Подозрение на перехватчик

Здравствуйте.
Есть подозрение на перехватчик действий пользователя. При стандартном сканировании AVZ ругался на Крипто-Про и TeamViewer. На всякий случай TW удалил, а Крипто-Про переустановил официальным дистрибутивом.
Помогите, пожалуйста.

Уважаемый(ая) [B]Mr.Slam[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
[quote]
Кнопка "Яндекс" на панели задач
Менеджер браузеров
[/quote]

[URL="http://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:

[CODE]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
DeleteFile('C:\ProgramData\Windows\csrss.exe', '64');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '64');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]

Компьютер [U]перезагрузится[/U].



Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
(Если окажется пустым - не страшно).



Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL]. ([COLOR="RoyalBlue"]CollectionLog[/COLOR])

Файл карантина пустой и форум не дает его прикрепить, говоря, что он уже прикреплен, новые логи прикрепляю.

[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Запустить проверку"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Прикрепляю логи ADWCleaner

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Прикрепляю логи Farbar

[B]Примите к сведению[/B] - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-4047975597-1733798397-1250886424-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\jc-webc-prefs.js [2018-01-23] <==== ATTENTION (Points to *.cfg file)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\jc-webc-cert.cfg [2018-01-23] <==== ATTENTION
C:\Users\VPS\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne
C:\Users\VPS\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdeldjolamfbcgnndjmjjiinnhbnbnla
C:\Users\VPS\AppData\Local\Google\Chrome\User Data\Default\Extensions\ophgolkamabgkcofnafmgjoiblmhmnpf
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh]
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne]
CHR HKLM-x32\...\Chrome\Extension: [iakddmmledeclcodpbgebfkhegaaddge]
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla]
EmptyTemp:
Reboot:
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Fix[/B] один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.

Прикрепляю FixLog

Что из проблем сейчас осталось?

Проблема была в том, что при отправке письма с этого ПК, данные перехватывались, изменялись и приходили в измененном виде с другого, похожего ящика. Создавался новый ящик, но и с него данные некоторым адресатам приходили измененными. Сервис почтовый - mail.ru, адресаты - разные. Проблема - выборочная. Сейчас будем отслеживать дальше - устранена ли проблема, или нет.
Могли бы вы в двух словах написать, что нашлось, и что удалось удалить?

Следы майнера и [url=https://ru.wikipedia.org/wiki/Adware]адварь[/url].

Спасибо вам большое за помощь!

[quote="Mr.Slam;1513114"]будем отслеживать дальше[/quote]
Пока наблюдаете, проделайте завершающие шаги:
1.[LIST][*]Пожалуйста, запустите adwcleaner.exe[*]В меню [B]Параметры[/B] прокрутите вниз и выберите [B]Удалить[/B].[/LIST]

Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]