.exe');
 QuarantineFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5', '');
 DeleteFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5');
 QuarantineFile('c:\users\Синхрофазатрон\appdata\roaming\upupdata\service72564.exe', '');
 DeleteFile('c:\users\Синхрофазатрон\appdata\roaming\upupdata\service72564.exe');
 QuarantineFile('c:\users\Синхрофазатрон\appdata\roaming\pabninto\seilo.exe', '');
 QuarantineFileF('c:\users\Синхрофазатрон\appdata\roaming\pabninto\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\Qifiryplohele\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderTsk.exe', '');
 DeleteFile('	C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderTsk.exe');
 QuarantineFile('C:\Program Files (x86)\badu\uc.exe', '');
 DeleteFile('C:\Program Files (x86)\badu\uc.exe');
 QuarantineFile('c:\program files (x86)\30464336-1465671427-4631-4633-4335ffffffff\knsf1255.tmp', '');
 QuarantineFile('C:\Program Files (x86)\30464336-1465671427-4631-4633-4335FFFFFFFF\jnsx422B.tmp', '');
 QuarantineFile('C:\Program Files (x86)\30464336-1465671427-4631-4633-4335FFFFFFFF\hnsm5B52.tmp', '');
 QuarantineFile('C:\Users\Синхрофазатрон\AppData\Local\30464336-1465689553-4631-4633-4335FFFFFFFF\qnslD697.tmp', '');
 QuarantineFile('C:\Users\Синхрофазатрон\AppData\Local\Hostinstaller\1523589610_123.exe', '');
 QuarantineFile('C:\Users\Синхрофазатрон\AppData\Local\SystemMonitor2016\1523589610.exe', '');
 QuarantineFile('c:\users\синхрофазатрон\appdata\roaming\kabxeykeaq\tyjyre.exe', '');
 QuarantineFile('BCABB5B8F8EF8A9E921C402702D5AF95', '');
 QuarantineFile('c:\users\синхрофазатрон\appdata\roaming\kabxeykeaq\yobhc.din', '');
 QuarantineFileF('c:\users\синхрофазатрон\appdata\roaming\kabxeykeaq\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('BCABB5B8F8EF8A9E921C402702D5AF95');
 DeleteFile('c:\users\синхрофазатрон\appdata\roaming\kabxeykeaq\tyjyre.exe');
 DeleteFile('c:\program files (x86)\30464336-1465671427-4631-4633-4335ffffffff\knsf1255.tmp', '32');
 DeleteFile('C:\Program Files (x86)\30464336-1465671427-4631-4633-4335FFFFFFFF\jnsx422B.tmp', '32');
 DeleteFile('C:\Program Files (x86)\30464336-1465671427-4631-4633-4335FFFFFFFF\hnsm5B52.tmp', '32');
 DeleteFile('C:\Users\Синхрофазатрон\AppData\Local\30464336-1465689553-4631-4633-4335FFFFFFFF\qnslD697.tmp', '32');
 DeleteFile('C:\Users\Синхрофазатрон\AppData\Local\Hostinstaller\1523589610_123.exe', '32');
 DeleteFile('C:\Users\Синхрофазатрон\AppData\Local\SystemMonitor2016\1523589610.exe', '32');
 DeleteFile('c:\users\синхрофазатрон\appdata\roaming\kabxeykeaq\yobhc.din');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true);
 DeleteService('hucodonezbt');
 DeleteService('dowidoly');
 DeleteService('rijufoze');
 DeleteService('zigipyro');
 DeleteFileMask('c:\users\синхрофазатрон\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('c:\users\синхрофазатрон\appdata\local\hostinstaller');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- сделайте лог Check Browsers' LNK by Dragokas & regist.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Смените все пароли, в первую очередь банковские. По окончанию лечения смените ещё раз.

**rodnoj** · 12.06.2016, 12:38

MD5 карантина: 40F6641D828BE1CA5801B533E78B93BE
http://virusinfo.info/virusdetector/...01B533E78B93BE

- - - - -Добавлено - - - - -

готово. при перезагрузке компа в фоне идет установка приложений и на диске с появились папки с китайскими названиями.

**regist** · 12.06.2016, 12:58

Сообщение от regist

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

где запрошенный карантин?

**rodnoj** · 12.06.2016, 12:59

загружен был. повторно загрузить не дает. пишет уже был загружен

**regist** · 12.06.2016, 13:02

+ Программы/расширения от Mail.ru используете?

**rodnoj** · 12.06.2016, 13:10

нет. ни яндекс ни мэйл

- - - - -Добавлено - - - - -

браузер основной хром. сегодня в нем создается дополнительный пользователь с пачкой расширений. уже несколько раз удалял.

