Мышка стала себя странно вести [not-a-virus:WebToolbar.Win32.Agent.adxm, Trojan.NSIS.Agent.qs ]

Помогите пожалуйста.

Уважаемый(ая) [B]Lapaka[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

HiJackThis (из каталога автологгера) [URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: Safe Money Plugin - {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: Safe Money Plugin - {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} - (no file)
O3 - Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - (no file)
O3 - Toolbar: (no name) - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [4D73331A892AAD1487F48640286931BBSB] "C:\Users\Алексей\AppData\Local\Microsoft\49FBB31E9CDF1743CB40F92ADBB826BD\6931BB8204684F7841DAA298A14D7333.exe" /S --safebrowser
O4 - HKLM\..\Policies\Explorer\Run: [AA2E053C-02C8-4CC3-BE66-675A785BF937] "C:\ProgramData\Microsoft\Adobe\Flash Player\AA2E053C-02C8-4CC3-BE66-675A785BF937\7E285C33-5B99-43BB-8BF7-2122D3EBE01C.exe" -startup
O4-32 - HKLM\..\Policies\Explorer\Run: [4D73331A892AAD1487F48640286931BBSB] "C:\Users\Алексей\AppData\Local\Microsoft\49FBB31E9CDF1743CB40F92ADBB826BD\6931BB8204684F7841DAA298A14D7333.exe" /S --safebrowser
O4-32 - HKLM\..\Policies\Explorer\Run: [AA2E053C-02C8-4CC3-BE66-675A785BF937] "C:\ProgramData\Microsoft\Adobe\Flash Player\AA2E053C-02C8-4CC3-BE66-675A785BF937\7E285C33-5B99-43BB-8BF7-2122D3EBE01C.exe" -startup
O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O22 - ScheduledTask: (Ready) 4D73331A892AAD1487F48640286931BB - \Microsoft - "C:\Users\Алексей\AppData\Local\Microsoft\49FBB31E9CDF1743CB40F92ADBB826BD\6931BB8204684F7841DAA298A14D7333.exe" /S --setresetup
O22 - ScheduledTask: (Ready) 4D73331A892AAD1487F48640286931BB - \Microsoft\Windows - "C:\Users\Алексей\AppData\Local\Microsoft\49FBB31E9CDF1743CB40F92ADBB826BD\6931BB8204684F7841DAA298A14D7333.exe" /S --setresetup
O22 - ScheduledTask: (Ready) 4D73331A892AAD1487F48640286931BBSB - \Microsoft - "C:\Users\Алексей\AppData\Local\Microsoft\49FBB31E9CDF1743CB40F92ADBB826BD\6931BB8204684F7841DAA298A14D7333.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) 4D73331A892AAD1487F48640286931BBSB - \Microsoft\Windows - "C:\Users\Алексей\AppData\Local\Microsoft\49FBB31E9CDF1743CB40F92ADBB826BD\6931BB8204684F7841DAA298A14D7333.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) AAA2E053C-02C8-4CC3-BE66-675A785BF937 - \Microsoft\Windows - "C:\ProgramData\Microsoft\Adobe\Flash Player\AA2E053C-02C8-4CC3-BE66-675A785BF937\7E285C33-5B99-43BB-8BF7-2122D3EBE01C.exe" -startup
O22 - ScheduledTask: (Ready) KRBLNKRUN - \Microsoft\KRBUUS - "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" (file missing)
[/CODE]

