Нужно долечить компьютер. Китайский вирус.

**indi** · 28.09.2016, 21:26

Добрый день.
На компе был наплыв китайских вирусов - браузер, часы, архиватор и т.д.

Прошелся mbam-ом, AVZ, ZoneAlar-ом, в безопасном режиме - CureIt, вручную остановил несколько вирусных китайских служб, вычистил папки Temp, Tasks, Profiles (из мозиллы), удалил вирусные драйвера из папок inf и system32/drivers. Компьютер вроде работает, левых процессов не вижу.

Остались "следы": остановленные, но неудалившиеся службы с китайским описанием, китайское описание типов файлов (например, архивов). Ну и всякие мелочи, типа неправильных ярлыков на рабочем столе и т.п. Помогите, пожалуйста, долечить.

У меня подозрение, что стартом "атаки" стала автоматическая загрузка каких-то драйверов nvidia (по времени подходит). По крайней мере, две папки в Program Files "NVidia" и "NVIDIA corporation" меня очень смущают. Хозяйка ноутбука говорит, заражение пошло на ровном месте, при посещении сайта, с которого моя собственная жена смотрит сериалы уже пару месяцев без всяких вирусов (хотел написать адрес сайта, но выглядело бы как реклама).

Спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.09.2016, 21:27

Уважаемый(ая) indi, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 29.09.2016, 16:10

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

- сделайте лог Check Browsers' LNK by Dragokas & regist.

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.

**indi** · 30.09.2016, 21:56

При выполнении скрипта AVZ было очень много ошибок карантина. Это нормально?
AdvCleaner что-то нашел, "очистить" не нажимал (не было в инструкции).

Ссылка на отчет по карантину: http://virusinfo.info/virusdetector/...F4973EE3BAECBC

Полный образ автозапуска напрямую сюда не влез, загрузил на яндекс:
https://yadi.sk/d/YtLXD50lvxgjT

**regist** · 01.10.2016, 14:38

Html5 geolocation provider - деинсталируйте.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

https://chrome.google.com/webstore/d.../reviews?hl=ru - это расширение сами ставили?
А также это https://chrome.google.com/webstore/d...dchpmjhkeendl/

Выполните скрипт в uVS

Код:

;uVS v3.87.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
BREG
zoo %SystemDrive%\USERS\CHINGIZ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\UC浏览器.LNK
bl DBCBFA80D9A0FF92BCAD54055061FFA8 1544
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\UC浏览器.LNK
deldir %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\APPLICATION
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\BGKNPFANCPEAMEJMCOOEDLJJNADDLDHG\7.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GDKNICMNHBAAJDGLBINPAHHAPGHPAKCH\1.0.5_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGKNPFANCPEAMEJMCOOEDLJJNADDLDHG\2.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PLDBIENODKPGKCCOCELIDINMCIEDJDOK\1.0.1_0\ДОМАШНЯЯ СТРАНИЦА – MAIL.RU
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.25_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.1_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JGGBJBMNFMIPGCANIDAMJFPECHDEEKOI\1.0.2_0\ПОИСК@MAIL.RU
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PBAMGGCAIFOKMLMFIKEAJINPPPKICFNE\2.91_0\ЦЕНЫ КОНКУРЕНТОВ
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.30_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.30_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC\2.9.1_0\«ВИЗУАЛЬНЫЕ ЗАКЛАДКИ» ОТ ЯНДЕКСА
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC\2.9.1_0\«ВИЗУАЛЬНЫЕ ЗАКЛАДКИ» ОТ ЯНДЕКСА
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGKNPFANCPEAMEJMCOOEDLJJNADDLDHG%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
zoo %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\TEMP\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC.CRX
bl 623ECC7C14AF79D192637FD078E583CB 964913
delall %SystemDrive%\USERS\CHINGIZ\APPDATA\LOCAL\TEMP\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC.CRX
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
czoo
restart

Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
В меню Tools ->Options (Инструменты ->Настройки) отметьте:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

**indi** · 02.10.2016, 16:49

https://chrome.google.com/webstore/d.../reviews?hl=ru - это расширение сами ставили?
А также это https://chrome.google.com/webstore/d...dchpmjhkeendl/

Хозяйка говорит, ничего не ставила. Я в списке расширений таких не вижу, соответственно - удалить не могу.
ClearLink сделал, скрипт выполнил uVS, Html5 geolocation provider деинсталлировал.
При попытке единым махом очистить все в AdwCleaner - зависал намертво на этапе "удаление служб", пробовал раза 3, ждал по часу. В итоге сделал в 3 этапа - удалил все КРОМЕ служб, перезагрузился, удалил все службы (и записи реестра), кроме UCGuard, перезагрузился, удалил службу UCGuard и еще 4 записи реестра. Поэтому вместо 1 лога получилось 3.

Что в остатке: описание архивов до сих пор иероглифами (возможно, еще какие-нибудь типы файлов пострадали). В AdwCleaner осталась 1 угроза, которая не удаляется (запись реестра, после рестарта появляется снова). Лог приложил (который [S6]).
При запуске Chrome выдал мне, что установлено расширение Mail.ru, и некоторые настройки были изменены сторонней программой. До этого 2-3 дня работал нормально.

