В браузерах запускается searchi-fps c рекламой. [not-a-virus:AdWare.Win32.ConvertAd.azh, not-a-virus:AdWare.Win32.ConvertAd.azi ]

Printable View

27.09.2015, 17:41
Gorkavchenko

В браузерах запускается searchi-fps c рекламой. [not-a-virus:AdWare.Win32.ConvertAd.azh, not-a-virus:AdWare.Win32.ConvertAd.azi ]

При открытии всех браузеров идет запуск searchi-fps.ru и затем загружаются различные сайты. Чаще всего загружается vulcanno.com.
27.09.2015, 17:43
Info_bot

Уважаемый(ая) [B]Gorkavchenko[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
27.09.2015, 18:53
Gorkavchenko

softwareinstalldone.com тоже стал преследовать.
28.09.2015, 15:52
Gorkavchenko

Отмечено - Прислать запрошенный карантин.
Какие файлы не указано.
28.09.2015, 18:54
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Gorkavchenko\AppData\Local\Hostinstaller\2626170177_monster.exe','');
QuarantineFile('C:\Users\Gorkavchenko\AppData\Local\foryougain\stub.exe','');
QuarantineFile('C:\Users\Gorkavchenko\AppData\Local\foryougain\config.json','');
QuarantineFile('C:\ProgramData\Browsers\browser6.bat','');
QuarantineFile('C:\ProgramData\Browsers\browser0.bat','');
QuarantineFile('C:\Windows\system32\drivers\contentdefenderdrv.sys','');
SetServiceStart('contentdefenderdrv', 4);
DeleteService('contentdefenderdrv');
SetServiceStart('ContentDefender', 4);
DeleteService('ContentDefender');
DeleteService('LiveUpdateSvc');
SetServiceStart('LiveUpdateSvc', 4);
SetServiceStart('lehicewu', 4);
SetServiceStart('gyvixodu', 4);
DeleteService('gyvixodu');
DeleteService('lehicewu');
TerminateProcessByName('c:\program files (x86)\iobit\liveupdate\liveupdate.exe');
QuarantineFile('c:\program files (x86)\iobit\liveupdate\liveupdate.exe','');
TerminateProcessByName('c:\program files (x86)\03de0294-1443281475-05a8-be06-c40700080009\knsre5a.tmp');
QuarantineFile('c:\program files (x86)\03de0294-1443281475-05a8-be06-c40700080009\knsre5a.tmp','');
TerminateProcessByName('c:\program files (x86)\03de0294-1443281475-05a8-be06-c40700080009\jnsm86cd.tmp');
QuarantineFile('c:\program files (x86)\03de0294-1443281475-05a8-be06-c40700080009\jnsm86cd.tmp','');
TerminateProcessByName('c:\program files (x86)\03de0294-1443281475-05a8-be06-c40700080009\hnsp9cf6.tmp');
QuarantineFile('c:\program files (x86)\03de0294-1443281475-05a8-be06-c40700080009\hnsp9cf6.tmp','');
TerminateProcessByName('c:\users\gorkavchenko\appdata\roaming\acewebextension\updater\ace_web_extension.exe');
TerminateProcessByName('C:\Program Files\Content Defender\ContentDefender.exe');
QuarantineFile('C:\Program Files\Content Defender\ContentDefender.exe','');
DeleteFile('C:\Program Files\Content Defender\ContentDefender.exe','32');
DeleteFile('c:\users\gorkavchenko\appdata\roaming\acewebextension\updater\ace_web_extension.exe','32');
DeleteFile('c:\program files (x86)\03de0294-1443281475-05a8-be06-c40700080009\hnsp9cf6.tmp','32');
DeleteFile('c:\program files (x86)\03de0294-1443281475-05a8-be06-c40700080009\jnsm86cd.tmp','32');
DeleteFile('c:\program files (x86)\03de0294-1443281475-05a8-be06-c40700080009\knsre5a.tmp','32');
DeleteFile('c:\program files (x86)\iobit\liveupdate\liveupdate.exe','32');
DeleteFile('C:\Windows\system32\drivers\contentdefenderdrv.sys','32');
DeleteFile('C:\ProgramData\Browsers\browser0.bat','32');
DeleteFile('C:\ProgramData\Browsers\browser6.bat','32');
DeleteFile('C:\Users\Gorkavchenko\AppData\Local\foryougain\config.json','32');
DeleteFile('C:\Users\Gorkavchenko\AppData\Local\foryougain\stub.exe','32');
DeleteFile('C:\Users\Gorkavchenko\AppData\Roaming\ACEStream\engine\ace_engine.exe','32');
DeleteFile('C:\Users\Gorkavchenko\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AceStream');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AceWebExtensionUpdater');
DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
DeleteFile('C:\Users\Gorkavchenko\AppData\Local\Hostinstaller\2626170177_monster.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowsers' Lnk[/url]

