Компьютер заражен. [not-a-virus:AdWare.Win32.Neoreklami.b, not-a-virus:AdWare.Win32.ELEX.aoj ]

**Ivan86** · 20.01.2017, 12:49

Здравствуйте, нужна помощь так как в последние две недели компьютер ведет себя странно. Браузеры закрываются сами, в них меняется язык, постоянно главной страницей ставится поисковик Amisites, в программных файлах обнаружена куча папок либо с число-буквенными именами, либо с названием программ которые я на компьютер не ставил. Периодически компьютер выдает BSOD, при чем код ошибки всегда разный. До этого в систему попал какой-то китайский антивирусник, притащивший за собой хвост из различного программного мусора. "Китайца" удалось отключить, но "хвосты" в системе похоже остались, ибо все проблемы начались именно после этого. Защитник Windows, постоянно обновляется, раз в два дня.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.01.2017, 12:50

Уважаемый(ая) Ivan86, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 21.01.2017, 16:06

Здравствуйте,

Удалите Advanced SystemCare через установку программ в панели управления.

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 DelBHO('{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}');
 StopService('FirefoxU');
 StopService('Ghostery Storage Server');
 StopService('iThemes5');
 StopService('kywinesu');
 StopService('LiveUpdateSvc');
 StopService('QMUdisk');
 StopService('softaal');
 StopService('SRepairDrv');
 StopService('tsnethlpx64');
 StopService('wfpgameprotect');
 DeleteService('FirefoxU');
 DeleteService('Ghostery Storage Server');
 DeleteService('iThemes5');
 DeleteService('kywinesu');
 DeleteService('LiveUpdateSvc');
 DeleteService('QMUdisk');
 DeleteService('softaal');
 DeleteService('SRepairDrv');
 DeleteService('tsnethlpx64');
 QuarantineFile('C:\Program Files (x86)\400d724a-3780-404c-b8ef-f098e6bd04981483856190\kns400d724a-3780-404c-b8ef-f098e6bd0498.tmpfs','');
 QuarantineFile('C:\Program Files (x86)\amuleC2\ed2k.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll','');
 QuarantineFile('C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe','');
 QuarantineFile('C:\Program Files (x86)\Firefox\browser\components\browsercomps.dll','');
 QuarantineFile('C:\Program Files (x86)\Firefox\freebl3.dll','');
 QuarantineFile('C:\Program Files (x86)\Firefox\lgpllibs.dll','');
 QuarantineFile('C:\Program Files (x86)\Firefox\mozglue.dll','');
 QuarantineFile('C:\Program Files (x86)\Firefox\nss3.dll','');
 QuarantineFile('C:\Program Files (x86)\Firefox\nssckbi.dll','');
 QuarantineFile('C:\Program Files (x86)\Firefox\nssdbm3.dll','');
 QuarantineFile('C:\Program Files (x86)\Firefox\softokn3.dll','');
 QuarantineFile('C:\Program Files (x86)\Firefox\xul.dll','');
 QuarantineFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe','');
 QuarantineFile('C:\Program Files (x86)\Grduseqverther System\local64spl.dll','');
 QuarantineFile('c:\program files (x86)\gubed\gubedzl.dll','');
 QuarantineFile('C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe','');
 QuarantineFile('c:\program files (x86)\lerbentclersury\hhpengine.dll','');
 QuarantineFile('C:\Program Files (x86)\Lerbentclersury\nazat.exe','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17499.219\QMUdisk64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17499.219\TsNetHlpX64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17499.219\Uninst.exe','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv','');
 QuarantineFile('C:\Program Files (x86)\Youtube AdBlock\ftazCqk.exe','');
 QuarantineFile('c:\programdata\winsapsvc\winsap.dll','');
 QuarantineFile('C:\ProgramData\wintools\WintoolUprI.exe','');
 QuarantineFile('C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL','');
 QuarantineFile('C:\Users\Sinot\AppData\Local\Hostinstaller\537740781_monster.exe','');
 QuarantineFile('C:\Users\Sinot\AppData\Local\Temp\7C89.tmp.sys','');
 QuarantineFile('C:\Users\Sinot\AppData\Roaming\ssn\saveup.exe','');
 QuarantineFile('c:\users\sinot\appdata\roaming\ssn\ssn.exe','');
 QuarantineFile('C:\Users\Sinot\AppData\Roaming\WinSnare\WinSnare.dll','');
 DeleteFile('C:\Program Files (x86)\400d724a-3780-404c-b8ef-f098e6bd04981483856190\kns400d724a-3780-404c-b8ef-f098e6bd0498.tmpfs','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll','32');
 DeleteFile('C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe','32');
 DeleteFile('C:\Program Files (x86)\Grduseqverther System\local64spl.dll','32');
 DeleteFile('c:\program files (x86)\gubed\gubedzl.dll','32');
 DeleteFile('C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe','32');
 DeleteFile('c:\program files (x86)\lerbentclersury\hhpengine.dll','32');
 DeleteFile('C:\Program Files (x86)\Lerbentclersury\nazat.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17499.219\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17499.219\softaal64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17499.219\TsNetHlpX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17499.219\Uninst.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv','32');
 DeleteFile('C:\Program Files (x86)\Youtube AdBlock\ftazCqk.exe','32');
 DeleteFile('c:\programdata\winsapsvc\winsap.dll','32');
 DeleteFile('C:\ProgramData\wintools\WintoolUprI.exe','32');
 DeleteFile('C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL','32');
 DeleteFile('C:\Users\Sinot\AppData\Local\Hostinstaller\537740781_monster.exe','32');
 DeleteFile('C:\Users\Sinot\AppData\Roaming\WinSnare\WinSnare.dll','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Fowage Reports" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_Sinot" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Youtube AdBlock2" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Youtube AdBlock" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "WinTOOL" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "{0DF865D4-EBF3-4BB0-BD2D-17D9791F7147}" /F', 0, 15000, true); 
 DeleteFile('C:\WINDOWS\Tasks\Uninstaller_SkipUac_Sinot.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Update Service for Youtube AdBlock.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Update Service for Youtube AdBlock2.job','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WinSnare','EventMessageFile');  
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Sakoly\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSnare\Parameters','ServiceDll');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**Ivan86** · 22.01.2017, 18:33

