Пачка троянов [not-a-virus:HEUR:RiskTool.Win32.Generic, Trojan.Win32.Agent.qwhqxf]

Printable View

10.11.2018, 18:15
Monolith

Вложений: 1

Пачка троянов [not-a-virus:HEUR:RiskTool.Win32.Generic, Trojan.Win32.Agent.qwhqxf]

Доброго дня!

Скачал "не тот файл" и получил целый букет прелестей.
Прошу помочь с убиением мерзостей. KIS не справляется и не может убить источник.

[ATTACH=CONFIG]674862[/ATTACH]
10.11.2018, 18:16
Info_bot

Уважаемый(ая) [B]Monolith[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
10.11.2018, 21:01
thyrex

Выполните скрипт в AVZ из папки Autologger
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
SetServiceStart('CRMSvc', 4);
DeleteService('CRMSvc');
QuarantineFile('c:\users\alexander\appdata\local\william\william.dll','');
TerminateProcessByName('C:\Users\Alexander\AppData\Roaming\CRMSvc\CRMSvc.exe');
QuarantineFile('C:\Users\Alexander\AppData\Roaming\CRMSvc\CRMSvc.exe','');
TerminateProcessByName('C:\Program Files (x86)\SHSK\463343913.exe');
TerminateProcessByName('C:\Program Files (x86)\SHSK\698137163.exe');
TerminateProcessByName('c:\users\alexander\appdata\roaming\autohot.exe');
QuarantineFile('c:\users\alexander\appdata\roaming\autohot.exe','');
QuarantineFile('C:\Program Files (x86)\SHSK\698137163.exe','');
QuarantineFile('C:\Program Files (x86)\SHSK\463343913.exe','');
DeleteFile('C:\Program Files (x86)\SHSK\463343913.exe','32');
DeleteFile('C:\Program Files (x86)\SHSK\698137163.exe','32');
DeleteFile('c:\users\alexander\appdata\roaming\autohot.exe','32');
DeleteFile('C:\Users\Alexander\AppData\Roaming\CRMSvc\CRMSvc.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','sqgsf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','cjcsicgapjm');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','1lurmvckbb5');
DeleteFile('C:\WINDOWS\Tasks\Online Application V2G2.job','32');
DeleteFile('C:\WINDOWS\Tasks\Online Application V2G1.job','32');
DeleteFile('C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe','32');
DeleteFile('C:\WINDOWS\Tasks\Online Application V2G3.job','32');
DeleteFile('C:\WINDOWS\Tasks\Online Application V2G4.job','32');
DeleteFile('C:\WINDOWS\Tasks\Online Application V2G5.job','32');
DeleteFile('C:\WINDOWS\Tasks\Online Application V2G6.job','32');
DeleteFile('C:\WINDOWS\Tasks\Updater_Online_Application.job','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\SMB\UninstallSMB1ClientTask','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\SMB\UninstallSMB1ServerTask','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Updater_Online_Application','64');

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]
10.11.2018, 23:17
Monolith

Вложений: 1

Благодарю за помощь!

Все сделал. Куча мелкого хлама ещё появляется и реклама в браузере лезет

[ATTACH=CONFIG]674872[/ATTACH]
11.11.2018, 00:25
thyrex

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Файлы [b]FRST.txt[/b] и [b]Addition.txt[/b] заархивируйте (в [b]один общий архив[/b]) и прикрепите к сообщению.
11.11.2018, 13:03
Monolith

Вложений: 1

Все сделал! Жду дальнейших указаний.
[ATTACH=CONFIG]674880[/ATTACH]
11.11.2018, 14:18
thyrex

[QUOTE]One System Care
SafeFinder
YoutubeAdBlock[/QUOTE]удалите через Установку программ. А после предложенного далее скрипта точно так поступите с Online Application.

Расширение
[QUOTE]Adblocker for Youtube™[/QUOTE] удалите во всех профилях в Хроме.
Если расширения
[QUOTE]Bazz Search
Data source[/QUOTE]тоже незнакомы, то тоже удаляйте.