Скачайте AVZ 4.45, обновите его базы

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
28.09.2015, 19:22
Gorkavchenko

Загрузку карантина сделал.
28.09.2015, 19:43
thyrex

Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
[list][*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Gorkavchenko\appdata\local\smartweb\__u.exe','');
QuarantineFile('C:\Users\Gorkavchenko\appdata\local\smartweb\swhk.dll','');
QuarantineFile('C:\Program Files (x86)\PhraseProfessor_1.10.0.24\Update\PhraseProfessorAutoUpdateClient.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\ca241b62-4120-4b3e-90e0-20aed5ccd165-7.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\ca241b62-4120-4b3e-90e0-20aed5ccd165-6.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\ca241b62-4120-4b3e-90e0-20aed5ccd165-5.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\ca241b62-4120-4b3e-90e0-20aed5ccd165-3.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\ca241b62-4120-4b3e-90e0-20aed5ccd165-11.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\ca241b62-4120-4b3e-90e0-20aed5ccd165-1-6.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\ca241b62-4120-4b3e-90e0-20aed5ccd165-1-7.exe','');
QuarantineFile('C:\Program Files (x86)\Shop and Save Up\ca241b62-4120-4b3e-90e0-20aed5ccd165-10.exe','');
QuarantineFile('C:\Users\Gorkavchenko\AppData\Roaming\bGVpoWi1AEapePYS4Ao4gBnUGL.exe','');
SetServiceStart('ppfd_vw_1_10_0_24', 4);
DeleteService('ppfd_vw_1_10_0_24');
DeleteService('globalUpdatem');
DeleteService('globalUpdate');
SetServiceStart('WdsManPro', 4);
DeleteService('WdsManPro');
SetServiceStart('dusopuwi', 4);
DeleteService('dusopuwi');
SetServiceStart('ppsvc_1.10.0.24', 4);
DeleteService('ppsvc_1.10.0.24');
SetServiceStart('SSFK', 4);
DeleteService('SSFK');
QuarantineFile('C:\Windows\system32\drivers\ppfd_vw_1_10_0_24.sys','');
TerminateProcessByName('c:\programdata\bwdsmanprob\wdsmanpro.exe');
QuarantineFile('c:\programdata\bwdsmanprob\wdsmanpro.exe','');
TerminateProcessByName('c:\users\gorkavchenko\appdata\local\gmsd_ru_005010099\upgmsd_ru_005010099.exe');
QuarantineFile('c:\users\gorkavchenko\appdata\local\gmsd_ru_005010099\upgmsd_ru_005010099.exe','');
TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe');
QuarantineFile('c:\program files (x86)\sfk\ssfk.exe','');
TerminateProcessByName('c:\users\gorkavchenko\appdata\local\smartweb\smartwebhelper.exe');
QuarantineFile('c:\users\gorkavchenko\appdata\local\smartweb\smartwebhelper.exe','');
TerminateProcessByName('c:\users\gorkavchenko\appdata\local\smartweb\smartwebapp.exe');
QuarantineFile('c:\users\gorkavchenko\appdata\local\smartweb\smartwebapp.exe','');
TerminateProcessByName('c:\program files (x86)\03de0294-1443281475-05a8-be06-c40700080009\knsl571e.tmp');
QuarantineFile('c:\program files (x86)\03de0294-1443281475-05a8-be06-c40700080009\knsl571e.tmp','');
TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010099\gmsd_ru_005010099.exe');
QuarantineFile('c:\program files (x86)\gmsd_ru_005010099\gmsd_ru_005010099.exe','');
TerminateProcessByName('c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-6.exe');
QuarantineFile('c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-6.exe','');
TerminateProcessByName('c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-10.exe');
QuarantineFile('c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-10.exe','');
TerminateProcessByName('c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-1-6.exe');
QuarantineFile('c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-1-6.exe','');
DeleteFile('c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-1-6.exe','32');
DeleteFile('c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-10.exe','32');
DeleteFile('c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-6.exe','32');
DeleteFile('c:\program files (x86)\gmsd_ru_005010099\gmsd_ru_005010099.exe','32');
DeleteFile('c:\program files (x86)\03de0294-1443281475-05a8-be06-c40700080009\knsl571e.tmp','32');
