Не открывается вК, вместо стартовых страниц казино &am p;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a

Добрый день.

Не открывается сайт vk.com, файл hosts чистый, стандартные рекомендации не помогают. Антивирусы ничего не находят.

Вместо стартовых страниц - казино Вулкан.

Файлы анализа:

Уважаемый(ая) [B]Franchesco[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('C:\Program Files\UBar\ubar.exe');
TerminateProcessByName('C:\Program Files\UBar\UbarService.exe');
StopService('UbarPolicyProvider');
StopService('UbarCalloutDriver');
QuarantineFile('C:\Program Files\UBar\ubar.exe', '');
QuarantineFile('C:\Program Files\UBar\UbarService.exe', '');
QuarantineFile('C:\Program Files (x86)\HDefsoft\zFZFke.exe', '');
QuarantineFile('C:\Windows\svchost.exe', '');
QuarantineFile('C:\Program Files\UBar\UbarDriver.sys', '');
QuarantineFile('C:\ProgramData\bKIfnCuAp\OQVQtRFa5.bat', '');
QuarantineFile('C:\Program Files (x86)\Torrent Search\IEEF\J9XxfYKVq7YT.dll', '');
QuarantineFile('C:\Program Files (x86)\Torrent Search\bWAeOsw.exe', '');
QuarantineFile('C:\ProgramData\UpService\UpService.exe', '');
QuarantineFile('C:\Users\monotone\AppData\Roaming\FreeVPN\FreeVPN.exe', '');
DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job', '64');
DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job', '64');
DeleteFile('C:\Program Files\UBar\ubar.exe', '32');
DeleteFile('C:\Program Files\UBar\UbarService.exe', '32');
DeleteFile('C:\Program Files (x86)\HDefsoft\zFZFke.exe', '32');
DeleteFile('C:\Windows\svchost.exe', '32');
DeleteFile('C:\Program Files\UBar\UbarDriver.sys', '32');
DeleteFile('C:\ProgramData\bKIfnCuAp\OQVQtRFa5.bat', '32');
DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\J9XxfYKVq7YT.dll', '32');
DeleteFile('C:\Program Files (x86)\Torrent Search\bWAeOsw.exe', '32');
DeleteFile('C:\ProgramData\UpService\UpService.exe', '32');
DeleteFile('C:\Users\monotone\AppData\Roaming\FreeVPN\FreeVPN.exe', '32');
DeleteService('UbarPolicyProvider');
DeleteService('HSystem');
DeleteService('Windows');
DeleteService('UbarCalloutDriver');
DeleteFileMask('C:\Program Files\UBar', '*', true);
DeleteFileMask('C:\Program Files (x86)\HDefsoft', '*', true);
DeleteFileMask('C:\Program Files (x86)\Torrent Search', '*', true);
DeleteFileMask('C:\ProgramData\UpService', '*', true);
DeleteFileMask('C:\Users\monotone\AppData\Roaming\FreeVPN', '*', true);
DeleteDirectory('C:\Program Files\UBar');
DeleteDirectory('C:\Program Files (x86)\HDefsoft');
DeleteDirectory('C:\Program Files (x86)\Torrent Search');
DeleteDirectory('C:\ProgramData\UpService');
DeleteDirectory('C:\Users\monotone\AppData\Roaming\FreeVPN');
DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
ExecuteFile('schtasks.exe', '/delete /TN "UpService" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "FreeVPN" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Torrent Search" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Torrent Search2" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].

Сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK.zip"]Check Browsers' Lnk 2[/URL].

Карантин отправлен:
[INFORMATION]Результат загрузки

Файл сохранён как 160228_195250_quarantine_56d325e28ee2a.zip
Размер файла 240447
MD5 147a0ec7c497f7239b0669e0c647109b
Файл закачан, спасибо![/INFORMATION]
Логи во вложении:


Спасибо!