Снова здравствуйте, все скрипты выполнил, карантин загружаю, лог прикрепил к сообщению.

**Сомнение** · 22.01.2017, 18:41

Удалите все найденное AdwCleaner'ом.
Потребуется перезагрузка компьютера. Лог сформированный после удаления предоставьте в ответном сообщении.

**Ivan86** · 23.01.2017, 02:51

Ну да, не тот отчет прикрепил, извиняюсь. Вот лог после удаления.

SQ · 23.01.2017, 03:21

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Ivan86** · 23.01.2017, 18:43

Что-то при нажатие начать скачивание, перенаправляет на страницу с браузером Амиго.

SQ · 24.01.2017, 09:47

Во всех браузерах?

**Ivan86** · 24.01.2017, 12:23

Только в хроме, однако при повторной попытке скачать перенаправлений больше не было. Вот отчеты.

SQ · 25.01.2017, 00:45

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM\...\Providers\l5x4tf1s: C:\Program Files (x86)\Grduseqverther System\local64spl.dll
ShellExecuteHooks: No Name - {DA8728BE-D0F6-11E6-ACFB-64006A5CFC23} - C:\Users\Sinot\AppData\Roaming\Chusughtcersught\Rohopy.dll -> No File
C:\Program Files (x86)\Grduseqverther System
GroupPolicy: Restriction - Chrome <======= ATTENTION
FF ProfilePath: C:\Users\Sinot\AppData\Roaming\Firefox\Firefox\naweriweentcofise\Profiles\bfgsek1g.default\Profiles\bfgsek1g.default [not found]
FF Keyword.URL: Mozilla\Firefox\Profiles\bfgsek1g.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BB5E86A2E-1621-4350-B622-EF158DE9B7E9%7D&gp=812246
FF Extension: (No Name) - C:\Users\Sinot\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\data [2017-01-08] [not signed]
FF Extension: (No Name) - C:\Users\Sinot\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\defaults [2017-01-08] [not signed]
FF Extension: (supermegabest) - C:\Users\Sinot\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\[email protected] [2016-03-23]
FF Extension: (No Name) - C:\Users\Sinot\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\lib [2017-01-08] [not signed]
FF Extension: (No Name) - C:\Users\Sinot\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\resources [2017-01-08] [not signed]
FF Homepage: Firefox\Firefox\Profiles\bfgsek1g.default -> hxxp://www.amisites.com/?type=hp&ts=1484158093&z=3f043cee0c670d2dad0e496g0z4bezag4zfz9e9o0e&from=archer1028&uid=TOSHIBAXDT01ACA050_Z37PTUPBSXXZ37PTUPBSX
FF Keyword.URL: Firefox\Firefox\Profiles\bfgsek1g.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BB5E86A2E-1621-4350-B622-EF158DE9B7E9%7D&g
OPR Extension: (No Name) - C:\Users\Sinot\AppData\Roaming\Opera Software\Opera Stable\Extensions\khmiehpkiedpkpifcpeplghoibfhhigo [2017-01-08]
R2 wfpgameprotect; C:\Users\Sinot\AppData\Local\Temp\7C89.tmp.sys [31088 2017-01-24] (北京万辰博海文化传播有限公司. ) [File not signed]
2017-01-11 22:58 - 2017-01-20 22:22 - 00000000 ____D C:\Program Files\f09er35s
2017-01-10 23:11 - 2017-01-20 18:20 - 00000000 ____D C:\Program Files\l5x4tf1s
2017-01-08 09:21 - 2017-01-08 09:21 - 07316480 _____ C:\Users\Sinot\AppData\Roaming\agent.dat
2017-01-08 09:21 - 2017-01-08 09:21 - 01938533 _____ C:\Users\Sinot\AppData\Roaming\TampNix.bin