- - - - -Добавлено - - - - -

и подмена ярлыков идет. исправлял. все равно происходит

**regist** · 12.06.2016, 13:23

Скрипт AVZ и очистку в AdwCleaner сделайте из безопасного режима. А логи собирайте из обычного.
Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\30464336-1465671427-4631-4633-4335ffffffff\knsf1255.tmp');
 TerminateProcessByName('c:\program files (x86)\30464336-1465671427-4631-4633-4335ffffffff\knsgd852.tmp');
 SetServiceStart('TSSysKit', 4);
 SetServiceStart('tsnethlpx64', 4);
 SetServiceStart('TAOKernelDriver', 4);
 SetServiceStart('TAOAccelerator', 4);
 SetServiceStart('softaal', 4);
 SetServiceStart('QQSysMonX64', 4);
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('cherimoya', 4);
 StopService('lhkhvonv');
 StopService('tsnethlpx64');
 StopService('TFsFlt');
 StopService('TAOKernelDriver');
 StopService('TAOAccelerator');
 StopService('SRepairDrv');
 StopService('softaal');
 StopService('QQSysMonX64');
 StopService('QMUdisk');
 StopService('cherimoya');
 StopService('Saoiix');
 StopService('hucodonezbt');
 StopService('xysujukozbt');
 StopService('zigipyro');
 QuarantineFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderTsk.exe', '');
 QuarantineFile('C:\Program Files (x86)\mpck\wincom_VQ3.exe', '');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe', '');
 QuarantineFile('C:\Users\Синхрофазатрон\AppData\Roaming\UPUpdata\msiql.exe', '');
 QuarantineFile('C:\Users\Синхрофазатрон\AppData\Roaming\UPUpdata\service72564.exe', '');
 QuarantineFile('C:\Users\Синхрофазатрон\AppData\Roaming\UPUpdata\service90132.exe', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\lhkhvonv.sys', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\cherimoya.sys', '');
 QuarantineFile('C:\Program Files (x86)\badu\uc.exe', '');
 QuarantineFileF('C:\Program Files (x86)\UCBrowser\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Синхрофазатрон\AppData\Roaming\UPUpdata\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\синхрофазатрон\appdata\roaming\pabninto\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\синхрофазатрон\appdata\roaming\kabxeykeaq\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\синхрофазатрон\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('c:\program files (x86)\30464336-1465671427-4631-4633-4335ffffffff\knsf1255.tmp', '');
 QuarantineFile('c:\program files (x86)\30464336-1465671427-4631-4633-4335ffffffff\knsgd852.tmp', '');
 QuarantineFile('C:\Program Files (x86)\30464336-1465671427-4631-4633-4335FFFFFFFF\jnsx422B.tmp', '');
 QuarantineFile('C:\Users\Синхрофазатрон\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Синхрофазатрон\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Синхрофазатрон\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
 QuarantineFile('C:\Users\Синхрофазатрон\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk', '');
 QuarantineFile('C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk', '');
 QuarantineFile('C:\Program Files (x86)\30464336-1465671427-4631-4633-4335FFFFFFFF\hnsm5B52.tmp', '');
 QuarantineFile('C:\Users\Синхрофазатрон\AppData\Local\30464336-1465689553-4631-4633-4335FFFFFFFF\qnslD697.tmp', '');
 QuarantineFile('C:\Users\Синхрофазатрон\AppData\Local\Hostinstaller\1523589610_123.exe', '');
 QuarantineFile('C:\Users\Синхрофазатрон\AppData\Local\SystemMonitor2016\1523589610.exe', '');
 DeleteFile('C:\WINDOWS\system32\drivers\cherimoya.sys', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQSysMonX64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv', '32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys', '32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys', '32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TFsFltX64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSSysKit64.sys', '32');
 DeleteFile('C:\WINDOWS\system32\drivers\lhkhvonv.sys', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTRAY.EXE', '32');
 DeleteFile('C:\Users\Синхрофазатрон\AppData\Roaming\UPUpdata\service90132.exe', '32');
 DeleteFile('C:\Users\Синхрофазатрон\AppData\Roaming\UPUpdata\service72564.exe', '32');
 DeleteFile('C:\Users\Синхрофазатрон\AppData\Roaming\UPUpdata\msiql.exe', '32');
 DeleteFile('C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe', '32');
 DeleteFile('C:\Program Files (x86)\badu\uc.exe', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMContextScan.dll', '32');
 DeleteFile('C:\Program Files (x86)\badu\uc.exe');
 DeleteFile('c:\program files (x86)\30464336-1465671427-4631-4633-4335ffffffff\knsf1255.tmp', '32');
 DeleteFile('c:\program files (x86)\30464336-1465671427-4631-4633-4335ffffffff\knsgd852.tmp', '32');
 DeleteFile('C:\Program Files (x86)\30464336-1465671427-4631-4633-4335FFFFFFFF\jnsx422B.tmp', '32');
 DeleteFile('C:\Program Files (x86)\30464336-1465671427-4631-4633-4335FFFFFFFF\hnsm5B52.tmp', '32');
 DeleteFile('C:\Users\Синхрофазатрон\AppData\Local\30464336-1465689553-4631-4633-4335FFFFFFFF\qnslD697.tmp', '32');
 DeleteFile('C:\Users\Синхрофазатрон\AppData\Local\Hostinstaller\1523589610_123.exe', '32');
 DeleteFile('C:\Users\Синхрофазатрон\AppData\Local\SystemMonitor2016\1523589610.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true);
 DeleteService('lhkhvonv');
 DeleteService('TSSysKit');
 DeleteService('tsnethlpx64');
 DeleteService('TAOKernelDriver');
 DeleteService('TAOAccelerator');
 DeleteService('SRepairDrv');
 DeleteService('softaal');
 DeleteService('QQSysMonX64');
 DeleteService('QMUdisk');
 DeleteService('cherimoya');
 DeleteService('Saoiix');
 DeleteService('hucodonezbt');
 DeleteService('xysujukozbt');
 DeleteService('dowidoly');
 DeleteService('rijufoze');
 DeleteService('zigipyro');
 DeleteFileMask('C:\Users\Синхрофазатрон\AppData\Roaming\KabxeYkeaq\', '*', true);
 DeleteFileMask('c:\users\синхрофазатрон\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('C:\Users\Синхрофазатрон\AppData\Roaming\KabxeYkeaq\');
 DeleteDirectory('c:\users\синхрофазатрон\appdata\local\hostinstaller');
 DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'QQPCTray');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'QGuan10in12');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'QGuan10in1');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'msiql');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'svchost0');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'apphide2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{63332668-8CE1-445D-A5EE-25929176714E}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'WINCOMVQ3');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 BC_DeleteSvc('Saoiix');
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
В меню Настройки отметьте:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