1. Выделите следующий код:
[code]
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-2954216744-470866098-549680285-1004\...\Run: [40RN37DZNRIV2TT] => C:\Program Files\YP9KD5D5A9\YP9KD5D5A.exe [911360 2018-11-10] (OZ0)
HKU\S-1-5-21-2954216744-470866098-549680285-1004\...\Run: [XJGOBV5NZ8WAN1A] => C:\Program Files\WRQVYH2JBA\WRQVYH2JB.exe [903168 2018-11-10] (49VY%F)
HKU\S-1-5-21-2954216744-470866098-549680285-1004\...\Run: [OFZCI03RMZD79MV] => C:\Program Files\EJR6DTYSMT\EJR6DTYSM.exe [903168 2018-11-10] (49VY%F)
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.7.0 - Microleaves) Hidden <==== ATTENTION
HKU\S-1-5-21-2954216744-470866098-549680285-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1H2gsnoZW1XeWyDsJjjcxSG6xwv6Z35oTDsmPSO23AyEPQLB7leRTfzntZbqL01w1XiJ9t2geNQMlqLys9MFTYG3JVfcT03pv4Z-cNq1jzyLMMHjLdMp7EKT-fTIjrHLgAyPn1aaxUWbo4sPLOiqkhg1HeN8r&q={searchTerms}
HKU\S-1-5-21-2954216744-470866098-549680285-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1H2gsnoZW1XeWyDsJjjcxSG6xwv6Z35oTDsmPSO23AyEPQLB7leRTfzntZbqL01w5SkC1kl6mqaz187gMIDJpMOdzViefSYw5i8At1lR3OUDCLX8CGiWio1ilQezxTMrGgANq5RLb59zx9MdSl4n1f9iKlffn
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1H2gsnoZW1XeWyDsJjjcxSG6xwv6Z35oTDsmPSO23AyEPQLB7leRTfzntZbqL01w1XiJ9t2geNQMlqLys9MFTYG3JVfcT03pv4Z-cNq1jzyLMMHjLdMp7EKT-fTIjrHLgAyPn1aaxUWbo4sPLOiqkhg1HeN8r&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2954216744-470866098-549680285-1004 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1H2gsnoZW1XeWyDsJjjcxSG6xwv6Z35oTDsmPSO23AyEPQLB7leRTfzntZbqL01w1XiJ9t2geNQMlqLys9MFTYG3JVfcT03pv4Z-cNq1jzyLMMHjLdMp7EKT-fTIjrHLgAyPn1aaxUWbo4sPLOiqkhg1HeN8r&q={searchTerms}
BHO: No Name -> {14D0AD49-F627-4E41-93CA-E9A444EE8B22} -> No File
BHO-x32: No Name -> {14D0AD49-F627-4E41-93CA-E9A444EE8B22} -> No File
BHO-x32: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File
C:\Users\Alexander\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmepafhiigbfimndaicdpoeebdgmkfdb
C:\Users\Alexander\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\nmepafhiigbfimndaicdpoeebdgmkfdb
C:\Users\Alexander\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\nmepafhiigbfimndaicdpoeebdgmkfdb
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKU\S-1-5-21-2954216744-470866098-549680285-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2954216744-470866098-549680285-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2954216744-470866098-549680285-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2954216744-470866098-549680285-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
2018-11-10 22:34 - 2018-11-10 22:34 - 000000000 ____D C:\Users\Alexander\AppData\Roaming\lgpvevofggj
2018-11-10 22:34 - 2018-11-10 22:34 - 000000000 ____D C:\Users\Alexander\AppData\Roaming\2ii1z3eoomy
2018-11-10 22:34 - 2018-11-10 22:34 - 000000000 ____D C:\Program Files\WRQVYH2JBA
2018-11-10 22:34 - 2018-11-10 22:34 - 000000000 ____D C:\Program Files\EJR6DTYSMT
2018-11-10 22:17 - 2018-11-10 22:17 - 000000000 ____D C:\Users\Alexander\AppData\Roaming\axv2oxqygfq
2018-11-10 22:17 - 2018-11-10 22:17 - 000000000 ____D C:\Program Files\YP9KD5D5A9
2018-11-10 21:21 - 2018-11-10 21:33 - 000000000 ____D C:\Users\Alexander\AppData\Roaming\gewdgw30gy5
2018-11-10 21:21 - 2018-11-10 21:33 - 000000000 ____D C:\Users\Alexander\AppData\Roaming\1udv2lyqguq
2018-11-10 21:21 - 2018-11-10 21:33 - 000000000 ____D C:\Program Files\6LZG5ULDLZ
2018-11-10 21:21 - 2018-11-10 21:30 - 000000000 ____D C:\Program Files\F0TW616C91
2018-11-10 20:36 - 2018-11-10 21:33 - 000000000 ____D C:\Users\Alexander\AppData\Roaming\xmd1bhdenja
2018-11-10 20:36 - 2018-11-10 21:33 - 000000000 ____D C:\Program Files\PABS3LVBK8
2018-11-10 20:21 - 2018-11-10 21:33 - 000000000 ____D C:\Users\Alexander\AppData\Roaming\h4rni4phn4w