2017-01-08 09:21 - 2017-01-08 09:21 - 01908368 _____ C:\Users\Sinot\AppData\Roaming\Joysanis.tst
2017-01-08 09:21 - 2017-01-08 09:21 - 00278519 _____ C:\Users\Sinot\AppData\Roaming\Softtom.bin
2017-01-08 09:21 - 2017-01-08 09:21 - 00126464 _____ C:\Users\Sinot\AppData\Roaming\noah.dat
2017-01-08 09:21 - 2017-01-08 09:21 - 00070704 _____ C:\Users\Sinot\AppData\Roaming\Config.xml
2017-01-08 09:21 - 2017-01-08 09:21 - 00018432 _____ C:\Users\Sinot\AppData\Roaming\Main.dat
2017-01-08 09:21 - 2017-01-08 09:21 - 00005568 _____ C:\Users\Sinot\AppData\Roaming\md.xml
2017-01-08 09:21 - 2017-01-08 09:20 - 00629760 _____ C:\Users\Sinot\AppData\Roaming\Joysanis.exe
2017-01-08 09:20 - 2017-01-08 15:36 - 00000000 ____D C:\Program Files\CBKC55MOBC
2017-01-08 09:18 - 2017-01-08 15:15 - 00000000 ____D C:\Users\Sinot\AppData\Roaming\Chusughtcersught
2017-01-08 09:17 - 2017-01-08 09:21 - 00000000 ____D C:\Users\Sinot\AppData\Local\Grerksp
2017-01-02 13:17 - 2017-01-02 13:18 - 00000000 ____D C:\Users\Все пользователи\IObit
2017-01-02 13:17 - 2017-01-02 13:18 - 00000000 ____D C:\ProgramData\IObit
2017-01-02 13:17 - 2017-01-02 13:17 - 00000000 ____D C:\Users\Все пользователи\ProductData
2017-01-02 13:17 - 2017-01-02 13:17 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2017-01-02 13:17 - 2017-01-02 13:17 - 00000000 ____D C:\Users\Sinot\AppData\Roaming\ProductData
2017-01-02 13:17 - 2017-01-02 13:17 - 00000000 ____D C:\Users\Sinot\AppData\LocalLow\IObit
2017-01-02 13:17 - 2017-01-02 13:17 - 00000000 ____D C:\ProgramData\ProductData
2017-01-02 13:17 - 2017-01-02 13:17 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2017-01-02 13:16 - 2017-01-02 13:17 - 00000000 ____D C:\Users\Sinot\AppData\Roaming\IObit
2017-01-08 09:21 - 2017-01-08 09:21 - 7316480 _____ () C:\Users\Sinot\AppData\Roaming\agent.dat
2017-01-08 09:16 - 2017-01-08 09:16 - 0023622 _____ () C:\Users\Sinot\AppData\Roaming\aliexpress.ico
2017-01-08 09:16 - 2017-01-08 09:16 - 0099678 _____ () C:\Users\Sinot\AppData\Roaming\booking.ico
2017-01-08 09:21 - 2017-01-08 09:21 - 0070704 _____ () C:\Users\Sinot\AppData\Roaming\Config.xml
2017-01-08 09:16 - 2017-01-08 09:21 - 0016224 _____ () C:\Users\Sinot\AppData\Roaming\InstallationConfiguration.xml
2017-01-08 09:16 - 2017-01-08 09:20 - 0140288 _____ () C:\Users\Sinot\AppData\Roaming\Installer.dat
2017-01-08 09:21 - 2017-01-08 09:20 - 0629760 _____ () C:\Users\Sinot\AppData\Roaming\Joysanis.exe
2017-01-08 09:21 - 2017-01-08 09:21 - 1908368 _____ () C:\Users\Sinot\AppData\Roaming\Joysanis.tst
2017-01-08 09:21 - 2017-01-08 09:21 - 0018432 _____ () C:\Users\Sinot\AppData\Roaming\Main.dat
2017-01-08 09:21 - 2017-01-08 09:21 - 0005568 _____ () C:\Users\Sinot\AppData\Roaming\md.xml
2017-01-08 09:21 - 2017-01-08 09:21 - 0126464 _____ () C:\Users\Sinot\AppData\Roaming\noah.dat
2017-01-08 09:21 - 2017-01-08 09:21 - 0278519 _____ () C:\Users\Sinot\AppData\Roaming\Softtom.bin
2017-01-08 09:21 - 2017-01-08 09:21 - 1938533 _____ () C:\Users\Sinot\AppData\Roaming\TampNix.bin