DeleteFile('c:\users\gorkavchenko\appdata\local\smartweb\smartwebapp.exe','32');
DeleteFile('c:\users\gorkavchenko\appdata\local\smartweb\smartwebhelper.exe','32');
DeleteFile('c:\program files (x86)\sfk\ssfk.exe','32');
DeleteFile('c:\users\gorkavchenko\appdata\local\gmsd_ru_005010099\upgmsd_ru_005010099.exe','32');
DeleteFile('c:\programdata\bwdsmanprob\wdsmanpro.exe','32');
DeleteFile('C:\Windows\system32\drivers\ppfd_vw_1_10_0_24.sys','32');
DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010099');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010099.exe');
DeleteFile('C:\Users\Gorkavchenko\AppData\Roaming\bGVpoWi1AEapePYS4Ao4gBnUGL.exe','32');
DeleteFile('C:\Windows\Tasks\bGVpoWi1AEapePYS4Ao4gBnUGL.job','32');
DeleteFile('C:\Windows\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-1-6.job','32');
DeleteFile('C:\Windows\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-1-7.job','32');
DeleteFile('C:\Windows\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-10_user.job','32');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\ca241b62-4120-4b3e-90e0-20aed5ccd165-10.exe','32');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\ca241b62-4120-4b3e-90e0-20aed5ccd165-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\ca241b62-4120-4b3e-90e0-20aed5ccd165-1-6.exe','32');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\ca241b62-4120-4b3e-90e0-20aed5ccd165-11.exe','32');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\ca241b62-4120-4b3e-90e0-20aed5ccd165-3.exe','32');
DeleteFile('C:\Windows\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-3.job','32');
DeleteFile('C:\Windows\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-11.job','32');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\ca241b62-4120-4b3e-90e0-20aed5ccd165-5.exe','32');
DeleteFile('C:\Windows\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-5.job','32');
DeleteFile('C:\Windows\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-5_user.job','32');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\ca241b62-4120-4b3e-90e0-20aed5ccd165-6.exe','32');
DeleteFile('C:\Program Files (x86)\Shop and Save Up\ca241b62-4120-4b3e-90e0-20aed5ccd165-7.exe','32');
DeleteFile('C:\Windows\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-7.job','32');
DeleteFile('C:\Windows\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-6.job','32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
DeleteFile('C:\Windows\system32\Tasks\bGVpoWi1AEapePYS4Ao4gBnUGL','64');
DeleteFile('C:\Windows\system32\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-1-6','64');
DeleteFile('C:\Windows\system32\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-1-7','64');
DeleteFile('C:\Windows\system32\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-10_user','64');
DeleteFile('C:\Windows\system32\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-11','64');
DeleteFile('C:\Windows\system32\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-3','64');
DeleteFile('C:\Windows\system32\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-5','64');
DeleteFile('C:\Windows\system32\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-5_user','64');
DeleteFile('C:\Windows\system32\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-6','64');
DeleteFile('C:\Windows\system32\Tasks\ca241b62-4120-4b3e-90e0-20aed5ccd165-7','64');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
DeleteFile('C:\Windows\system32\Tasks\PhraseProfessor Auto Updater 1.10.0.24 Core','64');
DeleteFile('C:\Windows\system32\Tasks\PhraseProfessor Auto Updater 1.10.0.24 Pending Update','64');
DeleteFile('C:\Program Files (x86)\PhraseProfessor_1.10.0.24\Update\PhraseProfessorAutoUpdateClient.exe','32');
DeleteFile('C:\Users\Gorkavchenko\appdata\local\smartweb\swhk.dll','32');
DeleteFile('C:\Users\Gorkavchenko\appdata\local\smartweb\__u.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
28.09.2015, 20:51
Gorkavchenko