2018-11-10 20:21 - 2018-11-10 21:32 - 000000000 ____D C:\Program Files\ONQQK3VP1V
2018-11-10 19:51 - 2018-11-10 21:32 - 000000000 ____D C:\Users\Alexander\AppData\Roaming\tnc35myjki1
2018-11-10 19:51 - 2018-11-10 21:30 - 000000000 ____D C:\Program Files\8943JUQG7M
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> No File
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> No File
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> No File
ContextMenuHandlers6: [Fast Explorer] -> {693BE9C0-BEC3-11D2-B4C1-C33BBD3AD64B} => -> No File
ContextMenuHandlers6: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} => -> No File
Task: {0A4564DD-22E7-45D5-9BEF-CE5FD2351497} - System32\Tasks\WinThruster64-Alexander-Notification => D:\torrent\Solvusoft\WinThruster\Sync.exe <==== ATTENTION
Task: {1EC318AE-E4E3-4991-8B43-81C60571CEEF} - System32\Tasks\One System CarePeriod => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe [2018-11-06] () <==== ATTENTION
Task: {51765941-35D5-4FE8-80DD-1E4ECDBA7C83} - System32\Tasks\WinThruster64-Alexander-Startup => D:\torrent\Solvusoft\WinThruster\WinThruster64.exe <==== ATTENTION
Task: {726B32AE-3E5A-4F4B-AEA7-414D492C8AC4} - \Microsoft\Windows\SMB\UninstallSMB1ServerTask -> No File <==== ATTENTION
Task: {787E9619-633D-46B7-8FD6-68FD684A1368} - System32\Tasks\95e9e6f9-00ae-46bc-b98d-9b2e9fd94dd0 => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe [2018-11-06] ()
Task: {8CD4F25C-B73A-4E7F-9920-3366884634C4} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {B07FF88D-8384-4176-8121-DD9848AFABE0} - \Microsoft\Windows\SMB\UninstallSMB1ClientTask -> No File <==== ATTENTION
Task: C:\WINDOWS\Tasks\One System CarePeriod.job => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\Test Task17.job => C:\ProgramData\ouvpt\xjrre.exe
Task: C:\WINDOWS\Tasks\WinThruster64-Alexander-Notification.job => D:\torrent\Solvusoft\WinThruster\Sync.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\WinThruster64-Alexander-Startup.job => D:\torrent\Solvusoft\WinThruster\WinThruster64.exe <==== ATTENTION
2018-11-10 19:23 - 2018-11-10 21:32 - 000000238 _____ C:\WINDOWS\Tasks\Test Task17.job
2018-11-10 19:23 - 2018-11-10 21:31 - 000000000 ____D C:\Users\Все пользователи\ouvpt
2018-11-10 19:23 - 2018-11-10 21:31 - 000000000 ____D C:\ProgramData\ouvpt
2018-11-10 19:21 - 2018-11-10 21:32 - 000000000 ____D C:\Users\Alexander\AppData\Roaming\afwhpmiatkh
2018-11-10 19:21 - 2018-11-10 21:31 - 000000000 ____D C:\Program Files\MWF23XMEFU
2018-11-10 19:06 - 2018-11-10 21:32 - 000000000 ____D C:\Users\Alexander\AppData\Roaming\xlq4qghmthi
2018-11-10 19:06 - 2018-11-10 21:30 - 000000000 ____D C:\Program Files\NU526HE8VB
2018-11-10 18:26 - 2018-11-10 21:32 - 000000298 _____ C:\WINDOWS\Tasks\One System CarePeriod.job
2018-11-10 18:26 - 2018-11-10 18:26 - 000002934 _____ C:\WINDOWS\System32\Tasks\One System CarePeriod
2018-11-10 18:21 - 2018-11-10 18:26 - 000000000 ____D C:\Users\Alexander\AppData\Roaming\One System Care
2018-11-10 18:21 - 2018-11-10 18:26 - 000000000 ____D C:\Program Files (x86)\OneSystemCare
2018-11-10 18:21 - 2018-11-10 18:21 - 000003454 _____ C:\WINDOWS\System32\Tasks\75a7345b-89de-460e-a3ed-a555054ef1bd
2018-11-10 18:21 - 2018-11-10 18:21 - 000003446 _____ C:\WINDOWS\System32\Tasks\95e9e6f9-00ae-46bc-b98d-9b2e9fd94dd0
2018-11-10 18:21 - 2018-11-10 18:21 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\One System Care
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [134]
AlternateDataStreams: C:\Users\Public\AppData:CSM [474]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [118]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57 [134]
2018-11-10 17:34 - 2018-11-10 17:38 - 000000000 ____D C:\Users\Alexander\AppData\Roaming\iilysgdwitq
