При открытии Google Chrome каждый раз появляются незнакомые вкладки с вредоносными ссылками [Trojan.Win32.Kepiten.a]

Здравствуйте, просьба помочь с лечением компьютера. Архив в присоединении.
Спасибо
С уважением, Гогин Ф.Н.

Уважаемый(ая) [B]PhGogin[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\programdata\taskscheduler.exe');
TerminateProcessByName('c:\users\phgogin\appdata\local\temp\csrss\wup\xarch\wup.exe');
TerminateProcessByName('c:\windows\rss\csrss.exe');
TerminateProcessByName('c:\windows\windefender.exe');
StopService('WinDefender');
QuarantineFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe', '');
QuarantineFile('C:\ProgramData\Logic Cramble\set.exe', '');
QuarantineFile('C:\ProgramData\Snorler\Snorler.exe', '');
QuarantineFile('c:\programdata\taskscheduler.exe', '');
QuarantineFile('C:\Users\PhGogin\AppData\Local\Temp\csrss\scheduled.exe', '');
QuarantineFile('c:\users\phgogin\appdata\local\temp\csrss\wup\xarch\wup.exe', '');
QuarantineFile('C:\Users\PhGogin\AppData\Roaming\ndfsr.exe', '');
QuarantineFile('C:\Users\PhGogin\AppData\Roaming\Smart Clock\SmartClock.exe', '');
QuarantineFile('C:\Users\PhGogin\AppData\Roaming\syshost\sihost.exe', '');
QuarantineFile('c:\windows\rss\csrss.exe', '');
QuarantineFile('C:\WINDOWS\system32\drivers', '');
QuarantineFile('C:\WINDOWS\system32\drivers\Wdf41348.sys', '');
QuarantineFile('c:\windows\windefender.exe', '');
QuarantineFileF('C:\Program Files (x86)\WOkdz', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
QuarantineFileF('C:\Program Files\LE2NTA7RDM', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\Riate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
QuarantineFileF('C:\Users\PhGogin\AppData\Roaming\GamesDepart', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
QuarantineFileF('C:\Users\PhGogin\AppData\Roaming\rxrgxa1zz1y', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
QuarantineFileF('C:\Users\PhGogin\AppData\Roaming\wp5moyoqydg', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
QuarantineFileF('c:\windows\rss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
DeleteFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe', '64');
DeleteFile('C:\ProgramData\Logic Cramble\set.exe', '64');
DeleteFile('C:\ProgramData\Snorler\Snorler.exe', '64');
DeleteFile('c:\programdata\taskscheduler.exe', '');
DeleteFile('C:\Users\PhGogin\AppData\Local\Temp\csrss\scheduled.exe', '64');
DeleteFile('c:\users\phgogin\appdata\local\temp\csrss\wup\xarch\wup.exe', '');
DeleteFile('c:\users\phgogin\appdata\local\temp\csrss\wup\xarch\wup.exe', '64');
DeleteFile('C:\Users\PhGogin\AppData\Roaming\ndfsr.exe', '');
DeleteFile('C:\Users\PhGogin\AppData\Roaming\Smart Clock\SmartClock.exe', '64');
DeleteFile('C:\Users\PhGogin\AppData\Roaming\syshost\sihost.exe', '64');
DeleteFile('c:\windows\rss\csrss.exe', '');
DeleteFile('C:\WINDOWS\rss\csrss.exe', '32');
DeleteFile('C:\WINDOWS\rss\csrss.exe', '64');
DeleteFile('c:\windows\windefender.exe', '');
DeleteFile('C:\WINDOWS\windefender.exe', '64');
DeleteService('backlh');
DeleteService('CloudPrinter');
DeleteService('Snorler');
DeleteService('WinDefender');
DeleteFileMask('C:\Program Files (x86)\WOkdz', '*', true);
DeleteFileMask('C:\Program Files\LE2NTA7RDM', '*', true);
DeleteFileMask('c:\programdata\cloudprinter', '*', true);
DeleteFileMask('c:\programdata\logic cramble', '*', true);
DeleteFileMask('C:\ProgramData\Riate', '*', true);
DeleteFileMask('c:\programdata\snorler', '*', true);
DeleteFileMask('c:\users\phgogin\appdata\local\temp\csrss', '*', true);
DeleteFileMask('C:\Users\PhGogin\AppData\Roaming\GamesDepart', '*', true);
DeleteFileMask('C:\Users\PhGogin\AppData\Roaming\rxrgxa1zz1y', '*', true);
DeleteFileMask('c:\users\phgogin\appdata\roaming\smart clock', '*', true);
DeleteFileMask('c:\users\phgogin\appdata\roaming\syshost', '*', true);
DeleteFileMask('C:\Users\PhGogin\AppData\Roaming\wp5moyoqydg', '*', true);
DeleteFileMask('c:\windows\rss', '*', true);
DeleteDirectory('C:\Program Files (x86)\WOkdz');
DeleteDirectory('C:\Program Files\LE2NTA7RDM');
DeleteDirectory('c:\programdata\cloudprinter');
DeleteDirectory('c:\programdata\logic cramble');
DeleteDirectory('C:\ProgramData\Riate');
DeleteDirectory('c:\programdata\snorler');
DeleteDirectory('c:\users\phgogin\appdata\local\temp\csrss');
DeleteDirectory('C:\Users\PhGogin\AppData\Roaming\GamesDepart');
DeleteDirectory('C:\Users\PhGogin\AppData\Roaming\rxrgxa1zz1y');
DeleteDirectory('c:\users\phgogin\appdata\roaming\smart clock');
DeleteDirectory('c:\users\phgogin\appdata\roaming\syshost');
DeleteDirectory('C:\Users\PhGogin\AppData\Roaming\wp5moyoqydg');
DeleteDirectory('c:\windows\rss');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GreenWaterfall', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GreenWaterfall', '64');
DeleteSchedulerTask('csrss');
DeleteSchedulerTask('Microsoft\Windows\Windows Error Reporting\SysInfo');
DeleteSchedulerTask('ScheduledUpdate');
DeleteSchedulerTask('Smart Clock');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].

