Бесконечное открывание новых вкладок в Firefox и Chrome [HEUR:Trojan.Script.Generic, HEUR:Trojan.Win32.Agent.gen]

Printable View

18.04.2019, 12:16
EwGene

Вложений: 2

Бесконечное открывание новых вкладок в Firefox и Chrome [HEUR:Trojan.Script.Generic, HEUR:Trojan.Win32.Agent.gen]

Здравствуйте!
Прошу помощи, ибо ничего не помогает, а проблема очень серьёзная и назойливая.
Накануне скачала с виду нормальный файл, который по факту оказался ящиком Пандоры с вирусами.
Благодаря нему теперь с частотой от 2 секунд до нескольких минут в "Firefox" и "Chrome" открывается уйма вкладок с разными сайтами, но редирект идёт от thegoodcaster(.com). Периодически также вылезает приложение "One System Care" (которое я не устанавливала самостоятельно) и идёт попытка установки каких-то новых приложений.

Неоднократно прогоняла систему через "Dr. Web CureIt", "AdwCleaner" и "Spybot - Search&Destroy". Ничего не помогло. Они вроде что-то находят, удаляют, перемещают, но после перезагрузки компьютера всё начинается заново (причём автозапуском). Поиск и удаление подозрительных задач в планировщике также не принёс особых результатов. Самостоятельное вычисление сторонних файлов в папках "Windows", "Program Files" и "AppData" в общем-то завершились успешно, но вот удаление этих сторонних файлов вручную не получилось - система выдала что-то вроде ошибки доступа.

На данный момент подозрительными, но не удалёнными остаются:
- Приложения "One System Care", "Gerpril", "TrustedInstaller", H25MF9DDA.exe, TBFMIWCXV2.exe, ER6MNWIGP.exe, wscript.exe, appcmd.exe
- wsclient.dll, apphostsvc.dll, appobj.dll, certobj.dll, iisreg.dll и так далее
- Процесс? Программы? - HotStart и aspnetca (ASP.NET)
- Папки "SysWOW64" и "Prefetch" в "Windows"

И ещё: попытка соединиться с нормальными сайтами оканчивается также ничем - соединение отстутствует, при том что другие, "левые" сайты отлично загружаются.

Логи из "AutoLogger", а также некоторые скриншоты прикрепляю.
P.S. Слава богу, что есть ещё один компьютер, с которого можно связаться с миром:>
18.04.2019, 12:18
Info_bot

Уважаемый(ая) [B]EwGene[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
18.04.2019, 22:56
Vvvyg