Выполните скрипт в AVZ:[CODE]begin
TerminateProcessByName('c:\programdata\airtostrong\airtostrong.exe');
TerminateProcessByName('c:\programdata\apppaznor\apppaznor.exe');
TerminateProcessByName('c:\programdata\cloudprinter\cloudprinter.exe');
TerminateProcessByName('C:\Users\monotone\AppData\Local\saogreen.exe');
TerminateProcessByName('c:\programdata\serfev\serfev.exe');
StopService('Airtostrong');
StopService('ApppaznoR');
StopService('CloudPrinter');
StopService('prcduct');
StopService('serfev');
ClearQuarantine;
QuarantineFileF('c:\programdata\airtostrong', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('c:\programdata\apppaznor', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('c:\programdata\cloudprinter', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('c:\programdata\serfev', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFile('c:\programdata\airtostrong\airtostrong.exe', '');
QuarantineFile('c:\programdata\apppaznor\apppaznor.exe', '');
QuarantineFile('c:\programdata\cloudprinter\cloudprinter.exe', '');
QuarantineFile('C:\Users\monotone\AppData\Local\saogreen.exe', '');
QuarantineFile('c:\programdata\serfev\serfev.exe', '');
QuarantineFile('C:\ProgramData\serfev\DentoSing.dll', '');
QuarantineFile('C:\ProgramData\serfev\Triosoft.dll', '');
QuarantineFile('C:\ProgramData\UpService\UpService.exe', '');
QuarantineFile('C:\Users\monotone\AppData\Roaming\FreeVPN\FreeVPN.exe', '');
DeleteFile('c:\programdata\airtostrong\airtostrong.exe', '32');
DeleteFile('c:\programdata\apppaznor\apppaznor.exe', '32');
DeleteFile('c:\programdata\cloudprinter\cloudprinter.exe', '32');
DeleteFile('C:\Users\monotone\AppData\Local\saogreen.exe', '32');
DeleteFile('c:\programdata\serfev\serfev.exe', '32');
DeleteFile('C:\ProgramData\serfev\DentoSing.dll', '32');
DeleteFile('C:\ProgramData\serfev\Triosoft.dll', '32');
DeleteFile('C:\ProgramData\UpService\UpService.exe', '32');
DeleteFile('C:\Users\monotone\AppData\Roaming\FreeVPN\FreeVPN.exe', '32');
DeleteService('Airtostrong');
DeleteService('ApppaznoR');
DeleteService('CloudPrinter');
DeleteService('prcduct');
DeleteService('serfev');
DeleteFileMask('c:\programdata\airtostrong', '*', true);
DeleteFileMask('c:\programdata\apppaznor', '*', true);
DeleteFileMask('c:\programdata\cloudprinter', '*', true);
DeleteFileMask('c:\programdata\serfev', '*', true);
DeleteFileMask('C:\ProgramData\UpService', '*', true);
DeleteDirectory('c:\programdata\airtostrong');
DeleteDirectory('c:\programdata\apppaznor');
DeleteDirectory('c:\programdata\cloudprinter');
DeleteDirectory('c:\programdata\serfev');
DeleteDirectory('C:\ProgramData\UpService');
DeleteDirectory('C:\Users\monotone\AppData\Roaming\FreeVPN');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "UpService" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "FreeVPN" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteRepair(13);
RebootWindows(true);
end.[/CODE]Компьютер перезагрузится.

Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Перетащите лог Check_Browsers_LNK.log на [url=http://dragokas.com/tools/ClearLNK.zip]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.