Здравствуйте, в присоединении запрашиваемый файл образа автозапуска.
Размер карантина превышает допускаемый размер файла. Присоединить не получилось

С уважением Гогин Ф.Н.

[NOTICE]Перечитайте, куда надо загружать карантин, и сделайте так, как нужно. Оставляя ссылку на карантин в теме, Вы, фактически распространяете вирусы, подводя под статью себя и форум.[/NOTICE]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
zoo %SystemDrive%\PROGRAMDATA\TASKSCHEDULER.EXE
addsgn 0DC96B47246A4C720BD4AEB164C8E2D9148AFCF689FA1F7885C37014F188714C2317C1573E55C6492B80C442771609454CDFBA211189B7777AAFDCDD80498A31 8 W32.Malware.Gen [Webroot] 7

zoo %SystemDrive%\USERS\PHGOGIN\APPDATA\ROAMING\411B96CB6336\411B96CB6336.EXE
addsgn 71D16E15176A4C7D8FAAAFB16469038A678A7CCE608F12380EDB467C54D5B2EF23978B5754553CA18BC6846096B54D7A35DF632A69597328A46AACAF8F062176 8 Trojan.Win32.Kepiten.a [Kaspersky] 7

chklst
delvir
zoo C:\WINDOWS\system32\drivers\Wdf41348.sys
delall C:\WINDOWS\system32\drivers\Wdf41348.sys
deldir %SystemDrive%\USERS\PHGOGIN\APPDATA\ROAMING\411B96CB6336
delref HTTPS://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBACDBTT-OGB_ZTROGHBAPTF6CJEVXP06XQR9GQ6DIPNOJGYOFNBKOCU7AMP_BGWWEFVZ3W-MXFFDFATYYBPEZEITA-PZ2FDWARJEZIXBTUZHQBBHMJ4JEDXFBUIKBPV3BKCIBGU-TSFWCGZMRNVT-1WRFIG7R1NGRVNR7WCMFV8AXFW_YW_
delref HTTPS://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBACDBTT-OGB_ZTROGHBAPTF6CJEVXP06XQR9GQ6DIPNOJGYOFNBKOCU7AMP_BGWWEFVZ3W-MXFFDFATYYBPEZEITA-PZETRJ7ZJC9OYATHNWQHOMGQ_CGDYC27TKRHONA_XUANNFBYYXXNVLFCS-VGLY_TANUYHEBS9IPRGI_ZQN
delref %SystemDrive%\USERS\PHGOGIN\APPDATA\ROAMING\MARKETADVIOR\PYTHON\PYTHONW.EXE
delref %SystemDrive%\USERS\PHGOGIN\APPDATA\ROAMING\SEARCHNEWTAB\PYTHON\PYTHONW.EXE
delref %SystemDrive%\PROGRAMDATA\VKONTAKTEDJ\VKONTAKTEDJ.EXE
delref LOAD.PYC
delnfr
deltmp
czoo
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Здравствуйте, прошу прощения за ошибку с карантином. Исправился.
В прикреплении требуемый лог-файл.

С уважением, Гогин Ф.Н.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

В присоединении архив с результатами работы FARBAR.