Не то выложили, правила перечитайте.
18.04.2019, 23:20
EwGene

Вложений: 1

Да, извините.
Вот то, что нужно.
19.04.2019, 10:49
Vvvyg

Запустите HijackThis, расположенный в папке Autologger (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B])и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O15 - Trusted Zone: https://vk-local-server.cezurity.com
O17 - DHCP DNS 1: 116.202.1.65
O17 - HKLM\System\CCS\Services\Tcpip\..\{5DD9E258-11B1-408E-BE95-87DE75DE8979}: [NameServer] = 116.202.1.65
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D70597F-3509-4760-A26D-5B1A53B14A58}: [NameServer] = 116.202.1.65
O22 - Task: Adobe Flash Player NPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_171_Plugin.exe -check plugin (file missing)
O22 - Task: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Task: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Task: Norton WSC Integration - C:\Program Files (x86)\Norton Internet Security\Engine\22.9.4.8\WSCStub.exe /taskschd (file missing)
O22 - Task: \Norton Internet Security\Norton Internet Security Error Analyzer - C:\Program Files (x86)\Norton Internet Security\Engine\22.9.4.8\SymErr.exe /analyze (file missing)
O22 - Task: \Norton Internet Security\Norton Internet Security Error Processor - C:\Program Files (x86)\Norton Internet Security\Engine\22.9.4.8\SymErr.exe /submit (file missing)[/code]
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('C:\Program Files (x86)\Rotation\428190386.exe');
TerminateProcessByName('C:\Program Files (x86)\Rotation\612377947.exe');
TerminateProcessByName('C:\Program Files\Hewlett-Packard\3XVSILJ8P53GRG\kXLHCink8w.exe');
TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-13qpb.tmp\awhtrevkxf0.tmp');
TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-51mhv.tmp\1bei5fvhd3b.tmp');
TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-9oea2.tmp\khmgohgycfm.tmp');
TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-da6rb.tmp\lczuaazddk1.tmp');
TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-ddnj3.tmp\l045jjx0cxi.tmp');
TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-ds1bb.tmp\zhtnfrcltd2.tmp');
TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-est3t.tmp\ixcynhtlkw3.tmp');
TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-m9hd2.tmp\pt0rp2kgxhp.tmp');
TerminateProcessByName('c:\users\0982~1\appdata\local\temp\is-rlr67.tmp\1g5nrcjsnkn.tmp');
TerminateProcessByName('c:\users\Женя\appdata\roaming\002ejuwlyrd\pt0rp2kgxhp.exe');
TerminateProcessByName('c:\users\Женя\appdata\roaming\bidfl1prcca\l045jjx0cxi.exe');
TerminateProcessByName('c:\users\Женя\appdata\roaming\byxvokhwjlo\lczuaazddk1.exe');
TerminateProcessByName('c:\users\Женя\appdata\roaming\czmtnotjlx2\awhtrevkxf0.exe');
TerminateProcessByName('c:\users\Женя\appdata\roaming\ezx1g2keys5\ixcynhtlkw3.exe');
TerminateProcessByName('c:\users\Женя\appdata\roaming\j45trjrrnxu\1g5nrcjsnkn.exe');
TerminateProcessByName('c:\users\Женя\appdata\roaming\ly1zn1dznpz\zhtnfrcltd2.exe');
TerminateProcessByName('c:\users\Женя\appdata\roaming\n4vz3enxmkl\1bei5fvhd3b.exe');
TerminateProcessByName('c:\users\Женя\appdata\roaming\sbznvpi10sk\khmgohgycfm.exe');
StopService('rcdll');
QuarantineFile('C:\Program Files (x86)\Rotation\428190386.exe', '');
QuarantineFile('C:\Program Files (x86)\Rotation\612377947.exe', '');
QuarantineFile('C:\Program Files (x86)\yXYMSblVdIE\kf9eOEHK.dll', '');
QuarantineFile('C:\Program Files\Hewlett-Packard\3XVSILJ8P53GRG\#gRYDWjxe4.exe', '');
QuarantineFile('C:\Program Files\Hewlett-Packard\3XVSILJ8P53GRG\kXLHCink8w.exe', '');
QuarantineFile('c:\users\0982~1\appdata\local\temp\is-13qpb.tmp\awhtrevkxf0.tmp', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-4JTGL.tmp\_isetup\_isdecmp.dll', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-4JTGL.tmp\idp.dll', '');
QuarantineFile('c:\users\0982~1\appdata\local\temp\is-51mhv.tmp\1bei5fvhd3b.tmp', '');