2017-01-02 13:11 - 2017-01-02 13:11 - 1840640 _____ () C:\Users\Sinot\AppData\Local\Temp\1-20150313-152755.exe
2017-01-08 09:19 - 2017-01-08 09:19 - 0451934 _____ (WeMonetize                                                  ) C:\Users\Sinot\AppData\Local\Temp\1MRLZBN4OE.exe
2017-01-08 09:33 - 2017-01-08 09:33 - 0157635 _____ () C:\Users\Sinot\AppData\Local\Temp\3DBLMYGZZUK.exe
2017-01-02 13:11 - 2017-01-02 13:11 - 0401128 _____ (Mail.Ru) C:\Users\Sinot\AppData\Local\Temp\AmigoDistrib.exe
2017-01-08 09:17 - 2017-01-08 09:17 - 0036864 _____ () C:\Users\Sinot\AppData\Local\Temp\Browser_V6.0.1121.13_r_4727_(Build1612191708).exe
2017-01-08 09:14 - 2017-01-08 09:33 - 0145792 _____ () C:\Users\Sinot\AppData\Local\Temp\downloader.exe
2017-01-08 09:17 - 2017-01-08 09:17 - 1233121 _____ (Cusecebe                                                    ) C:\Users\Sinot\AppData\Local\Temp\E3B9.tmp.exe
2017-01-12 21:20 - 2017-01-12 21:21 - 26883792 _____ () C:\Users\Sinot\AppData\Local\Temp\ins36FC.tmp.exe
2017-01-13 17:18 - 2017-01-21 01:20 - 26645720 _____ () C:\Users\Sinot\AppData\Local\Temp\inst12.exe
2017-01-19 07:44 - 2017-01-19 07:44 - 0739904 _____ (Oracle Corporation) C:\Users\Sinot\AppData\Local\Temp\jre-8u121-windows-au.exe
2017-01-02 13:11 - 2017-01-02 13:11 - 3036376 _____ () C:\Users\Sinot\AppData\Local\Temp\mailruhomesearch.exe
2017-01-02 13:11 - 2016-10-21 15:22 - 4157656 _____ (Mail.Ru) C:\Users\Sinot\AppData\Local\Temp\MailRuUpdater.exe
2016-12-23 13:13 - 2016-02-19 20:50 - 0116803 _____ () C:\Users\Sinot\AppData\Local\Temp\Uninstall.exe
2017-01-02 13:12 - 2017-01-02 13:12 - 2069942 _____ () C:\Users\Sinot\AppData\Local\Temp\ytab_m_1_big.exe
Task: {3604BC37-2BAC-45DD-B77B-51868408268E} - \Microsoft\Windows\Multimedia\ProShopper -> No File <==== ATTENTION
File: C:\Program Files (x86)\MIO\MIO.exe
HKLM\...\StartupApproved\Run32: => "666.exe"
HKLM\...\StartupApproved\Run32: => "ProductUpdater"
HKLM\...\StartupApproved\Run32: => " QQPCTray"
HKU\S-1-5-21-335458787-1979628171-77177552-1001\...\StartupApproved\Run: => "Host Service"
HKU\S-1-5-21-335458787-1979628171-77177552-1001\...\StartupApproved\Run: => "drm.exe"
FirewallRules: [{5DEC1E75-054D-47DA-A53A-39B9EA24F252}] => C:\Users\Sinot\AppData\Local\Temp\QQPCDownload8890537.exe
FirewallRules: [{AACBF583-C9AA-491C-8497-ED06445759AD}] => C:\Users\Sinot\AppData\Local\Temp\QQPCDownload8890537.exe
FirewallRules: [{B243D856-37F9-4C37-80F0-9F2E5B2F4D8E}] => C:\Program Files\UBar\ubar.exe
FirewallRules: [{34210F19-7D92-4C49-9EDA-06CA043345E4}] => C:\Users\Sinot\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{82E596E6-16CD-4814-B146-2B0D8738FE49}] => C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{F28808A4-145E-4D30-A481-657612591D2F}] => C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{24B5C517-4D8B-4216-807B-72EF2F2E9FB1}] => 㩃啜敳獲卜湩瑯䅜灰慄慴剜慯業杮獜湳獜湳攮數
FirewallRules: [{30A14000-F41C-4F97-B88B-E52ADF81B608}] => 㩃啜敳獲卜湩瑯䅜灰慄慴剜慯業杮獜湳獜癡略⹰硥e
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Ivan86** · 25.01.2017, 05:28