С уважением, Гогин Ф.Н.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {2BB692C1-F60F-479E-ADC2-1CAF9422A2AC} - \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask -> No File <==== ATTENTION
Task: {78185CED-C634-400E-B297-5D474A7B14FF} - \KMSAuto -> No File <==== ATTENTION
Task: {87046D81-6D66-4A67-AABE-239AE2FD04CF} - \GoogleUpdateTaskMachineUA -> No File <==== ATTENTION
Task: {9CEEF16B-3F8F-4AF4-9B22-8599817BE3E1} - \SamsungMagician -> No File <==== ATTENTION
Task: {E5CBFC75-21CF-4F98-A5AE-43BDE8E5B9BD} - \GoogleUpdateTaskMachineCore -> No File <==== ATTENTION
Task: {EB697F1B-1F7E-4C40-B2CD-0ADA9F9F061E} - \Microsoft\Windows\BrokerInfrastructure\BgTaskRegistrationMaintenanceTask -> No File <==== ATTENTION
"{45487F67-EC9F-4449-A6F2-2D0970F9B80B}" => service could not be unlocked. <==== ATTENTION
HKLM\SYSTEM\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B} => C:\WINDOWS\System32\drivers\Wdf41348.sys [6562192 2020-05-31] (Access Denied) [File not signed] <==== ATTENTION (Rootkit!/Locked Service)
2020-05-31 22:04 - 2020-05-31 22:04 - 000000000 ___HD C:\$AV_ASW
2020-05-31 22:02 - 2020-06-01 08:23 - 000000000 ____D C:\ProgramData\Avast Software
2020-05-31 20:54 - 2020-05-31 20:54 - 000655872 _____ (Microsoft Corporation) C:\ProgramData\msvcr90.dll
2020-05-31 20:54 - 2020-05-31 20:54 - 000225280 _____ (Microsoft Corporation) C:\ProgramData\msvcm90.dll
2020-05-31 20:54 - 2020-05-31 20:54 - 000148480 _____ C:\ProgramData\api.dll
2020-05-31 20:30 - 2020-05-31 20:30 - 000000000 ____D C:\Users\PhGogin\AppData\Local\gamesdepart
2020-05-31 20:25 - 2020-05-31 20:25 - 000000000 ____D C:\Users\PhGogin\AppData\Local\PackageStaging
2020-05-31 20:22 - 2020-05-31 20:22 - 001006080 _____ (Digital Wave Ltd ) C:\Users\PhGogin\AppData\Roaming\ndfsr.exe
2020-05-31 20:21 - 2020-05-31 20:25 - 000000000 ____D C:\ProgramData\grf
2020-05-31 20:21 - 2020-05-31 20:21 - 000658944 _____ C:\WINDOWS\system32\V6Bd4jcd.exe.del850836218.del850847968
Virustotal: C:\WINDOWS\system32\Drivers\Wdf41348.sys
2020-05-31 20:20 - 2020-05-31 20:21 - 006562192 ____N C:\WINDOWS\system32\Drivers\Wdf41348.sys
2020-05-31 20:20 - 2020-05-31 20:21 - 000000000 ____D C:\Program Files\Z4XGYEI19M
2020-05-31 20:18 - 2020-06-01 08:23 - 000000000 ____D C:\ProgramData\Snorler
2020-05-31 20:18 - 2020-05-31 20:18 - 008605696 _____ C:\Users\PhGogin\AppData\Local\agent.dat
2020-05-31 20:18 - 2020-05-31 20:18 - 002178621 _____ C:\Users\PhGogin\AppData\Local\Bluedom.tst
2020-05-31 20:18 - 2020-05-31 20:18 - 001895382 _____ C:\Users\PhGogin\AppData\Local\Hometough.bin
2020-05-31 20:18 - 2020-05-31 20:18 - 000142336 _____ C:\Users\PhGogin\AppData\Local\installer.dat
2020-05-31 20:18 - 2020-05-31 20:18 - 000126464 _____ C:\Users\PhGogin\AppData\Local\noah.dat
2020-05-31 20:18 - 2020-05-31 20:18 - 000126464 _____ C:\Users\PhGogin\AppData\Local\lobby.dat
2020-05-31 20:18 - 2020-05-31 20:18 - 000072576 _____ C:\Users\PhGogin\AppData\Local\Config.xml
2020-05-31 20:18 - 2020-05-31 20:18 - 000068638 _____ C:\Users\PhGogin\AppData\Local\Donfind.tst