QuarantineFile('c:\users\0982~1\appdata\local\temp\is-9oea2.tmp\khmgohgycfm.tmp', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-A4FHR.tmp\_isetup\_isdecmp.dll', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-A4FHR.tmp\idp.dll', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-BHLB3.tmp\_isetup\_isdecmp.dll', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-BHLB3.tmp\idp.dll', '');
QuarantineFile('c:\users\0982~1\appdata\local\temp\is-da6rb.tmp\lczuaazddk1.tmp', '');
QuarantineFile('c:\users\0982~1\appdata\local\temp\is-ddnj3.tmp\l045jjx0cxi.tmp', '');
QuarantineFile('c:\users\0982~1\appdata\local\temp\is-ds1bb.tmp\zhtnfrcltd2.tmp', '');
QuarantineFile('c:\users\0982~1\appdata\local\temp\is-est3t.tmp\ixcynhtlkw3.tmp', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-JT3LN.tmp\_isetup\_isdecmp.dll', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-JT3LN.tmp\idp.dll', '');
QuarantineFile('c:\users\0982~1\appdata\local\temp\is-m9hd2.tmp\pt0rp2kgxhp.tmp', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-OR5M4.tmp\_isetup\_isdecmp.dll', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-OR5M4.tmp\idp.dll', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-P2ULT.tmp\_isetup\_isdecmp.dll', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-P2ULT.tmp\idp.dll', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-RKIUU.tmp\_isetup\_isdecmp.dll', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-RKIUU.tmp\idp.dll', '');
QuarantineFile('c:\users\0982~1\appdata\local\temp\is-rlr67.tmp\1g5nrcjsnkn.tmp', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-RO3MM.tmp\_isetup\_isdecmp.dll', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-RO3MM.tmp\idp.dll', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-UON8P.tmp\_isetup\_isdecmp.dll', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\is-UON8P.tmp\idp.dll', '');
QuarantineFile('C:\Users\0982~1\AppData\Local\Temp\rcdll.exe', '');
QuarantineFile('c:\users\Женя\appdata\roaming\002ejuwlyrd\pt0rp2kgxhp.exe', '');
QuarantineFile('c:\users\Женя\appdata\roaming\bidfl1prcca\l045jjx0cxi.exe', '');
QuarantineFile('c:\users\Женя\appdata\roaming\byxvokhwjlo\lczuaazddk1.exe', '');
QuarantineFile('c:\users\Женя\appdata\roaming\czmtnotjlx2\awhtrevkxf0.exe', '');
QuarantineFile('c:\users\Женя\appdata\roaming\ezx1g2keys5\ixcynhtlkw3.exe', '');
QuarantineFile('c:\users\Женя\appdata\roaming\j45trjrrnxu\1g5nrcjsnkn.exe', '');
QuarantineFile('c:\users\Женя\appdata\roaming\ly1zn1dznpz\zhtnfrcltd2.exe', '');
QuarantineFile('c:\users\Женя\appdata\roaming\n4vz3enxmkl\1bei5fvhd3b.exe', '');
QuarantineFile('c:\users\Женя\appdata\roaming\sbznvpi10sk\khmgohgycfm.exe', '');
DeleteFile('C:\Program Files (x86)\Rotation\428190386.exe', '');
DeleteFile('C:\Program Files (x86)\Rotation\612377947.exe', '');
DeleteFile('C:\Program Files (x86)\Rotation\428190386.exe', '64');
DeleteFile('C:\Program Files (x86)\Rotation\612377947.exe', '64');
DeleteFile('C:\Program Files (x86)\yXYMSblVdIE\kf9eOEHK.dll', '');
DeleteFile('C:\Program Files\Hewlett-Packard\3XVSILJ8P53GRG\#gRYDWjxe4.exe', '64');
DeleteFile('C:\Program Files\Hewlett-Packard\3XVSILJ8P53GRG\kXLHCink8w.exe', '');
DeleteFile('c:\users\0982~1\appdata\local\temp\is-13qpb.tmp\awhtrevkxf0.tmp', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-4JTGL.tmp\_isetup\_isdecmp.dll', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-4JTGL.tmp\idp.dll', '');
DeleteFile('c:\users\0982~1\appdata\local\temp\is-51mhv.tmp\1bei5fvhd3b.tmp', '');
DeleteFile('c:\users\0982~1\appdata\local\temp\is-9oea2.tmp\khmgohgycfm.tmp', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-A4FHR.tmp\_isetup\_isdecmp.dll', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-A4FHR.tmp\idp.dll', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-BHLB3.tmp\_isetup\_isdecmp.dll', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-BHLB3.tmp\idp.dll', '');
DeleteFile('c:\users\0982~1\appdata\local\temp\is-da6rb.tmp\lczuaazddk1.tmp', '');
DeleteFile('c:\users\0982~1\appdata\local\temp\is-ddnj3.tmp\l045jjx0cxi.tmp', '');
DeleteFile('c:\users\0982~1\appdata\local\temp\is-ds1bb.tmp\zhtnfrcltd2.tmp', '');