П.С. Прочитал еще раз инструкцию, понял, что забыл поставить галочки на Сброс политик IE и Chrome. Сделал.

У меня вопрос - может, проще (и быстрее) будет с нуля новую систему поставить, чем эту вылечить?

**regist** · 02.10.2016, 21:55

Свежий лог uVS сделайте.

**indi** · 03.10.2016, 01:35

Свежий лог uVS сделайте.

https://yadi.sk/d/dWe16I6tw6dVd

**regist** · 03.10.2016, 08:55

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**indi** · 03.10.2016, 12:05

Сделано

**regist** · 03.10.2016, 17:31

1) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} =>  No File
BHO: No Name -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File
BHO-x32: No Name -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-2804603751-3827288649-2823569176-1000 -> No Name - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} -  No File
Toolbar: HKU\S-1-5-21-2804603751-3827288649-2823569176-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Toolbar: HKU\S-1-5-21-2804603751-3827288649-2823569176-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-2804603751-3827288649-2823569176-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
FF Plugin-x32: @altergeo.ru/Html5loc -> C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\npHtml5loc.dll [No File]
FF Plugin HKU\S-1-5-21-2804603751-3827288649-2823569176-1000: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File]
CHR Extension: (Blur) - C:\Users\Chingiz\AppData\Local\Google\Chrome\User Data\Default\Extensions\epanfjkfahimkgomnigadpkobaefekcd [2016-09-01]
CHR Extension: (Fast search v3.5) - C:\Users\Chingiz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ooppbnomdcjmoepangldchpmjhkeendl [2016-09-14]
CHR Extension: () - C:\Users\Chingiz\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbamggcaifokmlmfikeajinpppkicfne [2016-10-01]
CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx
S4 Aracity; C:\Program Files (x86)\Rcoplgury\RepacooleiedCch.dll [X]
NETSVCx32: HpSvc -> no filepath.
2016-09-15 00:01 - 2016-09-15 00:37 - 00000000 ____D C:\Program Files (x86)\IObit
2016-09-15 00:01 - 2016-09-15 00:27 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-09-15 00:01 - 2016-09-15 00:27 - 00000000 ____D C:\ProgramData\IObit
2016-09-15 00:01 - 2016-09-15 00:03 - 00000000 ____D C:\Users\Chingiz\AppData\Roaming\IObit
2016-09-15 00:01 - 2016-09-15 00:03 - 00000000 ____D C:\Users\Chingiz\AppData\LocalLow\IObit
Google Update Helper (x32 Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (x32 Version: 1.3.31.5 - Google Inc.) Hidden
Task: {0CACE5C3-621D-49BF-A704-DF68591A5E0F} - \{A202B516-4965-41EA-93B9-1FB7C1C74EAE} -> No File <==== ATTENTION
Task: {2CE69602-ADB3-4C34-8922-E6B18DD0928F} - \Microsoft\Windows Defender\MP Scheduled Scan -> No File <==== ATTENTION
Task: {34F51577-CCAB-4E64-A267-48AB3E9636A2} - \AVAST Software\Avast settings backup -> No File <==== ATTENTION
Task: {42ABE094-05AD-4A90-8AED-2C1E24722A3E} - \Microsoft\Office\OfficeTelemetryAgentLogOn -> No File <==== ATTENTION
Task: {62C20D02-E0DB-4BC7-B522-D0931D0ABC0D} - \avastBCLRestartS-1-5-21-2804603751-3827288649-2823569176-1000 -> No File <==== ATTENTION
Task: {6FD1EEB0-FD28-4AE8-9715-754DD8A082B1} - \Microsoft\Office\OfficeTelemetryAgentFallBack -> No File <==== ATTENTION
Task: {72E63DF2-A2A5-4E92-803C-EE2F31758D59} - \Adobe Flash Player Updater -> No File <==== ATTENTION
Task: {7469120D-50A2-491F-BB70-D9BEE85C45CE} - \{12A63EAA-FEAC-4771-80A4-2CBED9B5E102} -> No File <==== ATTENTION
Task: {791DBB68-1FEE-4B18-BFC9-EDA716B24CF3} - \SidebarExecute -> No File <==== ATTENTION
Task: {B00B89F1-4E5E-48A1-94C2-60803EB67C90} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
Task: {B5C06796-6EE3-4A0C-BDD7-49AFF4B231D8} - \Driver Booster SkipUAC (Chingiz) -> No File <==== ATTENTION
Task: {BE3F662E-7FDE-4D5E-A732-69CD11447BFB} - \SearchAY -> No File <==== ATTENTION
Task: {DEB9E94D-6B88-4704-AF2D-024A7BDFDCC3} - \CCleanerSkipUAC -> No File <==== ATTENTION
Task: {F5079FE9-2438-48FA-8955-AC92C8D1D8F9} - \{54538A1C-8267-4A28-82AE-92010605AB03} -> No File <==== ATTENTION
Task: {FC1C5741-B8A4-4683-B5A7-0BD16C343744} - \Microsoft\Office\Office 15 Subscription Heartbeat -> No File <==== ATTENTION
Task: {FDF28495-3F06-4B00-8A52-92C4A8D65701} - \Adobe Acrobat Update Task -> No File <==== ATTENTION
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\Англ.LNK -> G:\Англ (No File) <===== Cyrillic
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\Краснознаменск 413 МР 7-3.ppt.LNK -> D:\UserTemp\IswTmp\DwlRun\Краснознаменск 413 МР 7-3.ppt (No File) <===== Cyrillic
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\Список публикаций Ковальчук.doc.LNK -> G:\Список публикаций Ковальчук.doc (No File) <===== Cyrillic
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\Список публикаций_2011-2015.doc.LNK -> G:\Список публикаций_2011-2015.doc (No File) <===== Cyrillic
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\текст для рассылки 2.doc.LNK -> C:\Users\Chingiz\ШКОЛА2016\текст для рассылки 2.doc () <===== Cyrillic
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\топик.docx.LNK -> G:\Англ\топик.docx (No File) <===== Cyrillic
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\ф-3 по шифр97-973 на 10.10. 2013г.ppt.LNK -> D:\UserTemp\IswTmp\DwlRun\ф-3 по шифр97-973 на 10.10. 2013г.ppt (No File) <===== Cyrillic
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\ф-3 по шифр97-973 на 30.10. 2013г.ppt.LNK -> D:\UserTemp\IswTmp\DwlRun\ф-3 по шифр97-973 на 30.10. 2013г.ppt (No File) <===== Cyrillic
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\фотоотчёт на 7.08.13 г..ppt.LNK -> D:\UserTemp\IswTmp\DwlRun\фотоотчёт на 7.08.13 г..ppt (No File) <===== Cyrillic
AlternateDataStreams: C:\Users\Chingiz\Фото_35х45.jpeg:3or4kl4x13tuuug3Byamue2s4b [83]
AlternateDataStreams: C:\Users\Chingiz\Фото_35х45.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Chingiz\Фото_35х45.jpeg.jpeg:3or4kl4x13tuuug3Byamue2s4b [83]
AlternateDataStreams: C:\Users\Chingiz\Фото_35х45.jpeg.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
MSCONFIG\startupreg: 8L69M9GG5N => "C:\Program Files (x86)\DPower\OOFREWWQ0V.exe"
MSCONFIG\startupreg: AlterGeoUpdater => C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\html5locsvc.exe
MSCONFIG\startupreg: app => C:\Program Files (x86)\sbqh\uc.exe
MSCONFIG\startupreg: MAgent => C:\Users\Chingiz\AppData\Roaming\Mail.Ru\Agent\magent.exe -CU
MSCONFIG\startupreg: PLFSetI => C:\Windows\PLFSetI.exe
MSCONFIG\startupreg: Pritc => D:\UserTemp\00030951\casrss.exe
MSCONFIG\startupreg: win_en_77 => "C:\Program Files (x86)\win_en_77\win_en_77.exe"
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