2020-05-31 20:18 - 2020-05-31 20:18 - 000045056 _____ C:\Users\PhGogin\AppData\Local\ApplicationHosting.dat
2020-05-31 20:18 - 2020-05-31 20:18 - 000018432 _____ C:\Users\PhGogin\AppData\Local\Main.dat
2020-05-31 20:18 - 2020-05-31 20:18 - 000016368 _____ C:\Users\PhGogin\AppData\Local\InstallationConfiguration.xml
2020-05-31 20:18 - 2020-05-31 20:18 - 000015602 _____ C:\WINDOWS\SysWOW64\findit.xml
2020-05-31 20:18 - 2020-05-31 20:18 - 000005568 _____ C:\Users\PhGogin\AppData\Local\md.xml
2020-05-31 20:18 - 2020-05-31 20:18 - 000000000 ____D C:\Users\Все пользователи\Snorlers
2020-05-31 20:18 - 2020-05-31 20:18 - 000000000 ____D C:\Users\PhGogin\AppData\Local\app
2020-05-31 20:18 - 2020-05-31 20:18 - 000000000 ____D C:\ProgramData\Snorlers
2020-05-31 20:18 - 2020-05-31 20:17 - 004737024 _____ C:\Users\PhGogin\AppData\Local\Donfind.exe
2020-05-31 20:18 - 2020-05-31 20:17 - 004737024 _____ C:\Users\PhGogin\AppData\Local\Bluedom.exe
2020-05-31 20:17 - 2020-05-31 20:29 - 000000000 ____D C:\Users\PhGogin\AppData\Local\inetinfoservice
CMD: type C:\ProgramData\TaskScheduler.exe.config
2020-05-18 13:31 - 2020-03-09 19:54 - 000009141 _____ C:\ProgramData\TaskScheduler.exe.config
2020-05-31 16:26 - 2020-05-31 16:26 - 000187712 _____ () C:\ProgramData\yandexBrowserDownloader.exe
2020-05-31 20:18 - 2020-05-31 20:18 - 008605696 _____ () C:\Users\PhGogin\AppData\Local\agent.dat
2020-05-31 20:18 - 2020-05-31 20:18 - 000045056 _____ () C:\Users\PhGogin\AppData\Local\ApplicationHosting.dat
2020-05-31 20:18 - 2020-05-31 20:17 - 004737024 _____ () C:\Users\PhGogin\AppData\Local\Bluedom.exe
2020-05-31 20:18 - 2020-05-31 20:18 - 002178621 _____ () C:\Users\PhGogin\AppData\Local\Bluedom.tst
2020-05-31 20:18 - 2020-05-31 20:18 - 000072576 _____ () C:\Users\PhGogin\AppData\Local\Config.xml
2019-02-10 19:22 - 2020-02-16 22:08 - 000008704 _____ () C:\Users\PhGogin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2020-05-31 20:18 - 2020-05-31 20:17 - 004737024 _____ () C:\Users\PhGogin\AppData\Local\Donfind.exe
2020-05-31 20:18 - 2020-05-31 20:18 - 000068638 _____ () C:\Users\PhGogin\AppData\Local\Donfind.tst
2020-05-31 20:18 - 2020-05-31 20:18 - 001895382 _____ () C:\Users\PhGogin\AppData\Local\Hometough.bin
2020-05-31 20:18 - 2020-05-31 20:18 - 000016368 _____ () C:\Users\PhGogin\AppData\Local\InstallationConfiguration.xml
2020-05-31 20:18 - 2020-05-31 20:18 - 000142336 _____ () C:\Users\PhGogin\AppData\Local\installer.dat
2020-05-31 20:18 - 2020-05-31 20:18 - 000126464 _____ () C:\Users\PhGogin\AppData\Local\lobby.dat
2020-05-31 20:18 - 2020-05-31 20:18 - 000018432 _____ () C:\Users\PhGogin\AppData\Local\Main.dat
2020-05-31 20:18 - 2020-05-31 20:18 - 000005568 _____ () C:\Users\PhGogin\AppData\Local\md.xml
2020-05-31 20:18 - 2020-05-31 20:18 - 000126464 _____ () C:\Users\PhGogin\AppData\Local\noah.dat
ShortcutWithArgument: C:\Users\PhGogin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP%
ShortcutWithArgument: C:\Users\PhGogin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP%