DeleteFile('c:\users\0982~1\appdata\local\temp\is-est3t.tmp\ixcynhtlkw3.tmp', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-JT3LN.tmp\_isetup\_isdecmp.dll', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-JT3LN.tmp\idp.dll', '');
DeleteFile('c:\users\0982~1\appdata\local\temp\is-m9hd2.tmp\pt0rp2kgxhp.tmp', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-OR5M4.tmp\_isetup\_isdecmp.dll', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-OR5M4.tmp\idp.dll', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-P2ULT.tmp\_isetup\_isdecmp.dll', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-P2ULT.tmp\idp.dll', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-RKIUU.tmp\_isetup\_isdecmp.dll', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-RKIUU.tmp\idp.dll', '');
DeleteFile('c:\users\0982~1\appdata\local\temp\is-rlr67.tmp\1g5nrcjsnkn.tmp', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-RO3MM.tmp\_isetup\_isdecmp.dll', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-RO3MM.tmp\idp.dll', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-UON8P.tmp\_isetup\_isdecmp.dll', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\is-UON8P.tmp\idp.dll', '');
DeleteFile('C:\Users\0982~1\AppData\Local\Temp\rcdll.exe', '');
DeleteFile('c:\users\Женя\appdata\roaming\002ejuwlyrd\pt0rp2kgxhp.exe', '');
DeleteFile('c:\users\Женя\appdata\roaming\bidfl1prcca\l045jjx0cxi.exe', '');
DeleteFile('c:\users\Женя\appdata\roaming\byxvokhwjlo\lczuaazddk1.exe', '');
DeleteFile('c:\users\Женя\appdata\roaming\czmtnotjlx2\awhtrevkxf0.exe', '');
DeleteFile('c:\users\Женя\appdata\roaming\ezx1g2keys5\ixcynhtlkw3.exe', '');
DeleteFile('c:\users\Женя\appdata\roaming\j45trjrrnxu\1g5nrcjsnkn.exe', '');
DeleteFile('c:\users\Женя\appdata\roaming\ly1zn1dznpz\zhtnfrcltd2.exe', '');
DeleteFile('c:\users\Женя\appdata\roaming\n4vz3enxmkl\1bei5fvhd3b.exe', '');
DeleteFile('c:\users\Женя\appdata\roaming\sbznvpi10sk\khmgohgycfm.exe', '');
DeleteFile('C:\Users\Женя\Favorites\Links\Интернет.url');
DeleteService('gupdate');
DeleteService('gupdatem');
DeleteService('rcdll');
DeleteFileMask('c:\program files (x86)\yxymsblvdie', '*', true);
DeleteFileMask('c:\program files\hewlett-packard\3xvsilj8p53grg', '*', true);
DeleteFileMask('c:\users\женя\appdata\roaming\002ejuwlyrd', '*', true);
DeleteFileMask('c:\users\женя\appdata\roaming\bidfl1prcca', '*', true);
DeleteFileMask('c:\users\женя\appdata\roaming\byxvokhwjlo', '*', true);
DeleteFileMask('c:\users\женя\appdata\roaming\czmtnotjlx2', '*', true);
DeleteFileMask('c:\users\женя\appdata\roaming\ezx1g2keys5', '*', true);
DeleteFileMask('c:\users\женя\appdata\roaming\j45trjrrnxu', '*', true);
DeleteFileMask('c:\users\женя\appdata\roaming\ly1zn1dznpz', '*', true);
DeleteFileMask('c:\users\женя\appdata\roaming\n4vz3enxmkl', '*', true);
DeleteFileMask('c:\users\женя\appdata\roaming\sbznvpi10sk', '*', true);
DeleteDirectory('c:\program files (x86)\yxymsblvdie');
DeleteDirectory('c:\program files\hewlett-packard\3xvsilj8p53grg');
DeleteDirectory('c:\users\женя\appdata\roaming\002ejuwlyrd');
DeleteDirectory('c:\users\женя\appdata\roaming\bidfl1prcca');
DeleteDirectory('c:\users\женя\appdata\roaming\byxvokhwjlo');
DeleteDirectory('c:\users\женя\appdata\roaming\czmtnotjlx2');
DeleteDirectory('c:\users\женя\appdata\roaming\ezx1g2keys5');
DeleteDirectory('c:\users\женя\appdata\roaming\j45trjrrnxu');
DeleteDirectory('c:\users\женя\appdata\roaming\ly1zn1dznpz');
DeleteDirectory('c:\users\женя\appdata\roaming\n4vz3enxmkl');
DeleteDirectory('c:\users\женя\appdata\roaming\sbznvpi10sk');
DelBHO('{0A11C8B7-2333-42A8-8DB1-9A7A91832C55}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', '4zsdsc4g3x3');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'novmvun3z0l');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(21);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Удалите Spybot - Search & Destroy.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
19.04.2019, 15:53
EwGene

