Wizzcaster и xmediaserve открываются на сайте автоматичекски [not-a-virus:AdWare.MSIL.Agent.aczh ]

**Odar.sp** · 26.12.2016, 13:07

День добрый. Возникла проблема на ноутбуке,не стоял вообще антивируса только, стандартная утилита от Windows. Автоматически открывался сайт xmediaserve, после чисткой ПО AdwCleaner(было много вирусных файлов реестров и служб), стал отрываться сайт Wizzcaster. Есть одна ошибка в AdwCleaner, не удаляет службу UCGuard.
Ноутбук был сильно завирусован, открывались банеры на рабочем столе(online.io, рекламные окошки возле часов), после чистки пропали. Сейчас в общем остался только Wizzcaster, он перенаправляет на различные сайты, в том числе и порно.
Операционная система Windows 10 x64.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 26.12.2016, 13:09

Уважаемый(ая) Odar.sp, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 26.12.2016, 19:14

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\днс\AppData\Local\Temp\PPQ1CLZ6I\PPQ1CLZ6I.exe');
 QuarantineFileF('C:\Users\днс\appdata\local\filterstart\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Program Files\їмс№\x86\kuaizipupdatechecker.dll', '');
 QuarantineFileF('c:\users\днс\appdata\local\microsoft\extensions', '*', true, '', 0 , 0);
 QuarantineFile('C:\Users\днс\AppData\Local\Temp\PPQ1CLZ6I\PPQ1CLZ6I.exe', '');
 QuarantineFile('C:\Users\днс\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
 QuarantineFile('C:\Users\днс\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', '');
 QuarantineFile('C:\Users\днс\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk', '');
 QuarantineFile('C:\Users\днс\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk', '');
 QuarantineFile('C:\Users\днс\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\днс\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа (2).lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk', '');
 DeleteFile('C:\Program Files\їмс№\x86\kuaizipupdatechecker.dll', '32');
 DeleteFile('C:\Users\днс\AppData\Local\Temp\PPQ1CLZ6I\PPQ1CLZ6I.exe', '32');
 DeleteFile('C:\Users\днс\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "960643DC-F343-4784-95DB-A58C7BB51C77" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\днс\appdata\local\filterstart\', '*', true);
 DeleteFileMask('c:\users\днс\appdata\local\microsoft\extensions', '*', true);
 DeleteDirectory('C:\Users\днс\appdata\local\filterstart\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AABVW14VZO');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'SafeBrowser');
 ClearHostsFile;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(13);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

**Odar.sp** · 27.12.2016, 10:15

Выполнил скрипт и проверил лог ярлыков. Отчеты прикрепляю. Карантин прикрепил в теме сверху и в сообщении на всякий случай.

**regist** · 27.12.2016, 11:04

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('c:\program files (x86)\ckavoied\prfvrf.dll', '');
 QuarantineFileF('C:\Users\днс\appdata\roaming\adobe\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\program files (x86)\ckavoied\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\днс\Favorites\Links\Интернет.url', '');
 DeleteFile('c:\program files (x86)\ckavoied\prfvrf.dll', '32');
 DeleteFile('C:\Users\днс\Favorites\Links\Интернет.url');
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "960643DC-F343-4784-95DB-A58C7BB51C77" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\днс\appdata\roaming\adobe\', '*', true);
 DeleteDirectory('C:\Users\днс\appdata\roaming\adobe\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Vbeingphedertion\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.

**Odar.sp** · 27.12.2016, 11:57

Карантин закинул, логи прилагаю. И хочу заметить, при первых лечениях через AdwCleaner если стоит галочка на службе UCGuard и нажать кнопку "Очистить" то программа зависает и не отвечает на нажатия. А когда я снял галочку он удалил вирусные службы остальные и чистил папки, файлы и тд.

**regist** · 27.12.2016, 13:07

1) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

Код:

- "C:\Users\днс\Favorites\Links\Интернет.url"  ->                     hxxp://higig.ru/?utm_source=favorites03&utm_content=ea175476d9f20cabb6fc7fc64f686ab6&utm_term=11FD29BAB4085AD20B18B122A6096046

2) Скачайте, распакуйте и сделайте лог этой утилитой. Затем прикрепите его к сообщению.