[QUOTE=Vvvyg;1362216]Выполните скрипт в AVZ:[CODE]begin
TerminateProcessByName('c:\programdata\airtostrong\airtostrong.exe');
TerminateProcessByName('c:\programdata\apppaznor\apppaznor.exe');
TerminateProcessByName('c:\programdata\cloudprinter\cloudprinter.exe');
TerminateProcessByName('C:\Users\monotone\AppData\Local\saogreen.exe');
TerminateProcessByName('c:\programdata\serfev\serfev.exe');
StopService('Airtostrong');
StopService('ApppaznoR');
StopService('CloudPrinter');
StopService('prcduct');
StopService('serfev');
ClearQuarantine;
QuarantineFileF('c:\programdata\airtostrong', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('c:\programdata\apppaznor', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('c:\programdata\cloudprinter', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('c:\programdata\serfev', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFile('c:\programdata\airtostrong\airtostrong.exe', '');
QuarantineFile('c:\programdata\apppaznor\apppaznor.exe', '');
QuarantineFile('c:\programdata\cloudprinter\cloudprinter.exe', '');
QuarantineFile('C:\Users\monotone\AppData\Local\saogreen.exe', '');
QuarantineFile('c:\programdata\serfev\serfev.exe', '');
QuarantineFile('C:\ProgramData\serfev\DentoSing.dll', '');
QuarantineFile('C:\ProgramData\serfev\Triosoft.dll', '');
QuarantineFile('C:\ProgramData\UpService\UpService.exe', '');
QuarantineFile('C:\Users\monotone\AppData\Roaming\FreeVPN\FreeVPN.exe', '');
DeleteFile('c:\programdata\airtostrong\airtostrong.exe', '32');
DeleteFile('c:\programdata\apppaznor\apppaznor.exe', '32');
DeleteFile('c:\programdata\cloudprinter\cloudprinter.exe', '32');
DeleteFile('C:\Users\monotone\AppData\Local\saogreen.exe', '32');
DeleteFile('c:\programdata\serfev\serfev.exe', '32');
DeleteFile('C:\ProgramData\serfev\DentoSing.dll', '32');
DeleteFile('C:\ProgramData\serfev\Triosoft.dll', '32');
DeleteFile('C:\ProgramData\UpService\UpService.exe', '32');
DeleteFile('C:\Users\monotone\AppData\Roaming\FreeVPN\FreeVPN.exe', '32');
DeleteService('Airtostrong');
DeleteService('ApppaznoR');
DeleteService('CloudPrinter');
DeleteService('prcduct');
DeleteService('serfev');
DeleteFileMask('c:\programdata\airtostrong', '*', true);
DeleteFileMask('c:\programdata\apppaznor', '*', true);
DeleteFileMask('c:\programdata\cloudprinter', '*', true);
DeleteFileMask('c:\programdata\serfev', '*', true);
DeleteFileMask('C:\ProgramData\UpService', '*', true);
DeleteDirectory('c:\programdata\airtostrong');
DeleteDirectory('c:\programdata\apppaznor');
DeleteDirectory('c:\programdata\cloudprinter');
DeleteDirectory('c:\programdata\serfev');
DeleteDirectory('C:\ProgramData\UpService');
DeleteDirectory('C:\Users\monotone\AppData\Roaming\FreeVPN');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "UpService" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "FreeVPN" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteRepair(13);
RebootWindows(true);
end.[/CODE]Компьютер перезагрузится.

Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Перетащите лог Check_Browsers_LNK.log на [url=http://dragokas.com/tools/ClearLNK.zip]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.[/QUOTE]

До выполнения рекомендаций сложностей не наблюдается.
Большое спасибо.

[I]если появятся - выполним скрипт, апнем тему. Ещё раз спасибо![/I]

Не нужно полностью цитировать сообщения хелпера, это ухудшает читаемость темы, просто пишите в окне "Быстрый ответ".

Выполните рекомендации из предыдущего сообщения, у Вас в системе адварь на адвари и адварью погоняет. Будете тянуть время - ещё зараза установится.

Жду результаты работы утилит ClearLNK и AdwCleaner, если указания не выполните - тему закроют.

Сделано:

Карантин шестиметровый не прикрепился.
Там в нем один из файлов весит 3Мб, что делать?