Вложений: 1

Всё сделала, карантин загрузила, образ прикрепляю.
Только вот в "HijackThis" не было этой строки - "O17 - DHCP DNS 1: 116.202.1.65". Несколько раз проверила.
19.04.2019, 22:43
Vvvyg

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ЖЕНЯ\APPDATA\LOCAL\APP\CSRSS.EXE
addsgn A1BA20CF1DE77997662151F9E9761295D775B47B0E0EAC6E853CF57B50F4756A27479466E5645401A84D7B77161649FA7C049C70A6193B3265F44AD3D6DDA865 8 Trojan.Win32.Fsysna.fbvf [Kaspersky] 7

zoo %SystemDrive%\PROGRAM FILES (X86)\SMCQOZNMU\YFTCGA.DLL
addsgn A7679B1928664D070E3C228964C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D9D742F906C18491649C9BD9F6307595F4659214E91A75C02327C 16 Win32.AdWare.Neoreklami.CW [Comodo] 7

chklst
delvir

delall %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\{5C3FD6D1-9185-4195-B5E1-FAB622427F59}\INSTALL.RDF
delall %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\{430144B3-1DBC-4C4B-925E-8A7A98AEEBC8}\INSTALL.RDF
delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\EZX1G2KEYS5\IXCYNHTLKW3.EXE
delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\SBZNVPI10SK\KHMGOHGYCFM.EXE
delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\BIDFL1PRCCA\L045JJX0CXI.EXE
delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\BYXVOKHWJLO\LCZUAAZDDK1.EXE
delref %SystemDrive%\USERS\0982~1\APPDATA\LOCAL\TEMP\IS-L1DS7.TMP\PARSERHRML.EXE
delref %SystemDrive%\USERS\0982~1\APPDATA\LOCAL\TEMP\IS-2NNCB.TMP\PARSERHRML.EXE
delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\002EJUWLYRD\PT0RP2KGXHP.EXE
delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\GERPRIL\PYTHON\PYTHONW.EXE
delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\N4VZ3ENXMKL\1BEI5FVHD3B.EXE
delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\J45TRJRRNXU\1G5NRCJSNKN.EXE
delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\CZMTNOTJLX2\AWHTREVKXF0.EXE
delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\LY1ZN1DZNPZ\ZHTNFRCLTD2.EXE
deldir %SystemDrive%\PROGRAM FILES (X86)\ONESYSTEMCARE
zoo %SystemDrive%\PROGRAM FILES\RENDERAPP\APP\RENDERAPP.EXE
delref %SystemRoot%\SYSWOW64\INTELCPHECISVC.EXE
deldir %SystemDrive%\PROGRAM FILES (X86)\SMCQOZNMU
delref %SystemDrive%\PROGRAM FILES\HEWLETT-PACKARD\3XVSILJ8P53GRG\KXLHCINK8W.EXE
delref HTTP://SECUREDSEARCH.LAVASOFT.COM/?PR=VMN&ID=WEBCOMPA&ENT=HP_WCYID10092__190417
delref HTTPS://SEARCH.NORTON.COM/?PRT=NS&CHN=1000&GEO=US&VER=22.9.3.13&LOCALE=RU_US&DOI=2017-07-04&GUID=CAE6A47B-14EB-4731-98F5-DEFBDF3ECDDB
delref %SystemDrive%\PROGRAMDATA\NORTON\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.0.0.136\COFFPLGN
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\1DZJ9QDU.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\NPGOOGLEUPDATE3.DLL
delref %SystemRoot%\SYSWOW64\MACROMED\FLASH\NPSWF32_32_0_0_171.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAMDATA\GARBAGE CLEANER\GARBAGE CLEANER.EXE
zoo %SystemDrive%\PROGRAMDATA\ORIDTCDQOAEDDYVB\INTYUDO.WSF
delall %SystemDrive%\PROGRAMDATA\ORIDTCDQOAEDDYVB\INTYUDO.WSF
zoo %SystemDrive%\PROGRAM FILES (X86)\TCTALZJVVWVVC\JSHHUWH.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\TCTALZJVVWVVC\JSHHUWH.DLL
delref LOAD.PYC
delref %SystemDrive%\PROGRAMDATA\{4712D351-ACD5-211A-ADB1-99ADAD56C0FC}\{4712D351-ACD5-211A-ADB1-99ADAD56C0FC}.TMP
delref %SystemDrive%\PROGRAMDATA\{BAA18C41-F3C5-DCA9-BDEE-2A50BD097301}\{BAA18C41-F3C5-DCA9-BDEE-2A50BD097301}.TMP
zoo %SystemDrive%\PROGRAM FILES (X86)\FLCKDQUDXGVU2\XYEFCTGCLGBAV.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\FLCKDQUDXGVU2\XYEFCTGCLGBAV.DLL
zoo %SystemDrive%\PROGRAM FILES (X86)\YLHWHTQCDIYVIQTSTTR\WHHHTUD.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\YLHWHTQCDIYVIQTSTTR\WHHHTUD.DLL
delref %SystemRoot%\TEMP\OFFICEC2R2698B915-1343-4A65-9ED6-1A3DCE45EB22\V32.CAB
delref %SystemRoot%\TEMP\OFFICEC2R9C26778D-59BA-46E0-98E7-D871EF079E6D\V32.CAB
delref %SystemRoot%\TEMP\OFFICEC2R65C381C4-4C22-4B8E-8A2D-BF01BB2D0786\V32.CAB
delref %SystemRoot%\TEMP\OFFICEC2R8A7399DA-8ED8-4FE6-9763-9B9204F708FC\V32.CAB
delref %SystemDrive%\USERS\27C6~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_16912_21666\RESPONSE
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID]
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID]
delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID]
delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID]
delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID]
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\NORTON INTERNET SECURITY\ENGINE\20.6.0.27\IPS\IPSBHO.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\NORTON INTERNET SECURITY\ENGINE\20.6.0.27\EXTS\CHROME.CRX
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\LOCAL\MAIL.RU\DISK-O\CLOUDSHELL32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\YXYMSBLVDIE\TDEVPVT9.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\YXYMSBLVDIE\KF9EOEHK.DLL
delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6743.1212\AMD64\FILECOAUTHLIB64.DLL
delref %SystemDrive%\USERS\ЖЕНЯ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6743.1212\FILECOAUTHLIB.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 17.0.0\X64\MCOUAS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\NORTON INTERNET SECURITY\ENGINE64\20.6.0.27\MCSTATUS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\YXYMSBLVDIE\WPOEDLKFMU.EXE
delref %SystemRoot%\SYSWOW64\DNSSDX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\GOOGLEUPDATEONDEMAND.EXE
delref %SystemRoot%\SYSWOW64\IGFXEXPS32.DLL
delref %SystemRoot%\SYSWOW64\AEPROAM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RTCOM\RTDATAPROC.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\XAUDIO2_7.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\GOOGLEUPDATEBROKER.EXE
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemRoot%\SYSWOW64\IGFXDV32.DLL
delref %SystemRoot%\SYSWOW64\WPCCPL.DLL
delref %SystemRoot%\SYSWOW64\RTCOM\RTCOMDLL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\RTCOM\RTKCFG.DLL
delref %SystemRoot%\SYSWOW64\XACTENGINE3_7.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\NORTON INTERNET SECURITY\ENGINE\20.6.0.27\OFFICEAV.DLL
delref %SystemRoot%\SYSWOW64\INETSRV\IISRSTAS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\NORTON INTERNET SECURITY\ENGINE\20.6.0.27\SYMDGNHC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\NORTON INTERNET SECURITY\ENGINE\20.6.0.27\UIWEBHST.DLL
uidel "C:\Program Files (x86)\OneSystemCare\unins000.exe" /VERYSILENT
apply
deltmp
czoo
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Удалите YoutubeAdBlock.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
19.04.2019, 23:27
EwGene

