GamesDesktop 092.005010123 и реклама в браузере вместе с всплывающими окнами [not-a-virus:AdWare.Win32.ConvertAd.bai, Trojan.Win32.StartPage.fsgi ]

Printable View

25.10.2015, 13:35
Inarus

Вложений: 2

GamesDesktop 092.005010123 и реклама в браузере вместе с всплывающими окнами [not-a-virus:AdWare.Win32.ConvertAd.bai, Trojan.Win32.StartPage.fsgi ]

Добрый день.
Постоянно появляется в программах GamesDesktop 092.005010123 и невозможно работать в браузерах. Куча окон открывается. У кого есть возможность посмотрите логи.
Спасибо
25.10.2015, 13:36
Info_bot

Уважаемый(ая) [B]Inarus[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
25.10.2015, 21:03
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe');
TerminateProcessByName('c:\users\sergey\appdata\local\09cdf43a-1445613844-1756-4311-7824af4153df\qnsvc69f.tmp');
TerminateProcessByName('c:\program files (x86)\09cdf43a-1445452424-1756-4311-7824af4153df\knsy381.tmp');
TerminateProcessByName('c:\program files (x86)\hp defender\hhandler.exe');
StopService('SSFK');
StopService('hidekoqe');
StopService('HHandler Service');
StopService('bepucugi');
QuarantineFile('C:\Users\Sergey\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '');
QuarantineFile('C:\Users\Sergey\AppData\Roaming\Browsers\exe.atemok.bat', '');
QuarantineFile('C:\Users\Sergey\AppData\Local\AJCfUPwjC\AGQNFNC1.bat', '');
QuarantineFile('C:\ProgramData\qbzOvEIqfTob\aLrHCpbROTss5.bat', '');
QuarantineFile('C:\ProgramData\RjwPXm\cCAXDmtFuxi0.bat', '');
QuarantineFile('C:\ProgramData\lUCzDsDnE\MnlHOdBstrgln0.bat', '');
QuarantineFile('C:\Program Files (x86)\gmsd_re_005010123\gmsd_re_005010123.exe', '');
QuarantineFile('c:\program files (x86)\sfk\ssfk.exe', '');
QuarantineFile('c:\users\sergey\appdata\local\09cdf43a-1445613844-1756-4311-7824af4153df\qnsvc69f.tmp', '');
QuarantineFile('c:\program files (x86)\09cdf43a-1445452424-1756-4311-7824af4153df\knsy381.tmp', '');
QuarantineFile('c:\program files (x86)\hp defender\hhandler.exe', '');
DeleteFile('c:\program files (x86)\09cdf43a-1445452424-1756-4311-7824af4153df\knsy381.tmp', '32');
DeleteFile('C:\Program Files (x86)\HP Defender\HHandler.exe', '32');
DeleteFile('C:\Users\Sergey\AppData\Local\09CDF43A-1445613844-1756-4311-7824AF4153DF\qnsvC69F.tmp', '32');
DeleteFile('C:\Program Files (x86)\SFK\SSFK.exe', '32');
DeleteFile('C:\Program Files (x86)\gmsd_re_005010123\gmsd_re_005010123.exe', '32');
DeleteService('SSFK');
DeleteService('HHandler Service');
DeleteService('bepucugi');
DelBHO('{961a325c-7fdf-4a82-b0b5-43e136f4edb1}');
DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hdxtrfrdmw');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_624C0C0EF36908A1F3BF5AA505A95313');
RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1895647271-3466003277-1995105267-1003\Software\Microsoft\Windows\CurrentVersion\Run', 'eTranslator Update');
RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1895647271-3466003277-1995105267-1003\Software\Microsoft\Windows\CurrentVersion\Run', 'kometaup');
RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1895647271-3466003277-1995105267-1003\Software\Microsoft\Windows\CurrentVersion\Run', 'hdxtrfrdmw');
RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1895647271-3466003277-1995105267-1003\Software\Microsoft\Windows\CurrentVersion\Run', 'MediaGet2');
RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1895647271-3466003277-1995105267-1003\Software\Microsoft\Windows\CurrentVersion\Run', 'amigo');
RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1895647271-3466003277-1995105267-1003\Software\Microsoft\Windows\CurrentVersion\Run', 'MailRuUpdater');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidusdTray', 'command');
ExecuteSysClean;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].

Сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/URL].
26.10.2015, 21:26
Inarus

Вложений: 2

Добрый вечер.
Прилагаю логи.
Спасибо
26.10.2015, 21:46
Vvvyg

[QUOTE]# AdwCleaner v5.011 - Отчёт создан 07/10/2015 в 19:02:55
# Обновлено 07/10/2015 by Xplode
# База данных : 2015-10-07.1 [Сервер][/QUOTE]
Это старый лог, самый свежий с буквой [B]S[/B] в имени приложите.
26.10.2015, 21:58
Inarus

кажись вот он
26.10.2015, 22:05
Vvvyg

Запустите повторно [B]AdwCleaner (by Xplode) [/B](в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), нажмите кнопку [B]Сканировать[/B] (Scan), по окончании сканирования уберите галочки на вкладках [B]Папки[/B] (Folders) и [B]Реестр[/B] (Registry) со всех пунктов, где упоминаются Mail.Ru, Zona и MediaGet [B]только если используете соответствующие программы[/B].

В пункте меню "Настройки" (Settings) [B]уберите[/B] галочку "Сброс настроек Winsoсk" и [B][COLOR="#FF0000"]установите[/COLOR][/B] галочку "Сброс политик Chrome".
Затем нажмите [B]Очистка[/B] ([B]Cleaning[/B]) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C#].txt (где #- цифра), прикрепите к своему следующему сообщению.

Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.
26.10.2015, 22:23
Inarus

все запускал от имени админа
26.10.2015, 22:32
Vvvyg

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
26.10.2015, 22:45
Inarus

сделано
26.10.2015, 23:33
Vvvyg

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKLM-x32\...\Run: [InstallUpdate] => [X]
CHR HKU\S-1-5-21-1895647271-3466003277-1995105267-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-1895647271-3466003277-1995105267-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=mp4
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id={9D9656F5-4C23-4B4C-8C03-109A5D93F199}&gp=mp4
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id={9D9656F5-4C23-4B4C-8C03-109A5D93F199}&gp=mp4
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> 74C964D104415E2E8F1698A9EDDDB789 URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3FEUKDVTEKDVTE&ts=1432913695&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3FEUKDVTEKDVTE&ts=1432913695&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = hxxp://www.mystart.com/results.php?gen=ms&pr=jomedia&id=dlsecuretb&v=1_0&ent=ch_6277&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {B175D803-604D-4AE0-B59E-3D489BC1AFD5} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3FEUKDVTEKDVTE&ts=1432913695&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3FEUKDVTEKDVTE&ts=1432913695&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3FEUKDVTEKDVTE&ts=1432913695&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {EBE882A2-20C3-4680-AF1B-1DE87D283E4A} URL = hxxp://1stserp.com/search.php?us=searcher&pcid=EEA04DE4-D1EA-4635-A935-7F12F814B871&pid=61&query={searchTerms}&sc=ie
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {F4137D40-259A-4FB3-B780-F8C39B303C41} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3FEUKDVTEKDVTE&ts=1432913695&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {FA8D1616-A0DE-445D-AE6C-F1737F03D9ED} URL = hxxp://1stserp.com/search.php?us=searcher&pcid=A93A0C8D-BF4D-4D84-AAA5-CFC5DB7CC7C7&pid=81&query={searchTerms}&sc=ie
SearchScopes: HKU\S-1-5-21-1895647271-3466003277-1995105267-1003 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=blackbear15
BHO: No Name -> {11111111-1111-1111-1111-110611221142} -> No File
Handler: rubar - {7A05BDCB-8F81-45C5-B9EC-3764E6FC1439} - No File
FF DefaultSearchEngine: Поиск@Mail.Ru
FF Homepage: hxxp://mail.ru/cnt/10445?gp=mp4
FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id={4C3AB232-5785-469E-BD4F-C4BA3A97DE8F}&gp=mp4
FF Extension: Домашняя страница Mail.Ru - C:\Users\Sergey\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-10-23] [not signed]
FF Extension: Поиск@Mail.Ru - C:\Users\Sergey\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-10-23]
FF Extension: Спутник @Mail.Ru - C:\Users\Sergey\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2015-06-16] [not signed]
CHR HomePage: Default -> mail.ru/cnt/11956636?gp=mp4
CHR NewTab: Default -> "chrome-extension://bpgangmffjcofiknibcmfjionicohfgj/visual-bookmarks.html"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms}&fr=xtn9
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgbgnhmfbcifpkjofoojfplmfkmaiadn [2015-10-23]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions\bpgangmffjcofiknibcmfjionicohfgj [2015-10-23]
CHR Extension: (gpnamfpkffldfnlkofbbebcndfdkclpc) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions\gpnamfpkffldfnlkofbbebcndfdkclpc [2015-09-22]
CHR Extension: (Mail.Ru) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2015-10-19]
CHR Extension: (Mail.Ru) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions\nbifdkmdojgmpmopdebnjcobekgdoncn [2015-10-23]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions\pnooffjhclkocplopffdbcdghmiffhji [2015-10-19]
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vk.ijmelto.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fidibeiehaokohhbnkdjmkcapgnndfkc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jkagakiplhpgacmegfblcddbckenmiio] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kjlpdpfmpoggibmjgmbaoidffidifakh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (adelhekhakakocomdfejiipdnaadiiib) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\adelhekhakakocomdfejiipdnaadiiib [2015-09-02]
OPR Extension: (Edu App) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\aflbfhfpnnffgamnmnajappkdmmhmlpl [2015-05-29]
OPR Extension: (NetFilterPRO) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\cfmnkhhioonhiehehedmnjibmampjiab [2015-06-14]
OPR Extension: (Edu App) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\gegdfeiahlfolhcfioipjlkombmgbakh [2015-09-16]
OPR Extension: (AdBlock) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-09-09]
OPR Extension: (Edu App) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\gpnamfpkffldfnlkofbbebcndfdkclpc [2015-09-22]
OPR Extension: (Discount_Frenzy) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\jkbblkobgokdimiefleebjbhmnfjlcfg [2015-01-01]