сделайте лог HiJackThis 2.0.6 Alfa 1.25

**rodnoj** · 12.06.2016, 15:42

карантин загружен, отчеты готовы. реклама с экрана ушла, но в браузерах проблема с окнами осталась. создаются вкладки, всплывающие окна, также в браузерах создаются пользователи и под ними устанавливаются расширения.

**regist** · 12.06.2016, 16:49

Сделайте свежий лог AdwCleaner-а.

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

**rodnoj** · 12.06.2016, 19:06

свежий лог . образ запуска не могу прикрепить. пишет превышен предел на форуме 110,3 кб

- - - - -Добавлено - - - - -

сохранил на файлообменник
http://rgho.st/7xrpK2SXC

- - - - -Добавлено - - - - -

после очистки

**regist** · 12.06.2016, 20:03

1) hohosearch - Uninstall - деинсталируйте.

2) Программы от Iobit используете? Если да, то советую деинсталировать.

3) Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
BREG
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\SYSTEMMONITOR2016\1523589610.EXE
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.11_0\ПОИСК  ЯНДЕКСA
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.11_0\ПОИСК  ЯНДЕКСA
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.11_0\ПОИСК  ЯНДЕКСA
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.11_0\ПОИСК  ЯНДЕКСA
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.11_0\ПОИСК  ЯНДЕКСA
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI\2.0.2.11_1\ПОИСК  ЯНДЕКСA
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.11_0\ПОИСК  ЯНДЕКСA
dirzooex %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\ROAMING\PABNINTO
zoo %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\ROAMING\PABNINTO\PABNINTO.EXE
bl FD71273118B7BCB775B360B38045506C 170496
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\ROAMING\PABNINTO\PABNINTO.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.5.17490.219\QMCONTEXTSCAN64.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.5.17490.219\QMCONTEXTUNINSTALL64.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.5.17490.219\QMGCSHELLEXT64.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.5.17490.219\QQPCTRAY.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.5.17490.219\TSWEBMON64.DAT
zoo %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\YANDEX\UPDATER2\U2-CTRL.EXE
bl 7A67696D114355D9A8DF0CE08CB8C87C 493568
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\YANDEX\UPDATER2\U2-CTRL.EXE
zoo %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\ROAMING\PABNINTO\SEILO.EXE
bl 56D4C8AD4F614A8B2A8358E33A3C8203 112128
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\ROAMING\PABNINTO\SEILO.EXE
zoo %SystemRoot%\RUN.VBS
bl A0CC725A2D9346021D8AC458E4F2C73F 1058
delall %SystemRoot%\RUN.VBS
deldir %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\ROAMING\PABNINTO
dirzooex %SystemDrive%\PROGRAMDATA\LOGIC HANDLER
zoo %SystemDrive%\PROGRAMDATA\LOGIC HANDLER\SET.EXE
bl 99A5EC46ACF979644E9A6568392E4FE1 2089472
delall %SystemDrive%\PROGRAMDATA\LOGIC HANDLER\SET.EXE
czoo
restart

