помогите Auto Copy

Printable View

08.05.2015, 02:13
Алексей1231

Вложений: 4

помогите Auto Copy

[ATTACH=CONFIG]560455[/ATTACH]не могу удалить [COLOR=#303942][FONT=Segoe UI]Auto Copy расширение [/FONT][/COLOR]браузер chrome, пробовал чистить папки [COLOR=#333333][FONT=Lucida Grande]"Extensions", "Extension Rules" [/FONT][/COLOR]но все равно появляется .
08.05.2015, 02:14
Info_bot

Уважаемый(ая) [B]Алексей1231[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
08.05.2015, 02:33
mike 1

[QUOTE]Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
[/QUOTE]
Базы обновите. Сделайте новые логи.
08.05.2015, 03:19
Алексей1231

Вложений: 3

обновил
08.05.2015, 12:17
mike 1

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
08.05.2015, 12:47
Алексей1231

Вложений: 2

сделал
08.05.2015, 17:26
mike 1

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-139670775-344303145-2214587904-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Toolbar: HKLM-x32 - &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - No File
Toolbar: HKU\S-1-5-21-139670775-344303145-2214587904-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} - No File
Toolbar: HKU\S-1-5-21-139670775-344303145-2214587904-500 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} - No File
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\bijpdibkloghppkbmhcklkogpjaenfkg [2015-05-08]
File: C:\Program Files\AMD\{920DEC42-4CA5-4d1d-9487-67BE645CDDFC}\amdacpusrsvc.exe
2015-05-07 01:30 - 2014-10-02 00:58 - 00000722 __RSH () C:\Users\Admin\ntuser.pol
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51
EmptyTemp:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]Check Browsers' LNK[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]Check Browsers LNK.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы в папке [b]Log[/b] будет сохранен отчет [b]Check_Browsers_LNK.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]
08.05.2015, 19:28
Алексей1231

Вложений: 2

сделал.
09.05.2015, 01:50
mike 1

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]
09.05.2015, 02:02
Алексей1231

Вложений: 1

сделал.
09.05.2015, 02:30
mike 1

Что с проблемой?
09.05.2015, 02:38
Алексей1231

Вложений: 1

[QUOTE=mike 1;1270205]Что с проблемой?[/QUOTE]
[FONT=Segoe UI][COLOR=#303942]Не удаляется [/COLOR][/FONT][COLOR=#303942][FONT=Segoe UI]Auto Copy[/FONT][/COLOR][COLOR=#73777A][FONT=Segoe UI]3.0.3 так же осталось . [/FONT][/COLOR]вручную уже удалял папку bijpdibkloghppkbmhcklkogpjaenfkg но после перезагрузке браузера она опять появляеться
09.05.2015, 15:39
mike 1

Еще раз логи Farbar сделайте с отмеченной галочкой напротив "[B]Shortcut.txt[/B]".
09.05.2015, 15:58
Алексей1231

Вложений: 1

вот
09.05.2015, 16:24
mike 1

FRST.txt и Addition.txt тоже новые сделайте.
09.05.2015, 16:37
Алексей1231

Вложений: 2

[QUOTE=mike 1;1270365]FRST.txt и Addition.txt тоже новые сделайте.[/QUOTE]
сделал
09.05.2015, 22:48
mike 1

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\bijpdibkloghppkbmhcklkogpjaenfkg [2015-05-09]
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51
EmptyTemp:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

Сделайте новые логи Farbar.
09.05.2015, 23:19
Алексей1231

Вложений: 1

сделал
09.05.2015, 23:49
mike 1

[QUOTE]Сделайте новые логи Farbar.[/QUOTE]
???
10.05.2015, 01:42
Алексей1231

Вложений: 3

[QUOTE=mike 1;1270502]???[/QUOTE]
вот логи
10.05.2015, 13:20
mike 1

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\bijpdibkloghppkbmhcklkogpjaenfkg [2015-05-09]
Folder: C:\Users\Admin\AppData\Local\Google\Chrome
Folder: C:\Program Files (x86)\Google
EmptyTemp:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
10.05.2015, 13:37
Алексей1231

Вложений: 1

Fixlog
10.05.2015, 14:16
mike 1

Скачайте ComboFix [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]здесь[/url] и сохраните в корень диска С.

