Помогите!

В общем, переустановил игру с диска после перезагрузки появились программы которых раньше не было, антивирус был отключен. Программы и файлы удалились или вылечились с помощью Dr.Web Cureit. Но осталась одна и найти ее я не могу. Я поставил в свойства браузера его путь к настоящему браузеру и все было норм некоторое время, но позже начали открываться левые сайты я заглянул в свойства Google а там путь C:\ProgramData\yLWuhutA\kAkQwBfcns0.bat.. При удалении этой папки появляется новая и снова и снова. Прошу помогите, логи прилагаются

Уважаемый(ая) [B]Washingent[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте [URL="http://z-oleg.com/avz4.zip"]актуальную версию AVZ: 4.45[/URL], обновите базы.

url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
ExecuteAVUpdate;
QuarantineFileF('C:\ProgramData\UpService', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFile('C:\ProgramData\Xthnef\enUhgP3.bat', '');
QuarantineFile('C:\ProgramData\gWCSOFH\LWZTtOnqh5.bat', '');
QuarantineFile('C:\Users\Администратор\AppData\Roaming\Gqo4l7jOSr.exe', '');
QuarantineFile('C:\Users\Администратор\AppData\Roaming\wZmxEJiPnKYwxE8k1MEqqWU4.exe', '');
QuarantineFile('C:\Users\Администратор\AppData\Local\NFPmCeKkb\eAZcIkLW1.bat', '');
QuarantineFile('C:\ProgramData\UpService\UpService.exe', '');
QuarantineFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe', '');
DeleteFile('C:\ProgramData\UpService\UpService.exe', '32');
DeleteFile('C:\Windows\Tasks\Gqo4l7jOSr.job', '64');
DeleteFile('C:\Windows\Tasks\wZmxEJiPnKYwxE8k1MEqqWU4.job', '64');
DeleteFile('C:\Users\Администратор\AppData\Roaming\Gqo4l7jOSr.exe', '32');
DeleteFile('C:\Users\Администратор\AppData\Roaming\wZmxEJiPnKYwxE8k1MEqqWU4.exe', '32');
DeleteService('gkernel');
DeleteFileMask('C:\ProgramData\UpService', '*', true);
DeleteDirectory('C:\ProgramData\UpService');
ExecuteFile('schtasks.exe', '/delete /TN "ASC9_PerformanceMonitor" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ASC9_SkipUac_Администратор" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (Администратор)" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "UpService" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_Администратор" /F', 0, 15000, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].

Сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK_test.zip"]Check Browsers' LNK[/URL].

Готово

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Получен ли карантин? У меня не отображается результат, сижу уже минут 15 и толку 0

[QUOTE=Washingent;1355760]Получен ли карантин? У меня не отображается результат, сижу уже минут 15 и толку 0[/QUOTE]
Я тоже не вижу, видимо, форум глючит.

Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.

После перезапуска Google и Yandex поменяли пути с Bat файла на настоящий браузер, но папки в ProgramData остались, их удалить?
Проблема пока решена, буду смотреть. Спасибо вам, выручили)

Папки удаляйте с содержимым.

Загрузите SecurityCheck by glax24 [URL="https://yadi.sk/d/5zqrL6Oom7vsg"]отсюда[/URL] и сохраните на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Сделано

[QUOTE]Service Pack не установлен [color=red][b]Внимание! [url=http://www.microsoft.com/ru-ru/download/details.aspx?id=5842]Скачать обновления[/url][/b][/color]
[color=blue][b]^Возможно потребуется повторная активация Windows^[/b][/color]
Internet Explorer 8.0.7600.16385 [color=red][b]Внимание! [url=http://windows.microsoft.com/ru-ru/internet-explorer/ie-11-worldwide-languages]Скачать обновления[/url][/b][/color]
[color=blue][b]^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^[/b][/color]
[color=red][b]Контроль учётных записей пользователя [b]отключен[/b][/b][/color]
Запрос на повышение прав для администраторов [color=red][b]отключен[/b][/color]
[color=blue][b]^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
[color=red][b]Автоматическое обновление отключено[/b][/color]
Центр обновления Windows (wuauserv) - Служба остановлена[/QUOTE]
Полный набор фейлов по вредным советам из интернета :>
Без первого сервис-пака система крайне уязвима, а после него ещё десятки критических обновлений безопасности вышли.
UAC сов сем не страшен, если реагировать адекватно на вопросы "Разрешить внесение изменений на данном компьютере следующей программе неизвестного издателя?". А остановить в последний момент запуск вируса или шифровальщика это может помочь.

[QUOTE]Microsoft Silverlight v.5.1.30514.0 [color=red][b]Внимание! [url=http://www.microsoft.com/getsilverlight/]Скачать обновления[/url][/b][/color][/QUOTE]
Обновите, или удалите, там критические дыры.

[QUOTE]Java(TM) 6 Update 10 v.6.0.100 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/1880261]Скачать обновления[/url][/b][/color] [color=red][b]Внимание! Данная версия содержит уязвимость нулевого дня![/b][/color] Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить [b][url=http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html]Java 8[/url][/b]
[color=blue][b]^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-i586.exe). Желательно отключить Java-плагин в браузере!!!^[/b][/color]
Java 8 Update 60 v.8.0.600.27 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u72-windows-i586.exe)^[/b][/color][/QUOTE]
[QUOTE]Adobe Flash Player 10 ActiveX v.10.0.12.36 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe]Скачать обновления[/url][/b][/color]
Adobe Reader X (10.1.0) - Russian v.10.1.0 [color=red][b]Внимание! [url=http://get.adobe.com/reader/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - Проверить обновления!^[/b][/color]
[/QUOTE]
Java наряду с продуктами Adobe наиболее часто используется для взлома и заражения Обновлять постоянно, либо не использовать вовсе.

[QUOTE]Yandex v.15.12.1.6475 [color=red][b]Внимание! [url=http://browser.yandex.ru/?from=cont_spec]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Дополнительно - О браузере Yandex!^[/b][/color]
Google Chrome v.48.0.2564.97 [color=red][b]Внимание! [url=https://www.google.com/intl/ru/chrome/browser/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О Google Chrome!^[/b][/color]
Opera Stable 30.0.1835.125 v.30.0.1835.125 [color=red][b]Внимание! [url=http://www.opera.com/browser/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню О программе!^[/b][/color][/QUOTE]

Браузеры также необходимо держать свежими.

Запустите AdwCleaner и нажмите [B]Деинсталлировать (Uninstall)[/B].

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].