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**Odar.sp** · 27.12.2016, 13:30

Отчеты о работе прилагаю

**regist** · 27.12.2016, 14:04

Код:

Chrome: 
=======
CHR DefaultProfile: ChromeDefaultData
CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.youndoo.com/search/?q={searchTerms}&z=244d6a2231541e73ec8113cgez9b9o9m6c0b0zcwbe&from=amz&uid=ST1000LM024XHN-M101MBB_S31LJ9FF900708&type=sp
CHR DefaultSearchKeyword: ChromeDefaultData -> youndoo
CHR Profile: C:\Users\днс\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-27] <==== ATTENTION
CHR Extension: (Docs) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aohghmighlieiainnegkcijnfilokake [2016-11-16]
CHR Extension: (Диск Google) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-11-16]
CHR Extension: (YouTube) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-11-16]
CHR Extension: (Поиск Google) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-11-16]
CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\cpmgdbdchhjimcbfbbhlbchbobhjonna [2016-12-21]
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-08-22]
CHR Extension: (CentralPicture) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\neebplgakaahbhdphmkckjjcegoiijjo [2015-12-07]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-04]
CHR Extension: (Fast search) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-11-15]
CHR Extension: (Gmail) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-11-16]
CHR Profile: C:\Users\днс\AppData\Local\Google\Chrome\User Data\Profile 1 [2016-12-26]
CHR Extension: (Docs) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aohghmighlieiainnegkcijnfilokake [2016-11-16]
CHR Extension: (Диск Google) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-11-16]
CHR Extension: (YouTube) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-11-16]
CHR Extension: (Поиск Google) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-11-16]
CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\cpmgdbdchhjimcbfbbhlbchbobhjonna [2016-12-21]
CHR Extension: (Gmail) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-11-16]
CHR HKLM\...\Chrome\Extension: [ellpepcimdiojocjabefpnpkfpkehpec] - hxxps://chrome.google.com/webstore/detail/ellpepcimdiojocjabefpnpkfpkehpec

Opera: 
=======
OPR StartupUrls:  "hxxp://www.yandex.ru/?win=194&clid=2219618" 
OPR Session Restore: -> is enabled.
OPR Extension: (Expert+) - C:\Users\днс\AppData\Roaming\Opera Software\Opera Stable\Extensions\ellpepcimdiojocjabefpnpkfpkehpec [2016-07-11]
OPR Extension: (lcoupon) - C:\Users\днс\AppData\Roaming\Opera Software\Opera Stable\Extensions\elmbcmlmdjfemolgapoecfhcmcjgdmbh [2015-12-07]
OPR Extension: (Smart Browser™) - C:\Users\днс\AppData\Roaming\Opera Software\Opera Stable\Extensions\iabeihobmhlgpkcgjiloemdbofjbdcic [2015-12-04]
OPR Extension: (No Name) - C:\Users\днс\AppData\Roaming\Opera Software\Opera Stable\Extensions\khmiehpkiedpkpifcpeplghoibfhhigo [2016-12-21]
OPR Extension: (Download Chrome Extension) - C:\Users\днс\AppData\Roaming\Opera Software\Opera Stable\Extensions\kipjbhgniklcnglfaldilecjomjaddfi [2016-05-02]
OPR Extension: (No Name) - C:\Users\днс\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-11-15]

Среди этих расширений есть вам не знакомые?
В частности Expert+ - сами ставили?
Программы/расширения от Mail.ru используете?