1. [color=red]Внимание![/color] Обязательно закройте все браузеры, [URL="http://virusinfo.info/showthread.php?t=130828"]временно выключите антивирус, firewall и другое защитное программное обеспечение[/URL]. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите [b]combofix.exe[/b], когда процесс завершится, скопируйте текст из [b]C:\ComboFix.txt[/b] и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
10.05.2015, 15:22
Алексей1231

[SPOILER]ComboFix 15-05-09.01 - Admin 10.05.2015 14:37:25.1.4 - x64
Microsoft Windows 7 Максимальная 6.1.7601.1.1251.7.1049.18.8126.6885 [GMT 3:00]
Running from: C:\ComboFix.exe
AV: ESET Smart Security 8.0 *Disabled/Updated* {19259FAE-8396-A113-46DB-15B0E7DFA289}
FW: Персональный файервол ESET *Disabled* {211E1E8B-C9F9-A04B-6D84-BC85190CE5F2}
SP: ESET Smart Security 8.0 *Disabled/Updated* {A2447E4A-A5AC-AE9D-7C6B-2EC29C58E834}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\SysWow64\MSDCSC
.
.
((((((((((((((((((((((((( Files Created from 2015-04-10 to 2015-05-10 )))))))))))))))))))))))))))))))
.
.
2015-05-10 11:41 . 2015-05-10 11:41 -------- d-----w- c:\users\Администратор\AppData\Local\temp
2015-05-10 11:41 . 2015-05-10 11:41 -------- d-----w- c:\users\Default\AppData\Local\temp
2015-05-09 14:59 . 2015-05-09 16:58 -------- d-----w- c:\program files (x86)\Movavi Video Converter 15
2015-05-09 13:23 . 2015-05-09 13:23 -------- d-----w- c:\programdata\VideoMach
2015-05-09 13:23 . 2015-05-09 13:41 -------- d-----w- c:\program files (x86)\VideoMach
2015-05-09 12:55 . 2015-05-10 10:32 -------- d-----w- C:\FRST
2015-05-09 12:36 . 2015-05-09 12:36 -------- d-----w- c:\users\Admin\AppData\Roaming\Publish Providers
2015-05-09 12:36 . 2015-05-09 12:36 -------- d-----w- c:\users\Admin\AppData\Roaming\Sony
2015-05-09 12:34 . 2015-05-09 23:37 -------- d-----w- c:\users\Admin\AppData\Local\Sony
2015-05-09 10:46 . 2015-05-09 10:46 -------- d-----w- c:\program files (x86)\Bandicam
2015-05-08 23:10 . 2015-05-08 23:12 -------- d-----w- c:\program files (x86)\Passcovery
2015-05-08 23:06 . 2015-05-08 23:07 -------- d-----w- c:\program files (x86)\ElcomSoft
2015-05-08 22:34 . 2015-05-08 22:34 -------- d-----w- c:\users\Admin\AppData\Roaming\KRyLack Software
2015-05-08 22:34 . 2015-05-08 22:47 -------- d-----w- c:\program files (x86)\KRyLack Software
2015-05-07 21:39 . 2015-05-07 21:39 -------- d-----w- c:\program files\Passware
2015-05-07 19:53 . 2015-05-07 19:53 84792 ---ha-w- c:\windows\system32\drivers\PROCMON23.SYS
2015-05-07 16:41 . 2015-05-07 17:16 -------- d-----w- c:\program files (x86)\Google
2015-05-07 16:41 . 2015-05-07 16:41 -------- d-----w- c:\users\Admin\AppData\Local\Google
2015-05-07 10:07 . 2009-11-13 10:15 390168 ----a-w- c:\windows\system32\hkcmd.exe
2015-05-07 09:53 . 2015-05-07 09:53 12872 ----a-w- c:\windows\system32\bootdelete.exe
2015-05-07 09:10 . 2015-05-07 09:10 -------- d-----w- c:\users\Admin\AppData\Local\OCCT_-_Ocbase_-_Adrien_Me
2015-05-04 10:25 . 2004-08-04 00:56 431616 ----a-w- c:\windows\SysWow64\temp.000
2015-05-04 10:25 . 2015-05-04 10:25 -------- d-----w- c:\programdata\KLC
2015-05-04 10:25 . 1999-12-07 04:00 61491 ----a-w- c:\windows\SysWow64\wbemdisp.TLB