[NOTICE]Карантин запрещено прикреплять к теме[/NOTICE]
Есть кнопка "Прислать запрошенный карантин" над над первым сообщением в теме.

Читайте внимательно, что я писал по AdwCleaner - сделайте очистку после сканирования и приложите файл AdwCleaner[C1].txt.

Времени прошло много, понадобится после этого сделать ещё лог.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

Сделано
Карантин так же был загружен

О-о, тут не дочищать, а пролечивать серьёзно нужно :?

µTorrent левый у Вас, откуда скачивали? Удалите через панель управления.

[U]После этого[/U] откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CloseProcesses:
CreateRestorePoint:
AppInit_DLLs: C:\ProgramData\serfev\UnoTotech.dll => C:\ProgramData\serfev\UnoTotech.dll [805376 2016-02-29] ()
AppInit_DLLs-x32: C:\ProgramData\serfev\TreeSolphase.dll => C:\ProgramData\serfev\TreeSolphase.dll [257536 2016-02-29] ()
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
FF NewTab: C:\ProgramData\serfevs\ff.NT
FF SelectedSearchEngine: Поиск@Mail.Ru
FF Homepage: C:\ProgramData\serfevs\ff.HP
FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7B64DC6E2B-3270-4198-8EC6-A1B80C55C6E3%7D&gp=820339
R2 serfev; C:\ProgramData\\serfev\\serfev.exe [529408 2016-02-29] () [File not signed]
2016-02-29 20:30 - 2016-02-29 21:52 - 00000000 ____D C:\ProgramData\serfev
2016-02-29 20:30 - 2016-02-29 20:30 - 00000000 ____D C:\Program Files\Common Files\xk1epy4g
2016-02-29 20:27 - 2016-02-28 17:42 - 00001110 _____ C:\Windows\system32\Drivers\etc\2016-02-29_20-27_hosts.bak
2016-02-28 20:37 - 2016-02-28 20:37 - 00000000 ____D C:\ProgramData\serfevs
2016-02-28 20:35 - 2016-02-28 20:35 - 00000000 ____D C:\ProgramData\ApppaznoRs
2016-02-28 19:04 - 2016-02-28 19:04 - 00000000 ____D C:\ProgramData\Airtostrongs
2016-02-28 19:03 - 2016-02-28 19:03 - 03288792 _____ () C:\Program Files\Common Files\f0fiepww.exe
2016-02-28 19:03 - 2016-02-28 19:03 - 00000000 ____D C:\Program Files\Common Files\2jdcpfo0
2016-02-28 17:47 - 2016-02-28 18:03 - 00000000 ____D C:\Users\monotone\AppData\Roaming\567377707A_1036
2016-02-28 17:36 - 2016-02-28 17:36 - 00041472 _____ C:\Users\monotone\AppData\Local\saogreen.dat
2016-02-28 17:36 - 2016-02-28 17:36 - 00000187 _____ C:\Users\monotone\AppData\Local\saogreen.exe.config
2016-02-28 17:35 - 2016-02-28 17:35 - 08003072 _____ C:\Users\monotone\AppData\Roaming\agent.dat
2016-02-28 17:35 - 2016-02-28 17:35 - 01894981 _____ C:\Users\monotone\AppData\Roaming\Hathold.tst
2016-02-28 17:35 - 2016-02-28 17:35 - 00848437 _____ C:\Users\monotone\AppData\Roaming\Goldtip.bin