4) Сделайте свежий образ автозапуска.

- - - - -Добавлено - - - - -

+

Код:

C:\USERS\СИНХРОФАЗАТРОН\DOWNLOADS\ACTIVATORS_ID2615121IDS1S.EXE

Это загрузчик медиагета https://www.virustotal.com/ru/file/d...c2c3/analysis/ , советую удалить.

**rodnoj** · 12.06.2016, 21:30

проблема сохраняется
1 не удаляется, пишет ошибка вызова- не найден модуль
2 не использую
3 выполнен. карантин вложен
4 готово. снова на файлообменнике
http://rgho.st/6Rzr9qYCN
+
последовал совету удалил

**regist** · 12.06.2016, 22:30

Код:

C:\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\PINHFKAMCKBOGJGMBMDKDEBBBPNMLAEF\1.0.8_0\BAZZ SEARCH

https://chrome.google.com/webstore/d...dkdebbbpnmlaef это расширение сами ставили?

**rodnoj** · 12.06.2016, 22:39

нет. оно тоже лезет вместе с мэйловскими и яндексовскими. пробовал удалять, но появляется снова

**regist** · 12.06.2016, 22:52

1) Выполните скрипт в uVS

Код:

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
BREG
delref %Sys32%\GWX\GWX.EXE
delall HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7BE572A58A-1C97-4076-A340-88593D8E67D1%7D&GP=820483
deldir %SystemDrive%\PROGRAM FILES (X86)\IOBIT\LIVEUPDATE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLMENURIGHT64.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\H_LJREPIO5FD.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\QIFIRYPLOHELE\QIFIRYPLOHELEBUILDERSRV.HTML5
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\AHNPHCMHMHCJJCJHMNNJJLBMAELJECGA\12.0.8_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\EHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI\11.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\GBJEIEKAHKLBGBFCCOHIPINHGAADIJAD\2.0.3.11_0\СТАРТОВАЯ — ЯНДЕКС
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\GDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO\2.0.3.11_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.25_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AHNPHCMHMHCJJCJHMNNJJLBMAELJECGA\12.0.8_0\U041F\U043E\U0438\U0441\U043A MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI\11.0.25_0\U0414\U043E\U043C\U0430\U0448\U043D\U044F\U044F \U0441\U0442\U0440\U0430\U043D\U0438\U0446\U0430 MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\U041F\U043E\U0438\U0441\U043A MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.25_0\U0412\U0438\U0437\U0443\U0430\U043B\U044C\U043D\U044B\U0435 \U0417\U0430\U043A\U043B\U0430\U0434\U043A\U0438 MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\AHNPHCMHMHCJJCJHMNNJJLBMAELJECGA\12.0.8_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\EHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI\11.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.25_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.25_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.25_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.25_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\EHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI\11.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\EHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI\11.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\EHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI\11.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\AHNPHCMHMHCJJCJHMNNJJLBMAELJECGA\12.0.8_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\AHNPHCMHMHCJJCJHMNNJJLBMAELJECGA\12.0.8_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\AHNPHCMHMHCJJCJHMNNJJLBMAELJECGA\12.0.8_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\GDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO\2.0.3.11_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\GDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO\2.0.3.11_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\GDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO\2.0.3.11_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\GDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO\2.0.3.11_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\GBJEIEKAHKLBGBFCCOHIPINHGAADIJAD\2.0.3.11_0\СТАРТОВАЯ — ЯНДЕКС
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\GBJEIEKAHKLBGBFCCOHIPINHGAADIJAD\2.0.3.11_0\СТАРТОВАЯ — ЯНДЕКС
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\GBJEIEKAHKLBGBFCCOHIPINHGAADIJAD\2.0.3.11_0\СТАРТОВАЯ — ЯНДЕКС
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\GBJEIEKAHKLBGBFCCOHIPINHGAADIJAD\2.0.3.11_0\СТАРТОВАЯ — ЯНДЕКС
delall HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHNPHCMHMHCJJCJHMNNJJLBMAELJECGA%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\PINHFKAMCKBOGJGMBMDKDEBBBPNMLAEF\1.0.8_0\BAZZ SEARCH
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\PINHFKAMCKBOGJGMBMDKDEBBBPNMLAEF\1.0.8_0\BAZZ SEARCH
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PINHFKAMCKBOGJGMBMDKDEBBBPNMLAEF\1.0.8_0\BAZZ SEARCH
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG\3.1.4.67_0\U0421\U043E\U0432\U0435\U0442\U043D\U0438\U043A \U042F\U043D\U0434\U0435\U043A\U0441.\U041C\U0430\U0440\U043A\U0435\U0442\U0430
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PCHFCKKCCLDKBCLGDEPKAONAMKIGNANH\2.28.0_0\U0412\U0438\U0437\U0443\U0430\U043B\U044C\U043D\U044B\U0435 \U0437\U0430\U043A\U043B\U0430\U0434\U043A\U0438
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEIDJEEFDDHGEFEPLHDLEGOLDLGIODON\2.0.2.11_1\U041F\U043E\U0438\U0441\U043A \U0438 \U0441\U0442\U0430\U0440\U0442\U043E\U0432\U0430\U044F  \U2013 \U042F\U043D\U0434\U0435\U043A\U0441
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO\2.0.3.11_0\U041F\U043E\U0438\U0441\U043A \U0438 \U0441\U0442\U0430\U0440\U0442\U043E\U0432\U0430\U044F  \U2013 \U042F\U043D\U0434\U0435\U043A\U0441
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GBJEIEKAHKLBGBFCCOHIPINHGAADIJAD\2.0.3.11_0\U0421\U0442\U0430\U0440\U0442\U043E\U0432\U0430\U044F \U2014 \U042F\U043D\U0434\U0435\U043A\U0441
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.11_1\U0421\U0442\U0430\U0440\U0442\U043E\U0432\U0430\U044F \U2014 \U042F\U043D\U0434\U0435\U043A\U0441
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.11_0\U041F\U043E\U0438\U0441\U043A  \U042F\U043D\U0434\U0435\U043A\U0441A
delall %SystemDrive%\USERS\СИНХРОФАЗАТРОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI\2.0.2.11_1\U041F\U043E\U0438\U0441\U043A  \U042F\U043D\U0434\U0435\U043A\U0441A
delref HTTP:\\WWW.MAIL.RU
restart