2015-05-03 17:53 . 2015-05-03 17:53 -------- d-----w- c:\program files (x86)\Napnut
2015-04-25 17:49 . 2015-04-25 17:49 -------- d-----w- c:\program files (x86)\Common Files\Steam
2015-04-24 16:55 . 2015-05-10 10:32 65536 ----a-w- c:\windows\system32\spu_storage.bin
2015-04-24 16:55 . 2015-04-24 16:55 0 ----a-w- c:\windows\ativpsrm.bin
2015-04-24 16:53 . 2015-04-24 16:53 -------- d-----w- c:\program files (x86)\AMD AVT
2015-04-24 16:53 . 2015-04-24 16:53 -------- d-----w- c:\program files (x86)\Common Files\ATI Technologies
2015-04-24 16:51 . 2015-04-24 16:51 -------- d-----w- c:\program files\Common Files\ATI Technologies
2015-04-22 10:01 . 2015-04-22 10:01 -------- d-----w- c:\program files (x86)\Common Files\EZB Systems
2015-04-22 10:01 . 2015-04-22 10:01 -------- d-----w- c:\program files (x86)\UltraISO
2015-04-21 17:14 . 2015-04-21 17:14 -------- d-----w- c:\program files (x86)\Common Files\Skype
2015-04-20 10:37 . 2015-03-31 20:46 1358192 ----a-w- c:\windows\system32\aticfx64.dll
2015-04-19 23:32 . 2015-04-20 09:29 -------- d-----w- c:\program files (x86)\Rockstar Games
2015-04-19 23:32 . 2015-04-20 09:29 -------- d-----w- c:\program files\Rockstar Games
2015-04-18 22:12 . 2015-04-18 22:30 -------- d-----w- c:\program files (x86)\RegWorks
2015-04-14 07:30 . 2015-04-14 07:30 -------- d-----w- c:\program files (x86)\AMD
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2015-05-04 22:52 . 2013-08-15 09:22 778416 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2015-05-04 22:52 . 2013-08-15 09:22 142512 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2015-03-31 19:01 . 2014-09-30 20:05 417792 ----a-w- c:\windows\SysWow64\WMPhoto.dll
2015-03-31 13:37 . 2015-03-31 13:37 51200 ----a-w- c:\windows\system32\kdbsdk64.dll
2015-03-31 13:35 . 2015-03-31 13:35 38912 ----a-w- c:\windows\SysWow64\kdbsdk32.dll
2015-03-31 13:19 . 2015-03-31 13:19 362496 ----a-w- c:\windows\system32\amdacpusl.dll
2015-03-31 13:19 . 2015-03-31 13:19 247296 ----a-w- c:\windows\SysWow64\amdacpusl.dll
2015-03-10 14:24 . 2015-03-10 14:24 64208 ----a-w- c:\windows\system32\drivers\epfwwfp.sys
2015-03-10 14:24 . 2015-03-10 14:24 44632 ----a-w- c:\windows\system32\drivers\EpfwLWF.sys
2015-03-10 14:24 . 2015-03-10 14:24 246000 ----a-w- c:\windows\system32\drivers\eamonm.sys
2015-03-10 14:24 . 2015-03-10 14:24 241880 ----a-w- c:\windows\system32\drivers\edevmon.sys
2015-03-10 14:24 . 2015-03-10 14:24 222280 ----a-w- c:\windows\system32\drivers\epfw.sys
2015-03-10 14:24 . 2015-03-10 14:24 169792 ----a-w- c:\windows\system32\drivers\ehdrv.sys
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)
"ForceActiveDesktopOn"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="userinit.exe"
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux3"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37.sys]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro37Crusader]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro37CrusaderBoot]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]
@=""
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R2 PassThru Service;Internet Pass-Through Service;c:\program files (x86)\HTC\Internet Pass-Through\PassThruSvr.exe;c:\program files (x86)\HTC\Internet Pass-Through\PassThruSvr.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe;c:\program files (x86)\Skype\Updater\Updater.exe [x]