Вложений: 2

Всё сделано.
19.04.2019, 23:51
Vvvyg

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-2559523857-1015711801-1493674037-1006\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-2559523857-1015711801-1493674037-1005\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-2559523857-1015711801-1493674037-1002\User: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Toolbar: HKU\S-1-5-21-2559523857-1015711801-1493674037-1002 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
FF NewTab: Mozilla\Firefox\Profiles\1dzj9qdu.default -> hxxp://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10092__190417
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
2019-04-19 15:10 - 2019-04-19 15:10 - 000000000 ____D C:\Program Files\OMSVBGI6J0
2019-04-18 23:17 - 2019-04-18 23:18 - 000000000 ____D C:\Program Files\J7TK3EXFT6
2019-04-18 23:17 - 2019-04-18 23:17 - 000000000 ____D C:\Program Files\7IM5VEREUA
2019-04-18 11:54 - 2019-04-18 11:54 - 000000000 ____D C:\Program Files\TMHZBKG4IB
2019-04-18 11:21 - 2019-04-19 15:26 - 000000294 _____ C:\WINDOWS\Tasks\One System CarePeriod.job
2019-04-18 11:21 - 2019-04-18 11:21 - 000002842 _____ C:\WINDOWS\System32\Tasks\One System CarePeriod
2019-04-18 11:16 - 2019-04-19 15:12 - 000003318 _____ C:\WINDOWS\System32\Tasks\One System Care Monitor
2019-04-18 11:16 - 2019-04-19 15:12 - 000003310 _____ C:\WINDOWS\System32\Tasks\One System Care Delayed
2019-04-18 11:14 - 2019-04-18 11:14 - 000000000 ____D C:\Program Files\SUKI6223RY
2019-04-18 11:13 - 2019-04-18 11:14 - 000000000 ____D C:\Program Files\9D8OPLYDC2
2019-04-17 23:01 - 2019-04-17 23:01 - 000000000 ____D C:\Spybot - Search & Destroy
2019-04-17 22:57 - 2019-04-17 22:59 - 000000000 ____D C:\AdwCleaner
2019-04-17 22:36 - 2019-04-17 23:00 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
2019-04-17 22:36 - 2019-04-17 22:50 - 000000000 ____D C:\Users\Женя\AppData\Local\Lavasoft
2019-04-17 22:35 - 2019-04-17 23:00 - 000000000 ____D C:\Program Files (x86)\Lavasoft
2019-04-17 22:34 - 2019-04-19 23:07 - 000000000 ____D C:\Users\Женя\AppData\Local\App
2019-04-17 22:34 - 2019-04-19 15:22 - 000000000 ____D C:\Program Files (x86)\Rotation
2019-04-17 22:34 - 2019-04-17 22:34 - 000722944 _____ C:\Users\Женя\AppData\Local\sha.db
2019-04-17 22:34 - 2019-04-17 22:34 - 000140800 _____ C:\Users\Женя\AppData\Local\installer.dat
2019-04-19 15:30 - 2017-08-01 20:35 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2019-04-19 15:29 - 2017-08-01 20:35 - 000000000 ____D C:\Users\Все пользователи\Spybot - Search & Destroy
2019-04-19 15:29 - 2017-08-01 20:35 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2019-04-19 15:21 - 2017-07-05 21:13 - 000000000 ____D C:\WINDOWS\System32\Tasks\Norton Internet Security
2017-06-06 20:41 - 2017-06-06 20:41 - 000000000 _____ () C:\Program Files\360
Task: {0262F914-CA88-430E-985E-B6E3FDA91862} - \Command Root Helper -> No File <==== ATTENTION
Task: {158B54A1-EC32-4827-9585-BF64A982BD08} - \gerpril2 -> No File <==== ATTENTION
Task: {2BA58AD2-A649-4B07-909D-75C84A6F3911} - \Account Solution Helper -> No File <==== ATTENTION
Task: {30EB5FE5-ECE0-40C3-BACB-45F92FB71158} - \gerpril -> No File <==== ATTENTION
Task: {4364AA18-4112-47F1-87B8-4ACEDC488169} - \ComDev -> No File <==== ATTENTION
Task: {578DC316-8FDE-4C57-9927-3152ED346E32} - \Render Root Manager -> No File <==== ATTENTION
Task: {6D3BA0B8-0FBA-4258-B5A2-5EA168D8A9C2} - \Microsoft\Windows\Setup\EOSNotify -> No File <==== ATTENTION
Task: {A577D386-01AE-4144-8A6F-7960A0133A2B} - System32\Tasks\One System Care Delayed => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe <==== ATTENTION
Task: {E38DB1E3-C094-44E7-99C9-A3A9E6FFEC0E} - System32\Tasks\One System Care Monitor => C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe <==== ATTENTION
Task: {E956EDC8-FAE9-4507-A6F4-F4B2C5673290} - \Microsoft\Windows\MobilePC\HotStart -> No File <==== ATTENTION
Task: {F19EC056-3B15-4B1A-8B5C-8B48186838C5} - \MSI -> No File <==== ATTENTION
Task: {FD3B8417-BDC6-4244-8BA1-F11B9352C5DD} - System32\Tasks\One System CarePeriod => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\One System CarePeriod.job => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe <==== ATTENTION
FirewallRules: [{4A40140F-FA08-4870-A31C-CAF041A60E65}] => (Allow) C:\Users\Руслан\AppData\Local\MediaGet2\mediaget.exe No File
FirewallRules: [{F7ECCB36-F0A4-4140-8A6B-9FAF6C117BC4}] => (Allow) C:\Users\Руслан\AppData\Local\MediaGet2\mediaget.exe No File
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделайте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]Malwarebytes AdwCleaner[/URL].
20.04.2019, 18:33
EwGene