2016-02-28 17:35 - 2016-02-28 17:35 - 00762880 _____ C:\Users\monotone\AppData\Roaming\Quotone.exe
2016-02-28 17:35 - 2016-02-28 17:35 - 00762880 _____ C:\Users\monotone\AppData\Roaming\Hathold.exe
2016-02-28 17:35 - 2016-02-28 17:35 - 00189536 _____ () C:\Users\monotone\AppData\Roaming\Tineco.bin
2016-02-28 17:35 - 2016-02-28 17:35 - 00127488 _____ C:\Users\monotone\AppData\Roaming\Installer.dat
2016-02-28 17:35 - 2016-02-28 17:35 - 00126464 _____ C:\Users\monotone\AppData\Roaming\noah.dat
2016-02-28 17:35 - 2016-02-28 17:35 - 00126464 _____ C:\Users\monotone\AppData\Roaming\lobby.dat
2016-02-28 17:35 - 2016-02-28 17:35 - 00072718 _____ C:\Users\monotone\AppData\Roaming\Quotone.tst
2016-02-28 17:35 - 2016-02-28 17:35 - 00064752 _____ C:\Users\monotone\AppData\Roaming\Config.xml
2016-02-28 17:35 - 2016-02-28 17:35 - 00054272 _____ C:\Users\monotone\AppData\Roaming\ApplicationHosting.dat
2016-02-28 17:35 - 2016-02-28 17:35 - 00018432 _____ C:\Users\monotone\AppData\Roaming\Main.dat
2016-02-28 17:35 - 2016-02-28 17:35 - 00016992 _____ C:\Users\monotone\AppData\Roaming\InstallationConfiguration.xml
2016-02-28 17:35 - 2016-02-28 17:35 - 00005568 _____ C:\Users\monotone\AppData\Roaming\md.xml
2016-02-28 17:35 - 2016-02-28 17:35 - 00000000 ____D C:\Users\Все пользователи\Ronzaps
2016-02-27 16:34 - 2016-02-27 16:34 - 00000000 ____D C:\Users\monotone\AppData\Roaming\MailProducts
2016-02-27 16:33 - 2016-02-27 19:29 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free VPN
2016-02-27 16:33 - 2016-02-27 19:29 - 00000000 ____D C:\Program Files (x86)\Free VPN
2016-02-27 14:15 - 2016-02-27 14:15 - 00000000 __HDC C:\ProgramData\{90D8CE90-3E6B-4034-A281-BC9F19B60A5B}
2016-02-27 14:15 - 2016-02-27 14:15 - 00000000 __HDC C:\ProgramData\{42DEBD12-9D09-4B77-B434-2EF604E45D3D}
R2 BitTorrent; C:\Program Files\BitTorrent\BitTorrent.exe [383488 2016-02-28] () [File not signed]
2016-02-28 17:36 - 2016-02-28 20:36 - 00000000 ____D C:\Program Files\BitTorrent
Task: {25ADDD91-52FC-4A01-B171-DFA3C0AAC9CE} - System32\Tasks\Microsoft\Windows\Apps\UpService => C:\ProgramData\UpService\UpService.exe <==== ATTENTION
Task: {2C898416-EFD7-4DF7-8A38-001A6B30E143} - System32\Tasks\noajoyneot => C:\Windows\system32\config\systemprofile\AppData\Local\Incof [2016-02-28] () <==== ATTENTION
C:\Windows\system32\config\systemprofile\AppData\Local\Incof
Task: {D9FE8659-2217-420C-B718-3976B706BF94} - System32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN => C:\Users\monotone\AppData\Roaming\FreeVPN\FreeVPN.exe
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].