**Odar.sp** · 27.12.2016, 14:09

нет знакомого

**regist** · 27.12.2016, 14:23

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
Task: {19396AD4-9B23-4AC7-A223-ED39125F860C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {1C855617-CF41-49BE-9F01-FD1777E7BC07} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {2C78C6BC-3AE3-49D4-83C8-0CFB794FE3B2} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {336D5079-6EB7-49F0-9167-D1E0114516EA} - \WPD\SqmUpload_S-1-5-21-3119546309-1541589978-1349286293-1001 -> No File <==== ATTENTION
Task: {41307F76-B45B-4F6A-A81A-BD88C698B726} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {44CA6F5E-2116-4546-9953-CC42090A5D8E} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {589336D5-A8C1-4B5E-B29C-D1A7FC93BE44} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {5FFA6B6B-6754-4807-A993-C610F5DD9367} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {638F37EA-5DCB-4C2B-9414-0A59E98B2A2A} - System32\Tasks\Microsoft\Windows\960643DC-F343-4784-95DB-A58C7BB51C77 => C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\A77D38C9-DFE2-44AA-8E13-4E7E814071BF.exe <==== ATTENTION
Task: {757BE8DA-BC65-4A55-815A-75421BAD57D4} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
Task: {7ED1C39A-7DDD-4BDE-8E39-EF180B179067} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {8BAB8B13-2C2B-463B-A8D6-BB16925C0DBA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {A4372EE3-EEDC-48C1-9D1D-C63F842F5875} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {A6550652-E131-4ED0-9E59-8F6E7B87DF0C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {ADF88629-790B-4015-ABDC-EEA0C74C89FE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {B15FB572-3444-4EFF-BE6E-4446C362B936} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {E91E2988-EB0A-4B8C-A0AC-7DF58295D5BC} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {FE432251-5188-44F6-85F1-067F27F4B0FF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Shortcut: C:\Users\днс\AppData\Roaming\Microsoft\Windows\Start Menu\їмС№.lnk -> C:\Program Files\їмС№\X86\KuaiZip.exe () <===== Cyrillic
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [80850]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [360536]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1156450]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
HKU\S-1-5-21-3119546309-1541589978-1349286293-1001\Software\Classes\.scr: scrfile =>  <===== ATTENTION
MSCONFIG\Services: berepoqu => 2
HKLM\...\StartupApproved\Run32: => "IconRunner"
HKU\S-1-5-21-3119546309-1541589978-1349286293-1001\...\StartupApproved\Run: => "TextEditor"
FirewallRules: [{07D508A9-513B-4725-AF2F-63968373C92A}] => C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe
FirewallRules: [{2F0070A7-C42E-464D-A908-782F044EDB5E}] => C:\Program Files\UBar\ubar.exe
FirewallRules: [{B7FEF123-F5A0-4032-AA90-925F76F10A5B}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{BD2AC005-5D61-4DD7-B618-A556C948303D}] => C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe
FirewallRules: [{347D259B-FE9C-4647-ACD0-7FE4EA2D64C3}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{E7E7499A-5B34-42A0-8966-969521089EC5}] => C:\Users\днс\AppData\Local\Amigo\Application\amigo.exe
HKLM\...\Policies\Explorer\Run: [960643DC-F343-4784-95DB-A58C7BB51C77] => C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\A77D38C9-DFE2-44AA-8E13-4E7E814071BF.exe