Вложений: 2

Выполнила.
20.04.2019, 18:44
Vvvyg

[url="https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C01].txt, прикрепите к своему следующему сообщению.

Очистите кеш и cookie:
[URL="https://support.google.com/accounts/answer/32050?co=GENIE.Platform%3DDesktop&hl=ru"]в Хроме[/URL].
[URL="https://support.mozilla.org/ru/kb/kak-ochistit-kesh-firefox"]Как очистить кэш Firefox[/URL].
[URL="https://support.mozilla.org/ru/kb/ctiranie-nedavnej-istorii-veb-syorfinga-poiska-i-z"]Удаление недавней истории веб-сёрфинга, поиска и загрузок[/URL].

Сообщите, что с проблемой.
20.04.2019, 19:11
EwGene

Вложений: 1

Сделала.

Вроде всё хорошо. В "Программах и компонентах" чисто. Вкладки не открываются. "Левые" приложения тоже.
Однако до и после последнего прогона "AdwCleaner`ом" всё ещё выскакивает окно с предупреждением о невозможности установить одно из тех зловредных приложений (скриншот не прикрепляется ввиду лимита вложений). Там написано: в шапке - "reader_sl.exe-системная ошибка", в теле - Запуск программы невозможен, так как на компьютере отсутствует MSVCP140.dll. Попробуйте переустановить программу".
То есть, наверное, где-то всё ещё сидят остатки вирусов...
20.04.2019, 19:23
Vvvyg

Это уже не вирусы.
Переустановите Adobe Acrobat Reader DC.

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.
20.04.2019, 23:04
EwGene

Файл не прикрепляется, потому что лимит вложений достигнут.
20.04.2019, 23:15
Vvvyg

Упакуйте в архив, или [url=http://virusinfo.info/showthread.php?t=130567]удалите часть вложений[/url].
21.04.2019, 13:09
EwGene

Вложений: 1

Спасибо!
Прикрепляю лог SecurityCheck.
21.04.2019, 14:47
Vvvyg

[QUOTE]Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2017-10-17 19:17:44[/QUOTE]Система очень давно не обновлялась, это плохо.
[QUOTE]7-Zip 9.20 (x64 edition) v.9.20.00.0 [color=red][b]Внимание! [url=http://www.7-zip.org/download.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию, скачайте и установите новую.^[/b][/color][/QUOTE][URL="https://www.anti-malware.ru/news/2018-05-10-1447/26202"]Критический баг в 7-Zip приводит к выполнению произвольного кода[/URL].
[QUOTE]Unity Web Player v.5.3.5f1 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.[/QUOTE]Удалите эту программу, обновите систему и 7-Zip - и всё на этом.
21.04.2019, 22:59
EwGene

Сделано!