файл приложил. А с Образом что делать?

Если не влезет во вложения - загрузите на rghost.ru и дайте ссылку в теме.

Вот, пожалуйста: [url]http://rghost.ru/7FK2X5NGW[/url]

Загрузчик торрента не помню уже откуда закачал (мог ошибиться ссылкой), но у меня установщик остался. Могу поделиться для науки.

Пришлите загрузчик в соответствии с [COLOR="#FF0000"]Приложением 2. Как прислать запрошенные файлы.[/COLOR] [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL].

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delref %SystemDrive%\PROGRAMDATA\SERFEVS\FF.HP
delref %SystemDrive%\PROGRAMDATA\SERFEVS\FF.NT
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref F:\PROGRAM FILES (X86)\UPDATER\UPDATER.EXE
delref F:\PROGRAM FILES (X86)\UPDATER\UPDATER.DLL
delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
delref E:\PROGRAMS\UTORRENT.EXE
deltmp
restart[/code]Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

А если загрузчика в AVZ нет?

Вот лог:

Так укажите ему, где он.

В принципе, всё.

Запустите AdwCleaner и нажмите [B]Деинсталлировать (Uninstall)[/B].

Удалите папку C:\FRST со всем содержимым.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].

Карантин загрузил. Надеюсь это тот самый загрузчик.

Деинсталяцию провёл, папку удалил.
Рекомендации почитаю обязательно. Спасибо большое за помощь.

[SPOILER]Ей богу, никогда столько мороки не было с вирусом. [/SPOILER]

Выглядит, кстати, как легальный. Именно с этого файла устанавливали?

Вот и я про тоже, а устанавливал с него. Других на диске не обнаружил. К сожалению я снес все браузеры, один из которых участвовал в скачивании загрузчика, который мог быть заражен, поэтому не смогу ссылку на ресурс дать.

Мог один из зловредов, которые вычистили, подменить уже установленный.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\airtostrong\airtostrong.exe - [B]not-a-virus:AdWare.Win32.Agent.jugw[/B] ( BitDefender: Gen:Trojan.Heur.JP.GuW@aaLaPmm )[*] c:\programdata\airtostrong\freshsonstrong.dll - [B]not-a-virus:WebToolbar.Win32.Linkury.bv[/B][*] c:\programdata\airtostrong\itity.exe - [B]not-a-virus:WebToolbar.Win64.Linkury.a[/B][*] c:\programdata\airtostrong\scotsontech.dll - [B]Trojan.Win64.Agent.dms[/B][*] c:\programdata\airtostrong\zerair.exe - [B]not-a-virus:WebToolbar.Win32.Linkury.bv[/B][*] c:\programdata\apppaznor\apppaznor.exe - [B]not-a-virus:AdWare.Win32.Agent.jugy[/B] ( BitDefender: Gen:Trojan.Heur.JP.GuW@a0TjzYo )[*] c:\programdata\apppaznor\nimtraxity.dll - [B]Trojan.Win64.Agent.dms[/B][*] c:\programdata\apppaznor\s-core.exe - [B]not-a-virus:WebToolbar.Win64.Linkury.a[/B][*] c:\programdata\apppaznor\singleotkix.exe - [B]not-a-virus:WebToolbar.Win32.Linkury.bv[/B][*] c:\programdata\apppaznor\tamptone.dll - [B]not-a-virus:WebToolbar.Win32.Linkury.bv[/B][*] c:\programdata\cloudprinter\cloudprinter.exe - [B]Trojan-Dropper.Win32.Addrop.da[/B][*] c:\programdata\cloudprinter\jackson.exe - [B]not-a-virus:AdWare.Win32.Agent.jugy[/B] ( BitDefender: Gen:Trojan.Heur.JP.GuW@a0TjzYo )[*] c:\programdata\serfev\damair.exe - [B]not-a-virus:WebToolbar.Win64.Linkury.a[/B][*] c:\programdata\serfev\dentosing.dll - [B]not-a-virus:WebToolbar.Win32.Linkury.bv[/B][*] c:\programdata\serfev\it-top.exe - [B]not-a-virus:WebToolbar.Win32.Linkury.bv[/B][*] c:\programdata\serfev\serfev.exe - [B]not-a-virus:AdWare.Win32.Agent.jugy[/B] ( BitDefender: Gen:Trojan.Heur.JP.GuW@a0TjzYo )[*] c:\programdata\serfev\triosoft.dll - [B]Trojan.Win64.Agent.dms[/B][*] c:\users\monotone\appdata\local\saogreen.exe - [B]Trojan-Downloader.MSIL.Agent.akgd[/B][/LIST][/LIST]