Карантин загружен.
29.09.2015, 07:52
thyrex

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
29.09.2015, 18:02
Gorkavchenko

Лог mbam.
30.09.2015, 19:15
thyrex

Удалите в МВАМ все, [B]кроме[/B]
[CODE]PUP.Optional.APNToolBar, D:\Программы\SopCast.zip, , [13953203ee9d1125cd4c407bc1407a86],
HackTool.Agent, D:\Программы\Microsoft Office 2007\[Keygen]\msa2007kg.exe, , [c7e194a1107bb87eb324663440c2da26],
RiskWare.Tool.CK, D:\Программы\Microsoft Office 2007\[Keygen]\msoe2007kg.exe, , [41[/CODE]67e451b7d492a473f1dd43d131867a],
30.09.2015, 20:10
Gorkavchenko

Помогло.
30.09.2015, 20:44
thyrex

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.
01.10.2015, 15:41
Gorkavchenko

Логи.
01.10.2015, 23:34
thyrex

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1443458611&z=07685374ec91da302a7bd9eg6zazfcczdw6b3zfo6z&from=cmi&uid=PLEXTORXPX-128M5S_P02352106602
CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1443458611&z=07685374ec91da302a7bd9eg6zazfcczdw6b3zfo6z&from=cmi&uid=PLEXTORXPX-128M5S_P02352106602"
CHR DefaultSearchURL: Default -> hxxp://www.mystartsearch.com/web/?type=ds&ts=1443458611&z=07685374ec91da302a7bd9eg6zazfcczdw6b3zfo6z&from=cmi&uid=PLEXTORXPX-128M5S_P02352106602&q={searchTerms}
CHR DefaultSearchKeyword: Default -> mystartsearch
CHR Extension: (foryougain) - C:\Users\Gorkavchenko\AppData\Local\Google\Chrome\User Data\Default\Extensions\naelaccnagmkchcckjjdggcjnajcapgo [2015-09-27]
OPR Extension: (foryougain) - C:\Users\Gorkavchenko\AppData\Roaming\Opera Software\Opera Stable\Extensions\naelaccnagmkchcckjjdggcjnajcapgo [2015-09-26]
2015-09-28 21:58 - 2015-09-30 23:07 - 00000000 ____D C:\Program Files (x86)\globalUpdate
2015-09-28 21:58 - 2015-09-28 21:58 - 00000000 ____D C:\Users\Gorkavchenko\AppData\Local\globalUpdate
2015-09-27 21:15 - 2015-09-28 23:46 - 00000000 ____D C:\Program Files (x86)\SFK
2015-09-27 21:15 - 2015-09-28 22:43 - 00000876 _____ C:\task.vbs
2015-09-26 21:31 - 2013-08-22 19:25 - 00000824 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-09-26 21:30 - 2015-09-28 22:11 - 00000000 ____D C:\Users\Gorkavchenko\AppData\Local\foryougain
2015-04-19 18:20 - 2015-04-19 18:20 - 0005872 _____ () C:\Users\Gorkavchenko\AppData\Roaming\bGVpoWi1AEapePYS4Ao4gBnUGL
Task: {10689EAD-85C0-4AE6-990E-73B187DB27C1} - \Soft installer -> No File <==== ATTENTION
Task: {278B4094-98EE-4285-96DD-D36F91F74BD9} - \PhraseProfessor Auto Updater 1.10.0.24 Pending Update -> No File <==== ATTENTION
Task: {ED884903-237B-4EF3-BE67-B7E97AB81E51} - \PhraseProfessor Auto Updater 1.10.0.24 Core -> No File <==== ATTENTION
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
02.10.2015, 06:34
Gorkavchenko

