Здравствуйте! В *.doc и .xls файлах добавлено расширение "vault". При открытии просит выбрать кодировку и открывает иероглифы
Здравствуйте! В *.doc и .xls файлах добавлено расширение "vault". При открытии просит выбрать кодировку и открывает иероглифы
Уважаемый(ая) [B]lombadov[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
QuarantineFile('C:\Program Files\xtab\browerwatchff.dll','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\6E9815C0-1428348732-11DE-946F-00248CE48D27\bnspDF.exe','');
DeleteService('konureno');
DeleteService('beviwojy');
DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\6E9815C0-1428348876-11DE-946F-00248CE48D27\cnsx112.tmp','32');
DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\6E9815C0-1428348891-11DE-946F-00248CE48D27\snse11C.tmp','32');
DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\6E9815C0-1428348732-11DE-946F-00248CE48D27\bnspDF.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck');
DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job','32');
DeleteFile('C:\Program Files\xtab\browerwatchff.dll','32');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
[LIST=1][*]Загрузите GMER по одной из указанных ссылок:
[B][URL="http://www.gmer.net/download.php"]Gmer со случайным именем[/URL][/B] [I](рекомендуется)[/I], [B][URL="http://www.gmer.net/gmer.zip"]Gmer в zip-архиве[/URL][/B] [I](перед применением распаковать в отдельную папку)[/I][*][B]Временно[/B] отключите драйверы эмуляторов дисков.[*]Запустите программу (пользователям [I]Vista/Seven[/I] запускать от имени [B]Администратора[/B] по правой кнопке мыши).[*]Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите [B]No[/B].[*]После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
[LIST][*][B][COLOR="Blue"]Sections[/COLOR][/B][*][B][COLOR="Blue"]IAT/EAT[/COLOR][/B][*][B][COLOR="Blue"]Show all[/COLOR][/B][/LIST][*]Из всех дисков оставьте отмеченным только системный диск (обычно [B]C:\[/B])[*]Нажмите на кнопку [B]Scan[/B] и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите [B]OK[/B].[*]После окончания проверки сохраните его лог (нажмите на кнопку [B]Save[/B]) и вложите в сообщение.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*]Подробную инструкцию читайте в [URL="http://virusinfo.info/showthread.php?t=40118"]руководстве[/URL][/LIST]
[QUOTE=mike 1;1265941][B][COLOR=#FF0000]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе [URL="http://virusinfo.info/forumdisplay.php?f=46"]Лечение компьютерных вирусов[/URL] и выполните [URL="http://virusinfo.info/content.php?r=136-pravila"]Правила оформления запроса о помощи[/URL].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR=#000080]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
QuarantineFile('C:\Program Files\xtab\browerwatchff.dll','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\6E9815C0-1428348732-11DE-946F-00248CE48D27\bnspDF.exe','');
DeleteService('konureno');
DeleteService('beviwojy');
DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\6E9815C0-1428348876-11DE-946F-00248CE48D27\cnsx112.tmp','32');
DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\6E9815C0-1428348891-11DE-946F-00248CE48D27\snse11C.tmp','32');
DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\6E9815C0-1428348732-11DE-946F-00248CE48D27\bnspDF.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck');
DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job','32');
DeleteFile('C:\Program Files\xtab\browerwatchff.dll','32');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR=Blue]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
[LIST=1][*]Загрузите GMER по одной из указанных ссылок:
[B][URL="http://www.gmer.net/download.php"]Gmer со случайным именем[/URL][/B] [I](рекомендуется)[/I], [B][URL="http://www.gmer.net/gmer.zip"]Gmer в zip-архиве[/URL][/B] [I](перед применением распаковать в отдельную папку)[/I][*][B]Временно[/B] отключите драйверы эмуляторов дисков.[*]Запустите программу (пользователям [I]Vista/Seven[/I] запускать от имени [B]Администратора[/B] по правой кнопке мыши).[*]Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите [B]No[/B].[*]После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
[LIST][*][B][COLOR=Blue]Sections[/COLOR][/B][*][B][COLOR=Blue]IAT/EAT[/COLOR][/B][*][B][COLOR=Blue]Show all[/COLOR][/B][/LIST]
[*]Из всех дисков оставьте отмеченным только системный диск (обычно [B]C:\[/B])[*]Нажмите на кнопку [B]Scan[/B] и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите [B]OK[/B].[*]После окончания проверки сохраните его лог (нажмите на кнопку [B]Save[/B]) и вложите в сообщение.[INDENT][SIZE=1][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT]
[*]Подробную инструкцию читайте в [URL="http://virusinfo.info/showthread.php?t=40118"]руководстве[/URL][/LIST]
[/QUOTE]
после выполненных скриптов
Карантин загрузите как просили, а не выкладывайте его в теме.