сделал

SQ · 25.01.2017, 13:37

Сообщите, что с проблемой?

**Ivan86** · 26.01.2017, 14:44

Спасибо, проблемы больше не наблюдается. Вроде бы все чисто.

SQ · 26.01.2017, 18:34

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

Удачи Вам!

**CyberHelper** · 26.01.2017, 18:44

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 25
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\amulec2\ed2k.exe - Trojan-Downloader.Win32.Eroyee.a
2. c:\program files (x86)\common files\services\ithemes.dll - not-a-virus:AdWare.Win32.ELEX.aoj
3. c:\program files (x86)\youtube adblock\ftazcqk.exe - not-a-virus:AdWare.Win32.Neoreklami.b
4. c:\program files (x86)\400d724a-3780-404c-b8ef-f098e6bd04981483856190\kns400d724a-3780-404c-b8ef-f098e6bd0498.tmpfs - not-a-virus:AdWare.Win32.ConvertAd.bukp
5. c:\users\sinot\appdata\local\hostinstaller\5377407 81_monster.exe - not-a-virus:HEUR:Downloader.Win32.AdLoad.gen

Компьютер заражен. [not-a-virus:AdWare.Win32.Neoreklami.b, not-a-virus:AdWare.Win32.ELEX.aoj ] (заявка № 208333)

Опции темы