OPR Extension: (Edu App) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\lkadffjmnaiokkdncgdlecdegajoiemi [2015-08-28]
OPR Extension: (Переводчик для Chrome 2) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\mdanidgdpmkimeiiojknlnekblgmpdll [2015-01-01]
OPR Extension: (Quick Searcher) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\nckgahadagoaajjgafhacjanaoiihapd [2015-04-29]
OPR Extension: (Edu App) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\nilnpbhnhmmjioijfgilcohbknkgfmpa [2015-04-01]
OPR Extension: (Edu App) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\nphbmanpfjfdngbaamhajooihmjacmfe [2015-06-03]
OPR Extension: (Edu App) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\obhekfgkiebcdiemikbpipliohcokogk [2015-04-01]
OPR Extension: (Edu App) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-05-29]
2015-10-26 20:28 - 2015-10-26 20:29 - 00000000 ____D C:\ProgramData\nWMiniPron
2015-10-24 06:33 - 2015-10-24 06:33 - 00000000 ____D C:\ProgramData\cVDbvIOV
2015-10-23 19:47 - 2015-10-23 19:47 - 00000000 ____D C:\ProgramData\lUCzDsDnE
2015-10-23 19:47 - 2015-10-23 19:47 - 00000000 ____D C:\ProgramData\KeooDHn
2015-10-23 18:16 - 2015-10-23 18:16 - 00000000 ____D C:\ProgramData\rQnLwQECQ
2015-10-23 13:54 - 2015-10-23 13:54 - 00000000 ____D C:\ProgramData\WWSFelFkYcBjH
2015-10-23 09:54 - 2015-10-23 09:54 - 00000000 ____D C:\ProgramData\eTxHbpjg
2015-10-22 20:49 - 2015-10-22 20:49 - 00000000 ____D C:\ProgramData\RjwPXm
2015-10-22 20:49 - 2015-10-22 20:49 - 00000000 ____D C:\ProgramData\qbzOvEIqfTob
2015-10-21 20:18 - 2015-10-21 20:18 - 00000000 ____D C:\ProgramData\svXhdPHMIQlniL
2015-10-21 20:17 - 2015-10-21 20:17 - 00000000 ____D C:\Users\Все пользователи\WfzzgPxbc
2015-10-21 20:17 - 2015-10-21 20:17 - 00000000 ____D C:\Users\Все пользователи\McEHHnOCsvtZ
2015-10-21 20:17 - 2015-10-21 20:17 - 00000000 ____D C:\Users\Все пользователи\eDLDWDtXjGGlx
2015-10-19 10:07 - 2015-10-19 10:07 - 00000731 _____ C:\Users\Sergey\Desktop\Zona.lnk
2015-10-19 10:07 - 2015-10-19 10:07 - 00000731 _____ C:\Users\Sergey\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zona.lnk
2015-09-28 17:31 - 2015-09-28 17:31 - 00000000 ____D C:\ProgramData\{2ACB8283-3DA0-4D9A-8EC6-CE39EEA98C97}
2015-10-26 21:38 - 2015-05-19 02:09 - 00000000 _____ C:\Windows\system32\Drivers\lvuvc.hs
2015-10-26 20:28 - 2015-09-13 10:12 - 00000098 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-10-24 21:31 - 2015-03-31 10:14 - 00000385 _____ C:\Users\Sergey\AppData\Roaming\rPzG5HobBZIhlZ1g4yZQlKLsPr
2015-05-30 12:17 - 2015-05-30 12:17 - 0613255 _____ (CMI Limited) C:\Users\Sergey\AppData\Local\nsc1CCF.tmp
2015-09-30 22:29 - 2015-09-30 22:26 - 0613255 _____ (CMI Limited) C:\Users\Sergey\AppData\Local\nsh5992.tmp
2015-09-13 10:15 - 2015-09-13 10:15 - 0613255 _____ (CMI Limited) C:\Users\Sergey\AppData\Local\nsi12D0.tmp
2015-05-29 17:35 - 2015-05-29 17:35 - 0613255 _____ (CMI Limited) C:\Users\Sergey\AppData\Local\nsi3496.tmp
2015-05-31 09:42 - 2015-05-31 09:41 - 0613255 _____ (CMI Limited) C:\Users\Sergey\AppData\Local\nsr14A4.tmp
2015-09-30 14:01 - 2015-09-30 13:56 - 0613255 _____ (CMI Limited) C:\Users\Sergey\AppData\Local\nsr1BAB.tmp
2015-09-16 12:47 - 2015-09-16 12:47 - 0613255 _____ (CMI Limited) C:\Users\Sergey\AppData\Local\nsr65C8.tmp
2015-09-29 18:01 - 2015-09-29 13:20 - 0613255 _____ (CMI Limited) C:\Users\Sergey\AppData\Local\nsx896B.tmp
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Sergey^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^crossbrowse.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidusdTray" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HP Defender" /f
Reg: reg delete "HKU\S-1-5-21-1895647271-3466003277-1995105267-1003\Software\Microsoft\Windows\CurrentVersion\Uninstall\Amigo" /f
FirewallRules: [{F27D57FE-DF68-4D73-B9B2-0E707993016E}] => (Allow) D:\Zona\Zona.exe
FirewallRules: [{E34F14FE-7BCB-47BE-B64C-BEDB066FEBB7}] => (Allow) D:\Zona\Zona.exe
FirewallRules: [{E1DD4DA8-F5BB-4920-8912-4EA6EF8ACB0F}] => (Allow) C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Зaпустить Grаnd Thеft Аuto V.lnk
C:\Users\Sergey\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемами.
27.10.2015, 20:41
Inarus

вот лог. Сейчас проверяю проблемы
29.10.2015, 22:52
Inarus

Большое спасибо. Все помогло
30.10.2015, 11:43
Vvvyg

Запустите AdwCleaner и нажмите [B]Деинсталлировать (Uninstall)[/B].

Удалите папку C:\FRST со всем содержимым.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
30.10.2015, 11:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\hp defender\hhandler.exe - [B]Trojan.Win32.StartPage.fsgi[/B][*] c:\program files (x86)\sfk\ssfk.exe - [B]not-a-virus:AdWare.Win32.ELEX.el[/B][*] c:\users\sergey\appdata\local\09cdf43a-1445613844-1756-4311-7824af4153df\qnsvc69f.tmp - [B]not-a-virus:AdWare.Win32.ConvertAd.bai[/B] ( AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]