Сохраните приведённый ниже текст в файл [b]cleanup.bat[/b] в ту же папку, где находится 8m35ux5h.exe случайное имя утилиты (gmer)
[CODE]
8m35ux5h.exe -del service pkuro
8m35ux5h.exe -del file "C:\WINDOWS\system32\qvafp.dll"
8m35ux5h.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pkuro"
8m35ux5h.exe -reboot
[/CODE]
И запустите сохранённый пакетный файл [b]cleanup.bat[/b].
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
[QUOTE=mike 1;1273814]Карантин загрузите как просили, а не выкладывайте его в теме.
Сохраните приведённый ниже текст в файл [B]cleanup.bat[/B] в ту же папку, где находится 8m35ux5h.exe случайное имя утилиты (gmer)
[CODE]
8m35ux5h.exe -del service pkuro
8m35ux5h.exe -del file "C:\WINDOWS\system32\qvafp.dll"
8m35ux5h.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pkuro"
8m35ux5h.exe -reboot
[/CODE]
И запустите сохранённый пакетный файл [B]cleanup.bat[/B].
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.[/QUOTE]
после cleanup
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
[QUOTE=mike 1;1274658]Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"][B]Farbar Recovery Scan Tool[/B][/URL] [IMG]http://i.imgur.com/NAAC5Ba.png[/IMG] и сохраните на Рабочем столе.
[B]Примечание[/B]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[LIST][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [B]Yes[/B] для соглашения с предупреждением.[*]Убедитесь, что под окном [B]Optional Scan[/B] отмечены [I]"List BCD"[/I], [I]"Driver MD5"[/I] и [I]"90 Days Files"[/I].[*]Нажмите кнопку [B]Scan[/B].[*]После окончания сканирования будет создан отчет ([B]FRST.txt[/B]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([B]Addition.txt[/B]). Пожалуйста, прикрепите его в следующем сообщении.[/LIST]
[IMG]http://i.imgur.com/3munStB.png[/IMG][/QUOTE]
после FRST
[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&q={searchTerms}
HKU\S-1-5-21-1957994488-436374069-1177238915-1003\Software\Microsoft\Internet Explorer\Main,default_page_url = http://www.mystartsearch.com/?type=hppp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1957994488-436374069-1177238915-1003 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&ts=1428326857&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1957994488-436374069-1177238915-1003 -> D69F2FBA2A474336AD43A31CE64439EB URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&ts=1428326857&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1957994488-436374069-1177238915-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&ts=1428326857&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1957994488-436374069-1177238915-1003 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&ts=1428326857&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1957994488-436374069-1177238915-1003 -> {26249196-D6E7-42AD-A9E5-0F1B42DC7C75} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&ts=1428326857&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1957994488-436374069-1177238915-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&ts=1428326857&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1957994488-436374069-1177238915-1003 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&ts=1428326857&type=default&q={searchTerms}
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-1957994488-436374069-1177238915-1003 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1428326820&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N
FF NewTab: yafd:tabs
CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hppp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N
CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hppp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N"
CHR DefaultSearchKeyword: Default -> mystartsearch
CHR DefaultSuggestURL: Default ->
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
NETSVC: pkuro -> No Registry Path.