R3 atillk64;atillk64;c:\users\Admin\Downloads\ati_winflash_2.6.7\atillk64.sys;c:\users\Admin\Downloads\ati_winflash_2.6.7\atillk64.sys [x]
R3 cpuz137;cpuz137;c:\users\Admin\AppData\Local\Temp\cpuz137\cpuz137_x64.sys;c:\users\Admin\AppData\Local\Temp\cpuz137\cpuz137_x64.sys [x]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys;c:\windows\SYSNATIVE\drivers\dmvsc.sys [x]
R3 HTCAND64;HTC Device Driver;c:\windows\system32\Drivers\ANDROIDUSB.sys;c:\windows\SYSNATIVE\Drivers\ANDROIDUSB.sys [x]
R3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\DRIVERS\htcnprot.sys;c:\windows\SYSNATIVE\DRIVERS\htcnprot.sys [x]
R3 HtcVCom32;HTC Diagnostic Port;c:\windows\system32\DRIVERS\HtcVComV64.sys;c:\windows\SYSNATIVE\DRIVERS\HtcVComV64.sys [x]
R3 IntcDAud;Аудио Intel(R) для дисплеев;c:\windows\system32\DRIVERS\IntcDAud.sys;c:\windows\SYSNATIVE\DRIVERS\IntcDAud.sys [x]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\MBAMSwissArmy.sys;c:\windows\SYSNATIVE\drivers\MBAMSwissArmy.sys [x]
R3 Neo_VPN;VPN Client Device Driver - VPN;c:\windows\system32\DRIVERS\Neo_0046.sys;c:\windows\SYSNATIVE\DRIVERS\Neo_0046.sys [x]
R3 PortTalk;PortTalk;c:\windows\system32\Drivers\PortTalk.sys;c:\windows\SYSNATIVE\Drivers\PortTalk.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys;c:\windows\SYSNATIVE\drivers\rdpvideominiport.sys [x]
R3 Synth3dVsc;Microsoft Virtual 3D Video Transport Driver;c:\windows\system32\drivers\Synth3dVsc.sys;c:\windows\SYSNATIVE\drivers\Synth3dVsc.sys [x]
R3 terminpt;Microsoft Remote Desktop Input Driver;c:\windows\system32\drivers\terminpt.sys;c:\windows\SYSNATIVE\drivers\terminpt.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys;c:\windows\SYSNATIVE\drivers\TsUsbGD.sys [x]
R3 tsusbhub;Remote Deskotop USB Hub;c:\windows\system32\drivers\tsusbhub.sys;c:\windows\SYSNATIVE\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys;c:\windows\SYSNATIVE\drivers\rdvgkmd.sys [x]
R3 WatAdminSvc;Служба технологий активации Windows;c:\windows\system32\Wat\WatAdminSvc.exe;c:\windows\SYSNATIVE\Wat\WatAdminSvc.exe [x]
S0 amdkmpfd;AMD PCI Root Bus Lower Filter;c:\windows\system32\DRIVERS\amdkmpfd.sys;c:\windows\SYSNATIVE\DRIVERS\amdkmpfd.sys [x]
S0 epfwwfp;epfwwfp;c:\windows\system32\DRIVERS\epfwwfp.sys;c:\windows\SYSNATIVE\DRIVERS\epfwwfp.sys [x]
S1 AsUpIO;AsUpIO;SysWow64\drivers\AsUpIO.sys;SysWow64\drivers\AsUpIO.sys [x]
S1 eamonm;eamonm;c:\windows\system32\DRIVERS\eamonm.sys;c:\windows\SYSNATIVE\DRIVERS\eamonm.sys [x]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys;c:\windows\SYSNATIVE\DRIVERS\ehdrv.sys [x]
S1 EpfwLWF;Epfw NDIS LightWeight Filter;c:\windows\system32\DRIVERS\EpfwLWF.sys;c:\windows\SYSNATIVE\DRIVERS\EpfwLWF.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe;c:\windows\SYSNATIVE\atiesrxx.exe [x]
S2 amdacpksd;ACP Kernel Service Driver;c:\windows\system32\drivers\amdacpksd.sys;c:\windows\SYSNATIVE\drivers\amdacpksd.sys [x]
S2 amdacpusrsvc;ACP User Service;c:\program files\AMD\{920DEC42-4CA5-4d1d-9487-67BE645CDDFC}\amdacpusrsvc.exe;c:\program files\AMD\{920DEC42-4CA5-4d1d-9487-67BE645CDDFC}\amdacpusrsvc.exe [x]