2) Сделайте свежий лог AdwCleaner-а.

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**rodnoj** · 12.06.2016, 23:27

готово. проблема осталась

**regist** · 12.06.2016, 23:28

4) Профиксите в HiJackThis 2.0.6 Alfa 1.25

Код:

O1 - Hosts: 107.178.255.88 www.google-analytics.com
O1 - Hosts: 107.178.255.88 www.statcounter.com
O1 - Hosts: 107.178.255.88 statcounter.com
O1 - Hosts: 107.178.255.88 ssl.google-analytics.com
O1 - Hosts: 107.178.255.88 partner.googleadservices.com
O1 - Hosts: 107.178.255.88 google-analytics.com
O1 - Hosts: 107.178.248.130 static.doubleclick.net
O1 - Hosts: 107.178.247.130 connect.facebook.net
O1 - Hosts: 107.178.255.88 www.google-analytics.com
O1 - Hosts: 107.178.255.88 www.statcounter.com
O1 - Hosts: 107.178.255.88 statcounter.com
O1 - Hosts: 107.178.255.88 ssl.google-analytics.com
O1 - Hosts: 107.178.255.88 partner.googleadservices.com
O1 - Hosts: 107.178.255.88 google-analytics.com
O1 - Hosts: 107.178.248.130 static.doubleclick.net
O1 - Hosts: 107.178.247.130 connect.facebook.net
O1 - Hosts: 127.0.0.1 down.baidu2016.com
O1 - Hosts: 127.0.0.1 123.sogou.com
O1 - Hosts: 127.0.0.1 www.czzsyzgm.com
O1 - Hosts: 127.0.0.1 www.czzsyzxl.com
O1 - Hosts: 127.0.0.1 union.baidu2019.com
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)

**rodnoj** · 12.06.2016, 23:43

не помогло ((( скоро рассержусь и переустановлю хром или винду ))

китайское приложение и всплывающие окна [not-a-virus:HEUR:RiskTool.Win32.Hidap.gen ] (заявка № 201286)

Опции темы