HKU\S-1-5-21-3119546309-1541589978-1349286293-1001\...\Policies\Explorer: [] 
HKU\S-1-5-18\...\Run: [] => 0
ShellExecuteHooks: No Name - {2B5FE6D2-A5AB-11E6-AA81-64006A5CFC23} - C:\Users\днс\AppData\Roaming\Phuvighqerley\Chaqury.dll -> No File
ShellExecuteHooks: No Name - {5BBF1B1C-A5AC-11E6-8FF2-64006A5CFC23} -  -> No File
ShellExecuteHooks: No Name - {218CBFC8-C6B6-11E6-BCA0-64006A5CFC23} - C:\Users\днс\AppData\Roaming\Pluverent\Anerduwardguperge.dll -> No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
SearchScopes: HKLM-x32 -> DefaultScope value is missing
CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.youndoo.com/search/?q={searchTerms}&z=244d6a2231541e73ec8113cgez9b9o9m6c0b0zcwbe&from=amz&uid=ST1000LM024XHN-M101MBB_S31LJ9FF900708&type=sp
CHR DefaultSearchKeyword: ChromeDefaultData -> youndoo
CHR Extension: (Fast search) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-11-15]
OPR Extension: (lcoupon) - C:\Users\днс\AppData\Roaming\Opera Software\Opera Stable\Extensions\elmbcmlmdjfemolgapoecfhcmcjgdmbh [2015-12-07]
OPR Extension: (Smart Browser™) - C:\Users\днс\AppData\Roaming\Opera Software\Opera Stable\Extensions\iabeihobmhlgpkcgjiloemdbofjbdcic [2015-12-04]
OPR Extension: (No Name) - C:\Users\днс\AppData\Roaming\Opera Software\Opera Stable\Extensions\khmiehpkiedpkpifcpeplghoibfhhigo [2016-12-21]
OPR Extension: (No Name) - C:\Users\днс\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-11-15]
R1 UCGuard; C:\WINDOWS\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== ATTENTION
2016-12-26 10:49 - 2016-12-26 10:49 - 00006104 _____ C:\WINDOWS\System32\Tasks\Zahodom Agent
2016-12-26 10:47 - 2016-12-27 11:40 - 00000000 ____D C:\Program Files (x86)\Ckavoied
2016-12-26 10:47 - 2016-12-26 11:53 - 00000000 ____D C:\Users\днс\AppData\Roaming\Pluverent
2016-12-26 09:51 - 2016-12-26 09:51 - 00000000 ____D C:\ProgramData\GzminoEqrBuv
2016-12-24 16:08 - 2016-12-24 16:08 - 00000000 ____D C:\ProgramData\pJSMwJlRTBAcz
2016-12-24 16:07 - 2016-12-24 16:07 - 00000000 ____D C:\ProgramData\kWvdysf
2016-12-18 13:32 - 2016-12-18 13:32 - 00000000 ____D C:\ProgramData\svDsXoqweLC
2016-12-18 13:32 - 2016-12-18 13:32 - 00000000 ____D C:\ProgramData\PKqNPHUY
2016-12-18 13:32 - 2016-12-18 13:32 - 00000000 ____D C:\ProgramData\LZoEhkB
2016-12-04 18:51 - 2016-12-04 18:51 - 00000000 ____D C:\ProgramData\KhQDiQAxgH
2016-12-27 10:00 - 2016-11-20 21:52 - 00000000 ____D C:\Users\днс\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
2016-12-26 12:46 - 2016-11-16 21:30 - 00000000 ____D C:\Program Files (x86)\gamesdesktop
2016-12-26 12:46 - 2016-11-16 21:21 - 00000000 ____D C:\Program Files\SpaceSoundPro
2016-12-26 10:41 - 2016-11-15 20:13 - 00000000 ____D C:\ProgramData\ProductData
2016-12-26 10:12 - 2016-11-16 15:13 - 00000000 ____D C:\Program Files (x86)\Magasyjansy
Shortcut: C:\Users\днс\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\UC浏览器.lnk -> C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe (UCWeb Inc.)
Shortcut: C:\Users\днс\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk -> C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe (UCWeb Inc.)
OPR Extension: (Expert+) - C:\Users\днс\AppData\Roaming\Opera Software\Opera Stable\Extensions\ellpepcimdiojocjabefpnpkfpkehpec [2016-07-11]
CHR HKLM\...\Chrome\Extension: [ellpepcimdiojocjabefpnpkfpkehpec] - hxxps://chrome.google.com/webstore/detail/ellpepcimdiojocjabefpnpkfpkehpec
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