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
StopService('QMUdisk');
StopService('TS888x64');
DeleteService('TS888x64');
DeleteService('QMUdisk');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\AA2E053C-02C8-4CC3-BE66-675A785BF937\7E285C33-5B99-43BB-8BF7-2122D3EBE01C.exe','');
QuarantineFile('C:\Users\Алексей\AppData\Local\Microsoft\49FBB31E9CDF1743CB40F92ADBB826BD\6931BB8204684F7841DAA298A14D7333.exe','');
QuarantineFile('D:\china\QQPCMgr\8.11.11347.801\QMUdisk64.sys','');
QuarantineFile('D:\china\QQPCMgr\8.11.11347.801\TS888x64.sys','');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\AA2E053C-02C8-4CC3-BE66-675A785BF937\7E285C33-5B99-43BB-8BF7-2122D3EBE01C.exe','32');
DeleteFile('C:\Users\Алексей\AppData\Local\Microsoft\49FBB31E9CDF1743CB40F92ADBB826BD\6931BB8204684F7841DAA298A14D7333.exe','32');
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\4D73331A892AAD1487F48640286931BB" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\4D73331A892AAD1487F48640286931BBSB" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\4D73331A892AAD1487F48640286931BB" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\4D73331A892AAD1487F48640286931BBSB" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\AAA2E053C-02C8-4CC3-BE66-675A785BF937" /F', 0, 15000, true);
DeleteFile('D:\china\QQPCMgr\8.11.11347.801\QMUdisk64.sys','32');
DeleteFile('D:\china\QQPCMgr\8.11.11347.801\TS888x64.sys','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','4D73331A892AAD1487F48640286931BBSB');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AA2E053C-02C8-4CC3-BE66-675A785BF937');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.

Первое сканирование adw cleaner указало 100 угроз,полез делать без вас.Сегодня все делал по вашим инструкциям показало 5 угроз.Отправил файл карантин avz вверху темы и прилагаю отчет adw cleaner.

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[COLOR=silver]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=SQ;1422533][URL="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите в AdwCleaner[/URL] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.[/QUOTE]
Вот

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

[QUOTE=SQ;1422579]- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list][/QUOTE]
Пожалуйста