Спасибо вам ОГРОМНОЕ!!! :clapping: Как хорошо, что есть этот форум :>
21.04.2019, 23:09
CyberHelper

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]3[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]121[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\program files (x86)\rotation\428190386.exe - [B]not-a-virus:=
HEUR:AdWare.MSIL.Csdi.gen[/B] ( AVAST4: Win32:Adware-gen [Adw] )[*] c:\program files (x86)\rotation\612377947.exe - [B]not-a-virus:=
HEUR:AdWare.MSIL.Csdi.gen[/B] ( AVAST4: Win32:Adware-gen [Adw] )[*] c:\program files (x86)\yxymsblvdie\kf9eoehk.dll - [B]not-a-viru=
s:HEUR:AdWare.Win32.Neoreklami.gen[/B] ( BitDefender: Gen:Heur.Kelios.=
1, AVAST4: Win32:AdwareX-gen [Adw] )[*] c:\program files\hewlett-packard\3xvsilj8p53grg\#grydwjxe4.exe=
- [B]HEUR:Trojan-Downloader.MSIL.Agent.gen[/B] ( BitDefender: Gen:Var=
iant.Barys.50791, AVAST4: Win32:Trojan-gen )[*] c:\program files\hewlett-packard\3xvsilj8p53grg\kxlhcink8w.exe=
- [B]HEUR:Trojan-Clicker.MSIL.DOTHETUK.gen[/B] ( BitDefender: Gen:Var=
iant.Barys.50280, AVAST4: Win32:Trojan-gen )[*] \csrss.exe._e152c0881ad4703df73092719ffd0706d2d5232a - [B]HEUR:Tr=
ojan.Win32.Agent.gen[/B] ( AVAST4: Win64:Trojan-gen )[*] c:\users\=E6=E5=ED=FF\appdata\roaming\bidfl1prcca\l045jjx0cx=
i.exe - [B]Trojan-Clicker.MSIL.Agent.coea[/B] ( AVAST4: Win32:Adware-g=
en [Adw] )[*] c:\users\=E6=E5=ED=FF\appdata\roaming\byxvokhwjlo\lczuaazddk=
1.exe - [B]Trojan-Clicker.MSIL.Agent.coea[/B] ( AVAST4: Win32:Adware-g=
en [Adw] )[*] c:\users\=E6=E5=ED=FF\appdata\roaming\czmtnotjlx2\awhtrevkxf=
0.exe - [B]Trojan-Clicker.MSIL.Agent.coea[/B] ( AVAST4: Win32:Adware-g=
en [Adw] )[*] c:\users\=E6=E5=ED=FF\appdata\roaming\ezx1g2keys5\ixcynhtlkw=
3.exe - [B]Trojan-Clicker.MSIL.Agent.coea[/B] ( AVAST4: Win32:Adware-g=
en [Adw] )[*] c:\users\=E6=E5=ED=FF\appdata\roaming\j45trjrrnxu\1g5nrcjsnk=
n.exe - [B]Trojan-Clicker.MSIL.Agent.coea[/B] ( AVAST4: Win32:Adware-g=
en [Adw] )[*] c:\users\=E6=E5=ED=FF\appdata\roaming\ly1zn1dznpz\zhtnfrcltd=
2.exe - [B]Trojan-Clicker.MSIL.Agent.coea[/B] ( AVAST4: Win32:Adware-g=
en [Adw] )[*] c:\users\=E6=E5=ED=FF\appdata\roaming\n4vz3enxmkl\1bei5fvhd3=
b.exe - [B]Trojan-Clicker.MSIL.Agent.coea[/B] ( AVAST4: Win32:Adware-g=
en [Adw] )[*] c:\users\=E6=E5=ED=FF\appdata\roaming\sbznvpi10sk\khmgohgycf=
m.exe - [B]Trojan-Clicker.MSIL.Agent.coea[/B] ( AVAST4: Win32:Adware-g=
en [Adw] )[*] c:\users\=E6=E5=ED=FF\appdata\roaming\002ejuwlyrd\pt0rp2kgxh=
p.exe - [B]Trojan-Clicker.MSIL.Agent.coea[/B] ( AVAST4: Win32:Adware-g=
en [Adw] )[*] \intyudo.wsf._68e23a41ba346ef504884cd96aec1c4676cdcc83 - [B]HEUR:=
Trojan.Script.Generic[/B] ( AVAST4: VBS:Adware-A [Adw] )[*] \yftcga.dll._4e5b24b57582da4c0d3259b04f645cca7032d075 - [B]not-a-=
virus:HEUR:AdWare.Win32.Neoreklami.gen[/B] ( AVAST4: Win32:Adware-gen =
[Adw] )[/LIST][/LIST]