Рекламный вирус, который сам устанавливает другие рекламные приложения [not-a-virus:AdWare.Win32.Vitruvian.q, not-a-virus:RiskTool.Win32.GlobalUpdate.dx ]

Здравствуйте! Пробовал лечить утилитами от Доктор Веба и Касперского, но ничего не помогло, точнее, вирусы находил и лечил, но всё равно вирус возвращался. Прошу помощи у специалистов )

Уважаемый(ая) [B]SofB93[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Антивирус китайский Baidu сами устанавливали, в трезвом уме и твёрдой памяти?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\wordsurfer_1.10.0.19\service\wsasvc.exe');
TerminateProcessByName('c:\programdata\2winmanpro2\winmanpro.exe');
TerminateProcessByName('c:\users\Данила\appdata\local\gmsd_ru_005010070\upgmsd_ru_005010070.exe');
TerminateProcessByName('c:\program files\minilite\protectservice.exe');
TerminateProcessByName('c:\program files\9e2914ab-1440310828-e311-9179-208984ff6d37\knsu4b5d.tmp');
TerminateProcessByName('c:\program files\9e2914ab-1440310828-e311-9179-208984ff6d37\jnso2ac7.tmp');
TerminateProcessByName('c:\program files\9e2914ab-1440310828-e311-9179-208984ff6d37\hnsi5fad.tmp');
TerminateProcessByName('c:\program files\gmsd_ru_005010070\gmsd_ru_005010070.exe');
TerminateProcessByName('c:\program files\ciplus-4.5vv24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-6.exe');
TerminateProcessByName('c:\program files\ciplus-4.5vv24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-1-6.exe');
TerminateProcessByName('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe');
SetServiceStart('IHProtect Service', 4);
StopService('globalUpdatem');
StopService('globalUpdate');
StopService('wsasvc_1.10.0.19');
StopService('WindowsMangerProtect');
StopService('nobopevo');
StopService('jimocoso');
StopService('IHProtect Service');
StopService('fimevebo');
QuarantineFile('C:\Program Files\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe', '');
QuarantineFile('C:\Users\Данила\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
QuarantineFile('C:\Program Files\PhraseProfessor_1.10.0.22\Update\PhraseProfessorAutoUpdateClient.exe', '');
QuarantineFile('C:\Program Files\globalUpdate\Update\globalupdate.exe', '');
QuarantineFile('c:\program files\wordsurfer_1.10.0.19\service\wsasvc.exe', '');
QuarantineFile('c:\programdata\2winmanpro2\winmanpro.exe', '');
QuarantineFile('c:\users\Данила\appdata\local\gmsd_ru_005010070\upgmsd_ru_005010070.exe', '');
QuarantineFile('c:\program files\minilite\protectservice.exe', '');
QuarantineFile('c:\program files\9e2914ab-1440310828-e311-9179-208984ff6d37\knsu4b5d.tmp', '');
QuarantineFile('c:\program files\9e2914ab-1440310828-e311-9179-208984ff6d37\jnso2ac7.tmp', '');
QuarantineFile('c:\program files\9e2914ab-1440310828-e311-9179-208984ff6d37\hnsi5fad.tmp', '');
QuarantineFile('c:\program files\gmsd_ru_005010070\gmsd_ru_005010070.exe', '');
QuarantineFile('c:\program files\ciplus-4.5vv24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-6.exe', '');
QuarantineFile('c:\program files\ciplus-4.5vv24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-1-6.exe', '');
QuarantineFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe', '');
DeleteFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.645\baiduprotect.exe', '32');
DeleteFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe', '32');
DeleteFile('c:\program files\ciplus-4.5vv24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-1-6.exe', '32');
DeleteFile('c:\program files\ciplus-4.5vv24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-6.exe', '32');
DeleteFile('c:\program files\gmsd_ru_005010070\gmsd_ru_005010070.exe', '32');
DeleteFile('c:\users\Данила\appdata\local\gmsd_ru_005010070\upgmsd_ru_005010070.exe', '32');
DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\ad.dll', '32');
DeleteFile('C:\Program Files\9E2914AB-1440310828-E311-9179-208984FF6D37\hnsi5FAD.tmp', '32');
DeleteFile('C:\Program Files\MiniLite\ProtectService.exe', '32');
DeleteFile('C:\Program Files\9E2914AB-1440310828-E311-9179-208984FF6D37\jnso2AC7.tmp', '32');
DeleteFile('C:\Program Files\9E2914AB-1440310828-E311-9179-208984FF6D37\knsu4B5D.tmp', '32');
DeleteFile('C:\ProgramData\2WinManPro2\WinManPro.exe', '32');
DeleteFile('C:\Program Files\WordSurfer_1.10.0.19\Service\wsasvc.exe', '32');
DeleteFile('C:\Program Files\globalUpdate\Update\globalupdate.exe', '32');
DeleteFile('C:\Windows\system32\drivers\ppfd_vt_1_10_0_22.sys', '32');
DeleteFile('C:\Windows\Tasks\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-1-6.job', '32');
DeleteFile('C:\Windows\Tasks\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-1-7.job', '32');
DeleteFile('C:\Windows\Tasks\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-10_user.job', '32');
DeleteFile('C:\Windows\Tasks\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-11.job', '32');
DeleteFile('C:\Windows\Tasks\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-3.job', '32');
DeleteFile('C:\Windows\Tasks\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-5.job', '32');
DeleteFile('C:\Windows\Tasks\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-6.job', '32');