- - - - -Добавлено - - - - -

Сообщение от Odar.sp

нет знакомого

То есть

Сообщение от regist

Блокировщик Рекламы Для Ютуба™

и остальные расширения вы сами не устанавливали?

**Odar.sp** · 27.12.2016, 14:46

Ноутбук не лично мой, знакомой. Откуда она взяла этот блокировщик рекламы могу только предполагать и доверять ему не вижу смысла.
Фикс выполнил, фикслог прилагаю.

**regist** · 27.12.2016, 14:50

Сообщение от regist

Программы/расширения от Mail.ru используете?

не ответили.

Код:

Кнопка "Яндекс" на панели задач (HKU\S-1-5-21-3119546309-1541589978-1349286293-1001\...\YaPinLancher) (Version: 2.0.0.2116 - Яндекс)
Элементы Яндекса 8.9 для Internet Explorer (HKLM-x32\...\{F5E5A5C8-479C-4D19-B5D8-175ADB1C80B9}) (Version: 8.9.1.5100 - Яндекс)

Если не используются, то лучше деинсталировать.

Сделайте свежие логи FRST.

+ Сделайте свежий лог AdwCleaner-а.

**Odar.sp** · 27.12.2016, 15:25

яндекс элементы удалил, мэйл не пользуюсь

kuaizip какой то висит постоянно в ошибках отчетов

**regist** · 27.12.2016, 15:59

1) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
Folder: C:\Program Files\4K7Q73PLKU
Folder: C:\Program Files\6KP4ZJ4LMK
Task: {926393C2-D364-4D30-A917-40773CB306E5} - \Zahodom Agent -> No File <==== ATTENTION
2016-11-20 21:25 - 2016-11-20 21:25 - 00338368 _____ () C:\Program Files\їмС№\X64\KZipShell.dll
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\їмС№\X64\KZipShell.dll [2016-11-20] ()
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Hotfreshs\ff.HP
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BEFDD91D8-62C6-4660-AFA3-0CFAA50B4B25%7D&gp=820333
FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Hotfreshs\ff.NT
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\днс\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-11-15]
FF Extension: (Поиск@Mail.Ru) - C:\Users\днс\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-11-15]
FF SearchPlugin: C:\Users\днс\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2016-11-15]
CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\cpmgdbdchhjimcbfbbhlbchbobhjonna [2016-12-21]
CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\днс\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\cpmgdbdchhjimcbfbbhlbchbobhjonna [2016-12-21]
OPR StartupUrls:  "hxxp://www.yandex.ru/?win=194&clid=2219618" 
OPR Extension: (Download Chrome Extension) - C:\Users\днс\AppData\Roaming\Opera Software\Opera Stable\Extensions\kipjbhgniklcnglfaldilecjomjaddfi [2016-05-02]
2016-12-26 12:44 - 2016-12-26 12:49 - 00000000 ____D C:\Users\днс\AppData\Roaming\KuaiZip
2016-12-26 10:49 - 2016-12-26 10:49 - 00000000 ____D C:\Program Files (x86)\Qerwdomhijus Reports
Shortcut: C:\Users\днс\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk -> C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe (UCWeb Inc.)
InternetURL: C:\Users\днс\Favorites\Links\Почта.url -> BASEURL: hxxp://mail.yandex.ru/?win=190&clid=2154483 URL: hxxp://mail.yandex.ru/?win=190&clid=2154483
InternetURL: C:\Users\днс\Favorites\Links\Яндекс.url -> BASEURL: hxxp://www.yandex.ru/?win=190&clid=2154483 URL: hxxp://www.yandex.ru/?win=190&clid=2154483
InternetURL: C:\Users\днс\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Яндекс.website -> URL: hxxp://www.yandex.ru/?win=194&clid=2219627
InternetURL: C:\Users\днс\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Яндекс.Музыка.website -> URL: hxxp://music.yandex.ru/?win=194&clid=2219627&from=dist_pin
File: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SynRemoveUserSettings.bat [2016-09-02] ()
File: C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

2) Деинсталируйте

Код:

trotux - Uninstall (HKLM-x32\...\{674F8E86-3662-42F1-8DA6-A8EDC3680058}) (Version:  - ) <==== ATTENTION
trotux - Uninstall (HKLM-x32\...\{FBBB8BF8-F098-448E-9E42-CC388D20CE8A}) (Version:  - ) <==== ATTENTION

3)

Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
В меню Tools ->Options (Инструменты ->Настройки) отметьте:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

**Odar.sp** · 27.12.2016, 16:49

при деинсталяции trotux возникает проблема, нажимаю удалить и происходит какая то мгновенная загрузка, далее ничего не происходит. ноутбук начинает подвисать
остальное сейчас сделаю и выложу логи

один удалился trotux из списка, т.к. нет файлов его. второй остался и ведет себя так же.
логи прилагаю

- - - - -Добавлено - - - - -

повторная проверка через AdwCleaner говорит что угроз нет, осталась только trotux

**regist** · 27.12.2016, 18:39

- выполните такой скрипт в AVZ

Код:

begin
 ClearQuarantineEx(true); 
  QuarantineFileF('C:\Program Files\4K7Q73PLKU\', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\6KP4ZJ4LMK\', '*', true, '', 0, 0);
 QuarantineFile('C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SynRemoveUserSettings.bat', '');
 ExpRegKey('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall','HKLM_Uninstall.txt');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

HKLM_Uninstall.txt из папки с AVZ упакуйте в архив и прикрепите к своему следующему сообщению.

**Odar.sp** · 28.12.2016, 12:23

После запуска скрипта AVZ перестает отвечать, ничего не происходит

Через 5 минут отвис и выполнил скрипт, логи прилагаю

- - - - -Добавлено - - - - -

Карантин прикрепил

**regist** · 28.12.2016, 22:20

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Program Files (x86)\Prodockcbther\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Program Files\4K7Q73PLKU\', '*', true);
 DeleteFileMask('C:\Program Files\6KP4ZJ4LMK\', '*', true);
 DeleteDirectory('C:\Program Files\4K7Q73PLKU\');
 DeleteDirectory('C:\Program Files\6KP4ZJ4LMK\');
 RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{FBBB8BF8-F098-448E-9E42-CC388D20CE8A}\');
 RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Kinoroom Browser');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

**Odar.sp** · 29.12.2016, 10:08

день добрый. карантин прикрепил, скрипт выполнился. все проблемы устранены, trotux удалился, баннеры и сайты вирусные не выходят. но возникла следующая проблема: при попытке установить антивирус Nod32 уже начинается установка и ПО выдает ошибку, якобы компьютер заражен вирусом и не может установить NOD32, просит проверить внутренним антивирусом и он не находит ошибок. Потом решил скачать по вашей рекламе Avast, При попытке установить его он выдает ошибку, что не может начать установку без перезагрузки(перезагрузка соответственно не решает проблемы)

Wizzcaster и xmediaserve открываются на сайте автоматичекски [not-a-virus:AdWare.MSIL.Agent.aczh ] (заявка № 207421)

Опции темы