ShortcutWithArgument: C:\Users\PhGogin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP%
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP%
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
HKU\S-1-5-21-431304957-3998525146-3821332655-1001\...\StartupApproved\Run: => "CloudNet"
FirewallRules: [TCP Query User{275A9F7E-5A13-4564-81E9-5EC12726C352}C:\users\phgogin\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\phgogin\appdata\local\mediaget2\mediaget.exe => No File
FirewallRules: [UDP Query User{CD2EFEDC-A40C-43B4-AAA5-10F4E686E11B}C:\users\phgogin\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\phgogin\appdata\local\mediaget2\mediaget.exe => No File
FirewallRules: [TCP Query User{0DD436B9-F88B-4509-8F22-846CB48503CF}C:\program files\ansys inc\ansys student\v191\cfx\bin\winnt-amd64\postgui_ogl.exe] => (Block) C:\program files\ansys inc\ansys student\v191\cfx\bin\winnt-amd64\postgui_ogl.exe => No File
FirewallRules: [UDP Query User{87E436B3-343B-436F-9556-93412D08AF2F}C:\program files\ansys inc\ansys student\v191\cfx\bin\winnt-amd64\postgui_ogl.exe] => (Block) C:\program files\ansys inc\ansys student\v191\cfx\bin\winnt-amd64\postgui_ogl.exe => No File
FirewallRules: [TCP Query User{9FDDC478-CE13-4D57-B0F9-CDEC912788ED}C:\program files\ansys inc\ansys student\shared files\licensing\winx64\ansysli_client.exe] => (Allow) C:\program files\ansys inc\ansys student\shared files\licensing\winx64\ansysli_client.exe => No File
FirewallRules: [UDP Query User{9FBE3A7D-0091-444A-89FA-52519E02FE9E}C:\program files\ansys inc\ansys student\shared files\licensing\winx64\ansysli_client.exe] => (Allow) C:\program files\ansys inc\ansys student\shared files\licensing\winx64\ansysli_client.exe => No File
FirewallRules: [TCP Query User{03BB6781-E73A-4171-9849-1B8DD3210F32}C:\program files\ansys inc\ansys student\v191\framework\bin\win64\ansysfww.exe] => (Allow) C:\program files\ansys inc\ansys student\v191\framework\bin\win64\ansysfww.exe => No File
FirewallRules: [UDP Query User{B26A465A-CEC8-4D73-A9C6-257662990197}C:\program files\ansys inc\ansys student\v191\framework\bin\win64\ansysfww.exe] => (Allow) C:\program files\ansys inc\ansys student\v191\framework\bin\win64\ansysfww.exe => No File
FirewallRules: [TCP Query User{97483F7C-911D-4B20-9A16-7E10B59D6974}C:\program files\ansys inc\ansys student\v191\commonfiles\help\helpviewer\ansyshelpviewer.exe] => (Allow) C:\program files\ansys inc\ansys student\v191\commonfiles\help\helpviewer\ansyshelpviewer.exe => No File
FirewallRules: [UDP Query User{082EF0DD-89E2-4F5D-B27E-6C45277EBCD0}C:\program files\ansys inc\ansys student\v191\commonfiles\help\helpviewer\ansyshelpviewer.exe] => (Allow) C:\program files\ansys inc\ansys student\v191\commonfiles\help\helpviewer\ansyshelpviewer.exe => No File
FirewallRules: [TCP Query User{D9B16894-1A73-4B24-B9C4-B2F3D16803B5}E:\distributives\danale\danalecms.exe] => (Allow) E:\distributives\danale\danalecms.exe => No File