DeleteFile('C:\Windows\Tasks\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-7.job', '32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job', '32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job', '32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job', '32');
DeleteFile('C:\Windows\Tasks\Crossbrowse.job', '32');
DeleteFile('C:\Windows\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-1-6.job', '32');
DeleteFile('C:\Windows\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-1-7.job', '32');
DeleteFile('C:\Windows\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-10_user.job', '32');
DeleteFile('C:\Windows\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-3.job', '32');
DeleteFile('C:\Windows\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-5.job', '32');
DeleteFile('C:\Windows\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-5_user.job', '32');
DeleteFile('C:\Windows\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-6.job', '32');
DeleteFile('C:\Windows\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-7.job', '32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job', '32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job', '32');
DeleteFile('C:\Windows\Tasks\HGiRkc4bkCt5AyxS.job', '32');
DeleteFile('C:\Windows\Tasks\W4Qp1tuhx54Ob7.job', '32');
DeleteFile('C:\Program Files\PhraseProfessor_1.10.0.22\Update\PhraseProfessorAutoUpdateClient.exe', '32');
DeleteFile('C:\Users\Данила\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
DeleteFile('C:\Program Files\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\PhraseProfessor Auto Updater 1.10.0.22 Core', '32');
DeleteFile('C:\Windows\system32\Tasks\PhraseProfessor Auto Updater 1.10.0.22 Pending Update', '32');
DeleteService('wsafd_1_10_0_19');
DeleteService('globalUpdatem');
DeleteService('globalUpdate');
DeleteService('wsasvc_1.10.0.19');
DeleteService('WindowsMangerProtect');
DeleteService('nobopevo');
DeleteService('jimocoso');
DeleteService('IHProtect Service');
DeleteService('fimevebo');
DeleteFileMask('c:\program files\crossbrowse', '*', true);
DeleteFileMask('c:\program files\ciplus-4.5vv24.0', '*', true);
DeleteFileMask('c:\program files\wordsurfer', '*', true);
DeleteFileMask('C:\Program Files\globalUpdate', '*', true);
DeleteFileMask('C:\Program Files\AnyProtectEx', '*', true);
DeleteFileMask('C:\Program Files\PhraseProfessor_1.10.0.22', '*', true);
DeleteFileMask('C:\Users\Данила\AppData\Local\SmartWeb', '*', true);
DeleteDirectory('c:\program files\crossbrowse');
DeleteDirectory('c:\program files\ciplus-4.5vv24.0');
DeleteDirectory('c:\program files\wordsurfer');
DeleteDirectory('C:\Program Files\globalUpdate');
DeleteDirectory('C:\Program Files\AnyProtectEx');
DeleteDirectory('C:\Program Files\PhraseProfessor_1.10.0.22');
DeleteDirectory('C:\Users\Данила\AppData\Local\SmartWeb');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "59acf12a-3c64-4be8-ad9c-16dd07bba4c4-1-6" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "59acf12a-3c64-4be8-ad9c-16dd07bba4c4-1-7" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "59acf12a-3c64-4be8-ad9c-16dd07bba4c4-11" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "59acf12a-3c64-4be8-ad9c-16dd07bba4c4-3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "59acf12a-3c64-4be8-ad9c-16dd07bba4c4-5" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "59acf12a-3c64-4be8-ad9c-16dd07bba4c4-6" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "59acf12a-3c64-4be8-ad9c-16dd07bba4c4-7" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP1" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Crossbrowse" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "dffdb9df-27f4-44d4-a069-a27e28f99c3d-1-6" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "dffdb9df-27f4-44d4-a069-a27e28f99c3d-1-7" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "dffdb9df-27f4-44d4-a069-a27e28f99c3d-3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "dffdb9df-27f4-44d4-a069-a27e28f99c3d-5" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "dffdb9df-27f4-44d4-a069-a27e28f99c3d-6" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "dffdb9df-27f4-44d4-a069-a27e28f99c3d-7" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineCore" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineUA" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "PhraseProfessor Auto Updater 1.10.0.22 Core" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "PhraseProfessor Auto Updater 1.10.0.22 Pending Update" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "WordSurfer Auto Updater 1.10.0.19 Core" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "WordSurfer Auto Updater 1.10.0.19 Pending Update" /F', 0, 15000, true);
DelCLSID('{8A69D345-D564-463c-AFF1-A69D9E530F96}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
BC_DeleteSvc('BDSGRTP');
BC_DeleteSvc('fimevebo');
BC_DeleteSvc('jimocoso');
BC_DeleteSvc('nobopevo');
BC_DeleteSvc('WindowsMangerProtect');
BC_DeleteSvc('bd0001');
BC_DeleteSvc('bd0004');
BC_DeleteSvc('BDArKit');
BC_DeleteSvc('BDMWrench');
BC_DeleteSvc('ppfd_vt_1_10_0_22');
BC_DeleteSvc('BAPIDRV');
BC_DeleteSvc('bd0002');
ExecuteRepair(2);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].

Сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/URL].

Сделал, жду дальнейших указаний )

Выполните скрипт в AVZ:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\Данила\appdata\local\gmsd_ru_005010070\upgmsd_ru_005010070.exe');
QuarantineFile('c:\users\Данила\appdata\local\gmsd_ru_005010070\upgmsd_ru_005010070.exe', '');
DeleteFile('C:\Users\Данила\AppData\Local\gmsd_ru_005010070\upgmsd_ru_005010070.exe', '32');
DeleteFile('C:\Windows\Tasks\LklPTerF6V0X5Sl1kKycp.job', '32');
DeleteFile('C:\Windows\Tasks\59acf12a-3c64-4be8-ad9c-16dd07bba4c4-5_user.job', '32');
DeleteFileMask('C:\Users\Данила\AppData\Local\gmsd_ru_005010070', '*', true);
DeleteDirectory('C:\Users\Данила\AppData\Local\gmsd_ru_005010070');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.

Уже на данном этапе ничего не появляется, но раньше времени ликовать не буду, а дождусь Вашего ответа )

Ок, для контроля сделайте такой лог.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

Вот все отчеты )

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
SearchScopes: HKU\S-1-5-21-1260684110-2402507729-2975807239-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=022736d8d027a261448093d5a3123c71&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1260684110-2402507729-2975807239-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=022736d8d027a261448093d5a3123c71&text=
FF DefaultSearchEngine: Поиск@Mail.Ru
FF SelectedSearchEngine: Поиск@Mail.Ru
FF Homepage: hxxp://mail.ru/cnt/10445?gp=openpart3
FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
FF Plugin HKU\S-1-5-21-1260684110-2402507729-2975807239-1000: @mail.ru/GameCenter -> C:\Users\Данила\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll No File
FF Extension: Поиск@Mail.Ru - C:\Users\Данила\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-08-23]
CHR Extension: (CiPlus-4.5vV24.08) - C:\Users\Данила\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-08-24]
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - https://clients2.google.com/service/update2/crx
OPR Extension: (No Name) - C:\Users\Данила\AppData\Roaming\Opera Software\Opera Stable\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-08-24]
S3 458753879510EDE4; \??\c:\users\данила\appdata\local\temp\5558638011.sys [X]
S3 458753BDBA844CEE; \??\c:\users\данила\appdata\local\temp\9A98E35.sys [X]
S3 458753BE0709E86E; \??\c:\users\данила\appdata\local\temp\A6FBC4B.sys [X]
2015-08-24 18:55 - 2015-08-24 18:55 - 00000000 ____D C:\Program Files\c21a291d-033d-4bd9-ab79-8e0b67eb445b
2015-08-24 18:54 - 2015-08-24 18:55 - 00000000 ____D C:\Program Files\CiPlus-4.5vV24.08
2015-08-24 18:45 - 2015-08-25 11:40 - 00000000 ____D C:\ProgramData\2WinManPro2
2015-08-24 17:13 - 2015-08-24 17:13 - 00000000 ____D C:\ProgramData\gWinManProg
2015-08-24 17:12 - 2015-08-24 22:23 - 00000000 ____D C:\Program Files\gmsd_ru_005010070
2015-08-24 15:46 - 2015-08-24 15:47 - 00000000 ____D C:\ProgramData\QWinManProQ