Лог.
02.10.2015, 07:00
thyrex

Проблема решена?
02.10.2015, 08:17
Gorkavchenko

Да. Спасибо!
02.10.2015, 18:45
thyrex

Удалите МВАМ
02.10.2015, 18:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\gmsd_ru_005010099\gmsd_ru_005010099.exe - [B]not-a-virus:AdWare.Win32.Eorezo.afob[/B][*] c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-10.exe - [B]not-a-virus:AdWare.NSIS.Adwapper.do[/B] ( DrWEB: Trojan.Crossrider1.22993 )[*] c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-11.exe - [B]not-a-virus:AdWare.NSIS.Adwapper.do[/B] ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.yv1@kaolLYhO )[*] c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-1-6.exe - [B]not-a-virus:AdWare.NSIS.Adwapper.do[/B] ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.Cz1@k4RgkObi )[*] c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-1-7.exe - [B]not-a-virus:AdWare.NSIS.Adwapper.do[/B] ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.@u1@k8Q2PzaO )[*] c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-3.exe - [B]not-a-virus:AdWare.NSIS.Adwapper.do[/B] ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.yv1@kaolLYhO )[*] c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-5.exe - [B]not-a-virus:AdWare.NSIS.Adwapper.do[/B] ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.iv1@kiDfX7mO )[*] c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-6.exe - [B]not-a-virus:AdWare.NSIS.Adwapper.do[/B] ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.yz1@keSJeugi )[*] c:\program files (x86)\shop and save up\ca241b62-4120-4b3e-90e0-20aed5ccd165-7.exe - [B]not-a-virus:AdWare.NSIS.Adwapper.do[/B] ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.@u1@k8Q2PzaO )[*] c:\program files (x86)\03de0294-1443281475-05a8-be06-c40700080009\hnsp9cf6.tmp - [B]not-a-virus:AdWare.Win32.ConvertAd.azh[/B][*] c:\program files (x86)\03de0294-1443281475-05a8-be06-c40700080009\jnsm86cd.tmp - [B]not-a-virus:AdWare.Win32.ConvertAd.azi[/B] ( AVAST4: Win32:Adware-gen [Adw] )[*] c:\program files\content defender\contentdefender.exe - [B]not-a-virus:RiskTool.Win64.NetFilter.o[/B][*] c:\programdata\browsers\browser0.bat - [B]Trojan.BAT.StartPage.nw[/B][*] c:\programdata\browsers\browser6.bat - [B]Trojan.BAT.StartPage.nw[/B][*] c:\users\gorkavchenko\appdata\local\gmsd_ru_005010099\upgmsd_ru_005010099.exe - [B]not-a-virus:AdWare.Win32.Eorezo.afob[/B][*] c:\users\gorkavchenko\appdata\local\smartweb\smartwebapp.exe - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845, AVAST4: Win32:PriceGong-B [Adw] )[*] c:\users\gorkavchenko\appdata\local\smartweb\smartwebhelper.exe - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845 )[*] c:\users\gorkavchenko\appdata\local\smartweb\swhk.dll - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845, AVAST4: Win32:BHO-AOK [Adw] )[*] c:\users\gorkavchenko\appdata\local\smartweb\__u.exe - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: archive:, AVAST4: Win32:Malware-gen )[*] c:\users\gorkavchenko\appdata\roaming\bgvpowi1aeapepys4ao4gbnugl.exe - [B]not-a-virus:WebToolbar.Win32.CroRi.fte[/B][*] c:\windows\system32\drivers\contentdefenderdrv.sys - [B]not-a-virus:RiskTool.Win64.NetFilter.o[/B][/LIST][/LIST]