2)

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Chingiz\Links\RecentPlaces.lnk', '');
 QuarantineFile('C:\Users\Chingiz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\Monopoly 3T.lnk', '');
 QuarantineFile('C:\Users\Chingiz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\Monopoly 3™.lnk', '');
 QuarantineFile('C:\Users\Chingiz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\PharaohT.lnk', '');
 QuarantineFile('C:\Users\Chingiz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\Pharaoh™.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

3) WinRAR 4.00 бета 7 - давно 5-я версия WinRar зарелизена и 4-й не умеет открывать Rar5 так что установите свежую версию WinRar и отпишитесь, что с проблемой?

**indi** · 03.10.2016, 23:54

Все сделал.
Я не заметил чего-либо мешающего работе. Разве что некоторые типы файлов все еще остались с китайским описанием. Но я даже не знаю что это за типы. И все цифровые типы (вроде .001, .002 и т.д) тоже. Можно я их просто поудаляю из реестра, задав поиск по первому иероглифу? Или это что-то нужное?

FileTypes.jpg

**regist** · 04.10.2016, 11:09

Часть из этих ассоциаций нужны. Лучше если есть возможность сделать экспорт этих веток с аналогичной системы и импортировать на этой системе.
Или ещё лучше поискать эталонные твики для восстановления ассоциаций этих типов файлов.

папку C:\FRST удалите.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

**indi** · 05.10.2016, 00:59

Установил все рекомендованные патчи (их оказалось не слишком много - 3 заплатки от Майкрософт, и 2 от Адоба).
В рекомендациях еще - установить новый IE и включить UAC.
Можно обойтись без установки IE? Его ж все равно надо постоянно обновлять, вряд ли хозяйка будет это делать. Может, есть возможность его как-то заблокировать? Им все равно никто не пользуется.

А по лечению - все работает как надо, спасибо огромное!