2015-08-24 15:29 - 2015-08-24 18:07 - 00000000 ____D C:\Program Files\c3b33406-0ed8-4dac-aec8-542a7083eb5d
2015-08-24 09:18 - 2015-08-25 11:36 - 00000000 ____D C:\ProgramData\update
2015-08-24 09:18 - 2015-08-24 14:51 - 00000000 ____D C:\ProgramData\DWinManProD
2015-08-24 09:18 - 2015-08-24 09:18 - 00000000 _____ C:\Windows\prleth.sys
2015-08-24 09:18 - 2015-08-24 09:18 - 00000000 _____ C:\Windows\hgfs.sys
2015-08-23 10:20 - 2015-08-25 11:40 - 00000000 ____D C:\Program Files\9E2914AB-1440310828-E311-9179-208984FF6D37
2015-08-23 10:18 - 2015-08-23 19:28 - 00000000 ____D C:\Program Files\gmsd_ru_025010068
2015-08-23 10:14 - 2015-08-24 13:56 - 00000000 ____D C:\Program Files\UBar
2015-08-14 22:52 - 2015-08-14 22:52 - 00048528 _____ (PhraseProfessor) C:\Windows\system32\Drivers\ppfd_vw_1_10_0_22.sys
2015-04-19 16:20 - 2015-04-19 16:20 - 0005872 _____ () C:\Users\Данила\AppData\Roaming\HGiRkc4bkCt5AyxS
2015-04-20 18:05 - 2015-04-20 18:05 - 1579520 _____ () C:\Users\Данила\AppData\Roaming\HGiRkc4bkCt5AyxS.exe
2015-04-19 16:20 - 2015-04-19 16:20 - 0005872 _____ () C:\Users\Данила\AppData\Roaming\LklPTerF6V0X5Sl1kKycp
2015-04-20 18:05 - 2015-04-20 18:05 - 1579520 _____ () C:\Users\Данила\AppData\Roaming\LklPTerF6V0X5Sl1kKycp.exe
2015-04-19 16:20 - 2015-04-19 16:20 - 0005872 _____ () C:\Users\Данила\AppData\Roaming\W4Qp1tuhx54Ob7
2015-08-24 15:46 - 2015-08-24 18:45 - 0000124 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
FirewallRules: [{071F8AB4-C941-4B39-8EB8-A02723934D1E}] => (Allow) C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{72F93DF5-158A-4012-978C-F76E04B9F0EA}] => (Allow) C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{09FDCBC7-E67A-45CF-8F17-431233E6DCC8}] => (Allow) C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{AE43EFEA-BBAD-47A6-8455-B4F3F94EAEF1}] => (Allow) C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{A7CA836B-E495-4315-AD52-635DA767F79F}] => (Allow) C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.[U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Выполнил )

Удалите папку C:\FRST со всем содержимым.

Запустите AdwCleaner и нажмите [B]Uninstall[/B].

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].

Спасибо большое за помощь, всё помогло )

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]45[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\ciplus-4.5vv24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-1-6.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.Iz1@kCMwd0pi )[*] c:\program files\ciplus-4.5vv24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-6.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.Ez1@kSOOiZai )[*] c:\program files\globalupdate\update\globalupdate.exe - [B]not-a-virus:RiskTool.Win32.GlobalUpdate.dx[/B][*] c:\program files\gmsd_ru_005010070\gmsd_ru_005010070.exe - [B]not-a-virus:AdWare.Win32.Eorezo.afob[/B][*] c:\program files\wordsurfer_1.10.0.19\service\wsasvc.exe - [B]not-a-virus:AdWare.Win32.Vitruvian.q[/B][/LIST][/LIST]