При установке Pdf_reader также установились: Амиго, Захар и проч. комп стал жутко тормозить ...

**xen87** · 14.01.2017, 12:12

Здравствуйте, уважаемая команда ВирусИнфо!!!
При установке Pdf reader обнаружил много лишнего: Амиго + Захар (Zaxar) + еще какая-то хрень.
Компьютер стал ужасно тормозить + полезла видео реклама + открываются новые вкладки в ГуглХроме- я аж посидел ((
Средствами удаления виндовс снес только Амиго. Захара удалил, вроде, Unloker-ом, но может что-то и осталось.
С компьютером я на "Вы", поэтому окончательно добить эту нечисть собственными силами у меня не получится.
Посмотрите пожалуйста, логи прикладываю.

Заранее большое спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.01.2017, 12:13

Уважаемый(ая) xen87, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 17.01.2017, 18:43

Выполните скрипт в AVZ

Код:

begin
 QuarantineFile('C:\Windows\RearmTask.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

**xen87** · 17.01.2017, 19:44

Здравствуйте, большое Вам спасибо за отклик!
Карантин выслал по "красной" ссылке.
Обнаружил еще "косяки": в веб-браузере переадресацию с одной страницы на другую, лезет контекстная реклама, некоторые слова в тексте превращаются в ссылки и т.д.

**thyrex** · 17.01.2017, 22:25

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**xen87** · 17.01.2017, 23:17

Еще раз, большое Вам спасибо!
Выполнил Вашу инструкцию, файлы прикрепил к сообщению.

**thyrex** · 19.01.2017, 23:13

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKU\S-1-5-21-1880275123-387798371-2054310131-1003\...\MountPoints2: {8636fe7a-859b-11df-8fab-b0bb030d230d} - lavica\\lovokradica.exe
Toolbar: HKU\S-1-5-21-1880275123-387798371-2054310131-1003 -> No Name - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} -  No File
CHR Plugin: (Native Client) - C:\Users\user\AppData\Local\Google\Chrome\Application\49.0.2623.112\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Users\user\AppData\Local\Google\Chrome\Application\49.0.2623.112\pdf.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Users\user\AppData\Local\Google\Chrome\Application\49.0.2623.112\gcswf32.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Windows\system32\Macromed\Flash\NPSWF32.dll => No File
CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 8.0\Reader\Browser\nppdf32.dll => No File
CHR Plugin: (Java(TM) Platform SE 6 U12) - C:\Program Files\Java\jre6\bin\new_plugin\npdeploytk.dll => No File
CHR Plugin: (Java(TM) Platform SE 6 U17) - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll => No File
HKU\S-1-5-21-1880275123-387798371-2054310131-1003\...\ChromeHTML: -> C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) <==== ATTENTION
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{00b02060-f1f7-492d-a778-d4d2713fabd8}\InprocServer32 -> C:\Users\user\AppData\Local\Temp\v8_88AC_1f.tmp => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.21.135\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.21.99\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.21.57\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.25.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.27.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.21.69\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{2967905f-ecf3-409f-8019-25b5fccfe72b}\InprocServer32 -> C:\Users\user\AppData\Local\Temp\v8_88AC_1f.tmp => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{299d01f2-df53-4711-8286-1d450e29df33}\InprocServer32 -> C:\Users\user\AppData\Local\Temp\v8_88AC_1f.tmp => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.2.183.39\goopdate.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.21.79\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.23.9\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.30.3\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.31.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.28.1\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.21.145\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.21.123\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.21.153\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.28.13\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.29.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.24.15\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.22.3\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.21.165\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.26.9\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.21.115\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{cbb584c0-d082-4ea4-930f-1a395092c8fa}\InprocServer32 -> C:\Users\user\AppData\Local\Temp\v8_88AC_1f.tmp => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.29.1\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{ce3cc09b-5e51-47fe-88e6-ca2068d12657}\InprocServer32 -> C:\Users\user\AppData\Local\Temp\v8_88AC_1f.tmp => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.25.11\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.28.15\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{DB25D157-76D4-41C1-97B5-359E4A4CECEB}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.21.65\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.22.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.21.111\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1003_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.24.7\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1004_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> C:\Users\postgres\AppData\Local\Google\Update\1.3.21.57\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1004_Classes\CLSID\{22181302-A8A6-4F84-A541-E5CBFC70CC43}\localserver32 -> "C:\Users\user\AppData\Local\Google\Update\1.3.21.57\GoogleUpdateOnDemand.exe" => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1004_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\postgres\AppData\Local\Google\Update\1.2.183.39\goopdate.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1004_Classes\CLSID\{2F0E2680-9FF5-43C0-B76E-114A56E93598}\localserver32 -> "C:\Users\user\AppData\Local\Google\Update\1.3.21.57\GoogleUpdateOnDemand.exe" => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1004_Classes\CLSID\{51F9E8EF-59D7-475B-A106-C7EA6F30C119}\localserver32 -> "C:\Users\user\AppData\Local\Google\Update\1.3.21.57\GoogleUpdateOnDemand.exe" => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1004_Classes\CLSID\{C3101A8B-0EE1-4612-BFE9-41FFC1A3C19D}\InprocServer32 -> C:\Users\postgres\AppData\Local\Google\Update\1.3.21.57\npGoogleUpdate3.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1004_Classes\CLSID\{C442AC41-9200-4770-8CC0-7CDB4F245C55}\InprocServer32 -> C:\Users\postgres\AppData\Local\Google\Update\1.3.21.57\npGoogleUpdate3.dll => No File
CustomCLSID: HKU\S-1-5-21-1880275123-387798371-2054310131-1004_Classes\CLSID\{E67BE843-BBBE-4484-95FB-05271AE86750}\localserver32 -> "C:\Users\user\AppData\Local\Google\Update\1.3.21.57\GoogleUpdateOnDemand.exe" => No File
FirewallRules: [{42E8489C-B12F-4306-BAE3-F61FB9BB42F3}] => C:\Users\user\AppData\Local\Amigo\Application\amigo.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**xen87** · 19.01.2017, 23:49