S2 AsSysCtrlService;ASUS System Control Service;c:\program files (x86)\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe;c:\program files (x86)\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe [x]
S2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\x86\ekrn.exe;c:\program files\ESET\ESET Smart Security\x86\ekrn.exe [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys;c:\windows\SYSNATIVE\drivers\AtihdW76.sys [x]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys;c:\windows\SYSNATIVE\DRIVERS\HECIx64.sys [x]
S3 RTCore64;RTCore64;c:\program files (x86)\MSI Afterburner\RTCore64.sys;c:\program files (x86)\MSI Afterburner\RTCore64.sys [x]
S3 RTL8167;Драйвер Realtek 8167 NT;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x]
.
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-11-03 8317472]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2015-01-28 5595848]
.
------- Supplementary Scan -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = [url]https://www.google.ru/[/url]
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Закачать ВСЕ при помощи Download Master - c:\program files (x86)\Download Master\dmieall.htm
IE: Закачать при помощи Download Master - c:\program files (x86)\Download Master\dmie.htm
TCP: DhcpNameServer = 192.168.1.1
.
- - - - ORPHANS REMOVED - - - -
.
AddRemove-{1EAC1D02-C6AC-4FA6-9A44-96258C37C812RU}_is1 - d:\games\World of Tanks\unins000.exe
.
.
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_USERS\S-1-5-21-139670775-344303145-2214587904-1000\Software\SecuROM\License information*]
"datasecu"=hex:9c,6d,aa,53,ce,fb,b5,97,9e,73,65,9b,ff,f7,0b,84,11,88,ce,61,c0,
ca,31,36,89,0a,6b,ee,8e,03,24,b8,5a,54,83,49,a9,64,ef,6a,16,ee,01,0a,83,c4,\
"rkeysecu"=hex:bd,90,56,36,31,dc,b3,9b,ca,f4,00,32,ce,d6,d5,81
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_17_0_0_169_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_17_0_0_169_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_17_0_0_169_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_17_0_0_169_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_17_0_0_169.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.17"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_17_0_0_169.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_17_0_0_169.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_17_0_0_169.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Completion time: 2015-05-10 14:42:24
ComboFix-quarantined-files.txt 2015-05-10 11:42
.
Pre-Run: 17*815*212*032 байт свободно
Post-Run: 17*139*322*880 байт свободно
.
- - End Of File - - 3615AD1C7DBF85CE4AE75C23381C42C4
A36C5E4F47E84449FF07ED3517B43A31
[/SPOILER]
10.05.2015, 19:29
mike 1

Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]в корень диска С.[/B][/COLOR]
[code]
DirLook::
c:\programdata\VideoMach
c:\program files (x86)\VideoMach
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[IMG]http://savepic.org/5315621m.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
10.05.2015, 20:03
Алексей1231

Вложений: 1

ComboFix
11.05.2015, 00:39
mike 1

Если проблема еще актуальна, то переустановите браузер с полным удалением профиля.