FirewallRules: [UDP Query User{F518E112-1D7D-4593-861F-DE5078B6BD3D}E:\distributives\danale\danalecms.exe] => (Allow) E:\distributives\danale\danalecms.exe => No File
FirewallRules: [TCP Query User{9A45AE07-D42A-40EF-B5C3-828E68543D34}E:\distributives\danale\danalecms.exe] => (Allow) E:\distributives\danale\danalecms.exe => No File
FirewallRules: [UDP Query User{C87DE533-DBA0-458E-A5CD-7FD1B176C147}E:\distributives\danale\danalecms.exe] => (Allow) E:\distributives\danale\danalecms.exe => No File
FirewallRules: [TCP Query User{36B9F9C0-4ED1-4907-B32F-69B938AFAE49}C:\program files (x86)\hip2p client\p2pclient.exe] => (Allow) C:\program files (x86)\hip2p client\p2pclient.exe => No File
FirewallRules: [UDP Query User{14A00685-2E0E-4A16-92F9-FCD72B72CE29}C:\program files (x86)\hip2p client\p2pclient.exe] => (Allow) C:\program files (x86)\hip2p client\p2pclient.exe => No File
FirewallRules: [TCP Query User{3139DAF6-13B0-4D26-A322-E1909F186C95}C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe] => (Allow) C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe => No File
FirewallRules: [UDP Query User{B73A09EF-D8B6-4EFB-8A62-56F06DAC856F}C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe] => (Allow) C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe => No File
FirewallRules: [TCP Query User{5AC3E95A-A39A-4239-A79E-51A4C4C3A153}C:\program files (x86)\polyvision\devicemanager\devicemanager.exe] => (Allow) C:\program files (x86)\polyvision\devicemanager\devicemanager.exe => No File
FirewallRules: [UDP Query User{9DB5FBEA-04DA-4C3A-9BA3-AE549ABD8C61}C:\program files (x86)\polyvision\devicemanager\devicemanager.exe] => (Allow) C:\program files (x86)\polyvision\devicemanager\devicemanager.exe => No File
FirewallRules: [TCP Query User{B8D8CE03-D2AB-4F46-B9E5-AFD5A00B0CD3}C:\program files (x86)\hip2p client\p2pclient.exe] => (Allow) C:\program files (x86)\hip2p client\p2pclient.exe => No File
FirewallRules: [UDP Query User{25733C1E-C7D1-4002-9F77-FD83448A976D}C:\program files (x86)\hip2p client\p2pclient.exe] => (Allow) C:\program files (x86)\hip2p client\p2pclient.exe => No File
FirewallRules: [TCP Query User{C1ABAA92-A7A7-43A8-A415-F044567C6D98}C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe] => (Allow) C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe => No File
FirewallRules: [UDP Query User{A77A47FE-2357-46BF-8343-38EE54A04ECD}C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe] => (Allow) C:\users\phgogin\appdata\local\ivideon\ivideonserver\ivideonserver.exe => No File
FirewallRules: [{137CC891-8F6C-42D1-915D-D72745EED2C1}] => (Allow) C:\Users\PhGogin\AppData\Roaming\Zoom\bin\airhost.exe => No File
FirewallRules: [{E7AF8811-0D58-406A-AD40-7BACC69AD58F}] => (Allow) C:\WINDOWS\rss\csrss.exe => No File
FirewallRules: [{781DF721-A030-41DF-B802-7F9528BAE8A7}] => (Allow) C:\Users\PhGogin\AppData\Roaming\411b96cb6336\411b96cb6336\411b96cb6336.exe => No File
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Архив с Log-файлом в присоединении.