Доброй ночи!
Инструкцию выполнил
Лог приложил к сообщению.

**thyrex** · 20.01.2017, 20:17

Что с проблемой?

**xen87** · 23.01.2017, 12:34

Сообщение от thyrex

Что с проблемой?

Извините, что оперативно не отвечал - не было интернета.

К сожалению проблема осталась: контекстная реклама по-прежнему лезет + открываются вкладки с "вулканом", а также некоторые слова превращаются в гиперссылки.

**regist** · 23.01.2017, 16:01

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.

**xen87** · 23.01.2017, 19:15

Сообщение от regist

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.

Спасибо за отклик!
Инструкцию выполнил, файл-отчет приложил к письму.

**regist** · 23.01.2017, 19:50

Код:

Viewpoint Media Player (Remove Only) [2009/07/05 13:10:33]-->C:\Program Files\Viewpoint\Viewpoint Media Player\mtsAxInstaller.exe -u

Эта программа вам знакома?

+ это ?

Код:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AkelPad.lnk

**xen87** · 23.01.2017, 20:34

Сообщение от regist

Код:

Viewpoint Media Player (Remove Only) [2009/07/05 13:10:33]-->C:\Program Files\Viewpoint\Viewpoint Media Player\mtsAxInstaller.exe -u

Эта программа вам знакома?

+ это ?

Код:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AkelPad.lnk

С большей долей вероятности я не знаю эти программы.
От AkelPad.lnk - имеется только ярлык, по ее местоположению (куда он ссылается) я ничего не нашел.
В Viewpoint Media Player - смущает дата создания - 2009 год, если я ее и устанавливал в том году, то давно не пользовался.
Вердикт - не знакомы!

**regist** · 23.01.2017, 21:12

Сообщение от xen87

В Viewpoint Media Player - смущает дата создания - 2009 год, если я ее и устанавливал в том году, то давно не пользовался.
Вердикт - не знакомы!

деинсталируйте тогда её, потом

Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
В меню Tools ->Options (Инструменты ->Настройки) отметьте:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

**xen87** · 23.01.2017, 23:14

Сообщение от regist

деинсталируйте тогда её, потом

видимо AdwCleaner ее убил, т.к. в ПрограммФайлс ее нет.

Лог прикладываю к сообщению.

П.С. Видимых изменений, к сожалению, нет: контекстная реклама продолжает лезть + некоторые слова превращаются в ссылки.

**regist** · 24.01.2017, 19:16

Сделайте свежий лог AdwCleaner-а.

скачайте отсюда Оперу и проверьте проблему в ней.

**xen87** · 24.01.2017, 20:18

Сообщение от regist

Сделайте свежий лог AdwCleaner-а.

скачайте отсюда Оперу и проверьте проблему в ней.

ЛОг-файл приложил к письму.
Оперу скачал, потестил, контекстной рекламы (и проч.) не обнаружил. В целом ведет себя "правильно".

**regist** · 24.01.2017, 22:03

Пожалуйста, запустите adwcleaner.exe
Нажмите File (Файл) Uninstall (Деинсталлировать).
Подтвердите удаление нажав кнопку: Да.

Отключите все расширения в браузере и проверяйте проблему.

**xen87** · 24.01.2017, 22:55

Сообщение от regist

Отключите все расширения в браузере и проверяйте проблему.

Отключил в Хроме все расширения: friGate и Tampermonkey 4.2.7. Первое устанавливал сам, а второе появилось без моего желания/ведома.
И ура, в хроме пропала контекстная реклама, гиперссылки по тексту, а также переадрессация на "левые" странички!

Большое спасибо Вам и Вашим коллегам за помощь!!! И простите за то, что отнимал у Вас время.

П.С. как я понимаю, Tampermonkey 4.2.7 - нужно обязательно удалить?

При установке Pdf_reader также установились: Амиго, Захар и проч. комп стал жутко тормозить ... (заявка № 208077)

Опции темы