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
BHO: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKU\S-1-5-21-2475403359-1627666026-843900035-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
CHR HKLM-x32\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (News Tab) - C:\Users\Алексей\AppData\Roaming\Opera Software\Opera Stable\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-09-08]
OPR Extension: (No Name) - C:\Users\Алексей\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-10-06]
OPR Extension: (No Name) - C:\Users\Алексей\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb [2016-11-28]
OPR Extension: (No Name) - C:\Users\Алексей\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-11-14]
OPR Extension: (No Name) - C:\Users\Алексей\AppData\Roaming\Opera Software\Opera Stable\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-12-23]
OPR Extension: (No Name) - C:\Users\Алексей\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-12-20]
S3 TesSafe; C:\Windows\system32\TesSafe.sys [910992 2015-10-18] (TENCENT)
2016-08-27 21:13 - 2016-08-27 21:13 - 0000016 _____ () C:\ProgramData\mntemp
2016-08-27 21:13 - 2016-08-27 21:13 - 0005116 _____ () C:\ProgramData\rxsmznjf.zcp
AlternateDataStreams: C:\Users\Алексей\Local Settings:wa [178]
AlternateDataStreams: C:\Users\Алексей\AppData\Local:wa [178]
AlternateDataStreams: C:\Users\Алексей\AppData\Local\Application Data:wa [178]
FirewallRules: [{FDA7896A-3E1B-4E4B-9FEA-BCA59A172FBB}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\78ec69e9845f110c88173c9cfdcfb619\teniodl\teniodl.exe
FirewallRules: [{5FEF1FF9-CDC7-445B-B101-A636B21189B8}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\78ec69e9845f110c88173c9cfdcfb619\teniodl\teniodl.exe
FirewallRules: [{7B0EF580-6141-4336-A924-5CBDE6A23FD7}] => C:\Users\Алексей\AppData\Roaming\Tencent\剑灵\78EC69E9845F110C88173C9CFDCFB619\TenioDL\TenioDL.exe
FirewallRules: [{D2CFDD30-DE86-4E9B-B2FA-472A751E23ED}] => C:\Users\Алексей\AppData\Roaming\Tencent\剑灵\78EC69E9845F110C88173C9CFDCFB619\TenioDL\TenioDL.exe
FirewallRules: [{345B42F5-420C-4459-AE12-06AA5804B5DB}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\b63babdd09351f1c824263f071a003fe\teniodl\teniodl.exe
FirewallRules: [{1E92439D-23AE-4F5D-8248-184CA069D6BA}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\b63babdd09351f1c824263f071a003fe\teniodl\teniodl.exe
FirewallRules: [{8DC059A3-AD19-40BB-9DCA-8579036C0A6C}] => C:\program files (x86)\common files\tencent\qqvipdownloader\124\tencentdl.exe
FirewallRules: [{92E6E269-B831-44E3-BA3E-F022E2569793}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\3bdce7ecfdd6b9bfb73931c9c6596e3a\teniodl\teniodl.exe
FirewallRules: [{1DCB3ACF-3E6A-48E8-8B36-4E06A783942A}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\3bdce7ecfdd6b9bfb73931c9c6596e3a\teniodl\teniodl.exe
FirewallRules: [{CEDB67C9-3DA6-4C27-B0DC-881706A001E9}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\e51960b76388d88506decd9f87ae8a22\teniodl\teniodl.exe
FirewallRules: [{BC2EB5FE-DE0E-4D69-BC6A-A20D041FFEF4}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\e51960b76388d88506decd9f87ae8a22\teniodl\teniodl.exe
FirewallRules: [{978F44AD-9D23-4BE5-9AA9-44BD7A0F3A5C}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\531a1da6996cd6cd9f26e56718316e4c\teniodl\teniodl.exe
FirewallRules: [{699DA06F-1F61-49DE-B36C-6A27B903ACFE}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\531a1da6996cd6cd9f26e56718316e4c\teniodl\teniodl.exe
FirewallRules: [{FB23A5FE-6801-4A44-BA1C-8A664C84C3E4}] => C:\program files (x86)\common files\tencent\qqdownload\125\tencentdl.exe
FirewallRules: [{2179C1C2-6A8E-48D6-AF9B-FFBDEC5FC807}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\5dccbd9307d8f58be633d16f88edf0df\teniodl\teniodl.exe
FirewallRules: [{09CF4FA4-D790-4645-BFA0-6645F733CB84}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\5dccbd9307d8f58be633d16f88edf0df\teniodl\teniodl.exe
FirewallRules: [{2AD87B29-CA87-4856-AF38-6AA969565161}] => C:\program files (x86)\common files\tencent\qqdownload\125\tencentdl.exe
FirewallRules: [{E892C643-C6E8-46B5-96F1-56677EED4885}] => C:\program files (x86)\common files\tencent\qqdownload\125\tencentdl.exe
FirewallRules: [{E484D514-0910-414E-B051-E34D068F58E0}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\611af4ce883ed162e2bddae6fb53ef3e\teniodl\teniodl.exe
FirewallRules: [{5BA1726C-A51A-4571-83FF-FCD0F01D37E7}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\611af4ce883ed162e2bddae6fb53ef3e\teniodl\teniodl.exe
FirewallRules: [{780297E9-E597-4742-BAA2-BCA0662A5783}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\255240587b42df1193ddd2bc236ce21e\teniodl\teniodl.exe
FirewallRules: [{A4AC9218-802A-4F06-B8B7-06FD3984D68E}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\255240587b42df1193ddd2bc236ce21e\teniodl\teniodl.exe
FirewallRules: [{B8F3FB7E-6A04-420C-91DE-29A3AE0D9E73}] => C:\program files (x86)\common files\tencent\qqdownload\125\tencentdl.exe
FirewallRules: [{3894DF3C-3875-4ECD-8578-EC505AA3D8A8}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\111811754df9d6e6cad50ffd87bbf58a\teniodl\teniodl.exe
FirewallRules: [{E4A07BC7-9EAC-4C1F-9D58-B4DCE4B79EE1}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\111811754df9d6e6cad50ffd87bbf58a\teniodl\teniodl.exe
FirewallRules: [{567C2732-519A-490E-AB98-F2A82226A285}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\a085f394a39500d7fcb0b8bdf33c53a3\teniodl\teniodl.exe
FirewallRules: [{89233F93-D9F0-4624-BF12-D78A4DF8D720}] => c:\users\Алексей\appdata\roaming\tencent\剑灵\a085f394a39500d7fcb0b8bdf33c53a3\teniodl\teniodl.exe
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Вот

Сообщите, что с проблемой?

[QUOTE=SQ;1422772]Сообщите, что с проблемой?[/QUOTE]
Закрывайте тему,спасибо за помощь.

Удачи Вам!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\алексей\appdata\local\microsoft\49fbb31e9cdf1743cb40f92adbb826bd\6931bb8204684f7841daa298a14d7333.exe - [B]not-a-virus:WebToolbar.Win32.Agent.adxm[/B][/LIST][/LIST]