2018-11-10 17:34 - 2018-11-10 17:35 - 000001277 _____ C:\Users\Alexander\Desktop\cmd.exe.lnk
2018-11-10 17:23 - 2018-11-10 22:38 - 000000000 ____D C:\Users\Alexander\AppData\Roaming\CRMSvc
2018-11-10 17:23 - 2018-11-10 22:38 - 000000000 ____D C:\Program Files (x86)\SHSK
2018-11-10 17:23 - 2018-11-10 17:31 - 000000000 ____D C:\Users\Все пользователи\Quoteex
2018-11-10 17:23 - 2018-11-10 17:31 - 000000000 ____D C:\ProgramData\Quoteex
2018-11-10 17:23 - 2018-11-10 17:26 - 000000000 ____D C:\Users\Все пользователи\Logic Cramble
2018-11-10 17:23 - 2018-11-10 17:26 - 000000000 ____D C:\Users\Alexander\AppData\Roaming\2kya3zmz5uh
2018-11-10 17:23 - 2018-11-10 17:26 - 000000000 ____D C:\ProgramData\Logic Cramble
2018-11-10 17:23 - 2018-11-10 17:24 - 000000000 ____D C:\Users\Alexander\AppData\Roaming\v3jxln01ajl
2018-11-10 17:23 - 2018-11-10 17:23 - 002020521 _____ C:\Users\Alexander\AppData\Local\Freetom.tst
2018-11-10 17:23 - 2018-11-10 17:23 - 000722944 _____ C:\Users\Alexander\AppData\Local\sham.db
2018-11-10 17:23 - 2018-11-10 17:23 - 000278510 _____ C:\Users\Alexander\AppData\Local\U-light.tst
2018-11-10 17:23 - 2018-11-10 17:23 - 000140800 _____ C:\Users\Alexander\AppData\Local\installer.dat
2018-11-10 17:23 - 2018-11-10 17:23 - 000126464 _____ C:\Users\Alexander\AppData\Local\noah.dat
2018-11-10 17:23 - 2018-11-10 17:23 - 000070896 _____ C:\Users\Alexander\AppData\Local\Config.xml
2018-11-10 17:23 - 2018-11-10 17:23 - 000016416 _____ C:\Users\Alexander\AppData\Local\InstallationConfiguration.xml
2018-11-10 17:23 - 2018-11-10 17:23 - 000015606 _____ C:\WINDOWS\SysWOW64\findit.xml
2018-11-10 17:23 - 2018-11-10 17:23 - 000005568 _____ C:\Users\Alexander\AppData\Local\md.xml
2018-11-10 17:23 - 2018-11-10 17:23 - 000000000 ____D C:\Users\Все пользователи\Quoteexs
2018-11-10 17:23 - 2018-11-10 17:23 - 000000000 ____D C:\ProgramData\Quoteexs
2018-11-10 17:23 - 2018-11-10 17:23 - 000000000 _____ C:\Users\Alexander\AppData\Roaming\ds.tmp
2018-11-10 17:22 - 2018-11-10 17:22 - 000000000 ____D C:\Users\Alexander\AppData\Roaming\Microleaves
2018-11-10 19:23 - 2018-11-10 19:23 - 000821760 _____ () C:\Users\Alexander\AppData\Local\Temp\rer.exe
HKU\S-1-5-21-2954216744-470866098-549680285-1004\...\StartupApproved\Run: => "Zaxar"
HKU\S-1-5-21-2954216744-470866098-549680285-1004\...\StartupApproved\Run: => "amigo"
HKU\S-1-5-21-2954216744-470866098-549680285-1004\...\StartupApproved\Run: => "255488"
HKU\S-1-5-21-2954216744-470866098-549680285-1004\...\StartupApproved\Run: => "40RN37DZNRIV2TT"
HKU\S-1-5-21-2954216744-470866098-549680285-1004\...\StartupApproved\Run: => "OFZCI03RMZD79MV"
HKU\S-1-5-21-2954216744-470866098-549680285-1004\...\StartupApproved\Run: => "XJGOBV5NZ8WAN1A"
File: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
Folder: C:\Users\Alexander\AppData\Local\William
Folder: C:\Users\Alexander\AppData\Local\AdvinstAnalytics
Reboot:
End::
[/code]
2. Скопируйте выделенный текст ([b]правая кнопка мыши[/b] – [b]Копировать[/b]).
3. Запустите [b]Farbar Recovery Scan Tool[/b].
4. Нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
12.11.2018, 20:29
Monolith

Вложений: 1

Все сделал. Лог приложил.
Посмотрю как сейчас все будет работать.
[ATTACH=CONFIG]674910[/ATTACH]
12.11.2018, 20:39
CyberHelper

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]5[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\users\alexander\appdata\local\william\william.dll - [B]Tr=
ojan.Win32.Agent.qwhqxf[/B] ( AVAST4: Win32:Trojan-gen )[*] c:\users\alexander\appdata\roaming\autohot.exe - [B]VHO:Troja=
n.Win32.Agent.qwhqyj[/B] ( AVAST4: Win32:Trojan-gen )[*] c:\users\alexander\appdata\roaming\crmsvc\crmsvc.exe - [B]no=
t-a-virus:HEUR:RiskTool.Win32.Generic[/B] ( AVAST4: Win32:Trojan-gen )=
[/LIST][/LIST]