2015-04-07 20:00 - 2015-04-07 20:00 - 00000000 ____D () C:\Documents and Settings\User\Application Data\0V1L2Z2Z1T1I1L1T
2015-04-06 19:33 - 2015-04-23 10:52 - 00000000 ____D () C:\Documents and Settings\User\Application Data\20312
2015-04-06 19:31 - 2015-04-27 16:11 - 00000000 ____D () C:\Documents and Settings\User\Application Data\6E9815C0-1428327071-11DE-946F-00248CE48D27
2015-04-06 19:31 - 2015-04-06 19:31 - 00000000 ____D () C:\Documents and Settings\User\Главное меню\Программы\VOPackage
2015-04-06 19:31 - 2015-04-06 19:31 - 00000000 ____D () C:\Documents and Settings\User\Application Data\VOPackage
2015-04-06 19:27 - 2015-04-27 15:41 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\WindowsMangerProtect
2015-04-06 19:27 - 2015-04-21 12:51 - 00000000 ____D () C:\Program Files\XTab
2015-04-06 19:27 - 2015-04-06 19:27 - 00000000 ____D () C:\Documents and Settings\User\Application Data\mystartsearch
2015-04-06 19:27 - 2015-04-06 19:27 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\IHProtectUpDate
StandardProfile\AuthorizedApplications: [C:\Program Files\360\Total Security\LiveUpdate360.exe] => Enabled:LiveUpdate360
StandardProfile\AuthorizedApplications: [C:\Program Files\360\Total Security\safemon\QHSafeTray.exe] => Enabled:360安全卫士实时保护
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GnuPG]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tnotify]
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
[QUOTE=mike 1;1275020][B][COLOR=#FF0000]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
[LIST][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [B]fixlist.txt[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&q={searchTerms}
HKU\S-1-5-21-1957994488-436374069-1177238915-1003\Software\Microsoft\Internet Explorer\Main,default_page_url = http://www.mystartsearch.com/?type=hppp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1957994488-436374069-1177238915-1003 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&ts=1428326857&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1957994488-436374069-1177238915-1003 -> D69F2FBA2A474336AD43A31CE64439EB URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&ts=1428326857&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1957994488-436374069-1177238915-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&ts=1428326857&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1957994488-436374069-1177238915-1003 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&ts=1428326857&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1957994488-436374069-1177238915-1003 -> {26249196-D6E7-42AD-A9E5-0F1B42DC7C75} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&ts=1428326857&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1957994488-436374069-1177238915-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&ts=1428326857&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1957994488-436374069-1177238915-1003 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N&ts=1428326857&type=default&q={searchTerms}
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-1957994488-436374069-1177238915-1003 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1428326820&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N
FF NewTab: yafd:tabs
CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hppp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N
CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hppp&ts=1428326845&from=cvs&uid=ST3160813AS_9SY2JY3NXXXX9SY2JY3N"
CHR DefaultSearchKeyword: Default -> mystartsearch
CHR DefaultSuggestURL: Default ->
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
NETSVC: pkuro -> No Registry Path.
2015-04-07 20:00 - 2015-04-07 20:00 - 00000000 ____D () C:\Documents and Settings\User\Application Data\0V1L2Z2Z1T1I1L1T
2015-04-06 19:33 - 2015-04-23 10:52 - 00000000 ____D () C:\Documents and Settings\User\Application Data\20312
2015-04-06 19:31 - 2015-04-27 16:11 - 00000000 ____D () C:\Documents and Settings\User\Application Data\6E9815C0-1428327071-11DE-946F-00248CE48D27
2015-04-06 19:31 - 2015-04-06 19:31 - 00000000 ____D () C:\Documents and Settings\User\Главное меню\Программы\VOPackage
2015-04-06 19:31 - 2015-04-06 19:31 - 00000000 ____D () C:\Documents and Settings\User\Application Data\VOPackage
2015-04-06 19:27 - 2015-04-27 15:41 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\WindowsMangerProtect
2015-04-06 19:27 - 2015-04-21 12:51 - 00000000 ____D () C:\Program Files\XTab
2015-04-06 19:27 - 2015-04-06 19:27 - 00000000 ____D () C:\Documents and Settings\User\Application Data\mystartsearch
2015-04-06 19:27 - 2015-04-06 19:27 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\IHProtectUpDate
StandardProfile\AuthorizedApplications: [C:\Program Files\360\Total Security\LiveUpdate360.exe] => Enabled:LiveUpdate360
StandardProfile\AuthorizedApplications: [C:\Program Files\360\Total Security\safemon\QHSafeTray.exe] => Enabled:360安全卫士实时保护
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GnuPG]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tnotify]
[/code][*]Запустите FRST и нажмите один раз на кнопку [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [B]перезагружен[/B].[/LIST]
[/QUOTE]
после [B]fixlist[/B]
Логи в порядке. С расшифровкой не поможем. Как вариант, [url]http://virusinfo.info/showthread.php?t=156188[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\xtab\browerwatchch.dll - [B]not-a-virus:AdWare.Win32.SearchProtect.rw[/B] ( DrWEB: Adware.Mutabaha.119 )[*] c:\program files\xtab\browerwatchff.dll - [B]not-a-virus:AdWare.Win32.SearchProtect.rw[/B] ( DrWEB: Adware.Mutabaha.119 )[/LIST][/LIST]