С уважением, Гогин Ф.Н.

Пролечите систему с помощью утилиты [URL="https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool"]KVRT[/URL].
Файл [URL="https://support.kaspersky.ru/14523"]отчета сканирования[/URL] приложите в архиве. Должен удалить руткит C:\WINDOWS\system32\Drivers\Wdf41348.sys.

Файлы отчетов в присоединении.
1. После проверки (более ранний)
2. После перезагрузки и повторной проверки (более поздний).

С уважением, Гогин Ф.Н.

Хорошо, KVRT справился.
Дочистим мусор.

Сделайте новый лог Farbar Recovery Scan Tool/

Сделайте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]Malwarebytes AdwCleaner[/URL].

Здравствуйте, логи в присоединении.

С уважением Гогин Ф.Н.

Это вчерашний лог Farbar Recovery Scan Tool, нужен новый.

Скажите, пожалуйста, как очистить папку вложений, чтобы добавить архив?
У меня уже практически использован 1 Мб. А автоматического удаления не происходит

С уважением, Гогин Ф.Н.

[url=http://virusinfo.info/showthread.php?t=130567]Удалить вложения[/url].

Здравствуйте, лог в присоединении.

С уважением, Гогин Ф.Н.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
CloseProcesses:
2020-06-02 08:10 - 2020-06-02 08:13 - 000000000 ____D C:\AdwCleaner
2020-06-01 22:01 - 2020-06-01 22:41 - 000000000 ____D C:\KVRT_Data
Folder: C:\Users\PhGogin\AppData\Local\CEF
Folder: C:\ProgramData\Odc
Folder: C:\ProgramData\Nec
C:\ProgramData\msvcp90.dll
C:\ProgramData\Odc
C:\Users\PhGogin\AppData\Local\CEF
C:\ProgramData\Nec
Virustotal: C:\ProgramData\55.zip
C:\ProgramData\55.zip
2020-05-31 16:25 - 2020-05-31 16:31 - 000000000 ____D C:\Users\PhGogin\AppData\Roaming\SearchNewTab
2020-05-31 16:25 - 2020-05-31 16:25 - 000000000 ____D C:\Users\PhGogin\AppData\Roaming\Python
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\42487457.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\42487457.sys => ""="Driver"
HKLM\...\StartupApproved\Run: => "AvastUI.exe"
C:\Users\PhGogin\Favorites\Downloads\AutoLogger-test\AutoLogger\AVZ\Quarantine
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Исходная проблема, надеюсь, решена?

Исходная проблема решена. Спасибо. Архив в присоединении.
Рекомендуете ли вы пользоваться утилитой KVRT в будущем?

С уважением, Гогин Ф.Н.

Рекомендую, хотя всех проблем она не решит.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Здравствуйте, лог в присоединении.

С уважением, Гогин Ф.Н.