Поймали вирус в exe файле: удалились закладки и пароли, [not-a-virus:RiskTool.Win64.BitCoinMiner.cwo, Trojan.Win32.SelfDel.fzzy ]

**Полина С.** · 05.08.2017, 19:00

Добрый вечер, уважаемые хэлперы.
Прошу о помощи.
Компьютер в общем пользовании, вчера мама решила скачать фильм, скачала файл и запустила.
Как оказалось, это был файл exe, фильм она, конечно, не получила, зато вирусов теперь полный компьютер.

Суть такова. Установились рекламные расширения в хром от мэйла и прочих, удалились все закладки и сохраненные пароли.
Реклама в браузере, все время открываются рекламные вкладки.

Буду признательна, если поможете избавиться от вирусов.

UPD: Не заметила сразу, браузер открываю, а открывается как-то отдельно, не там где закрепленная иконка на панели задач, а рядом.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 05.08.2017, 19:02

Уважаемый(ая) Полина С., спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 08.08.2017, 07:16

Деинсталлируйте программы:

lidnkghmpmbmkjalooojbaefceoolghb
YoutubeAdBlock
Video and Audio Plugin UBar
Амиго
Служба автоматического обновления программ

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\users\4880~1\appdata\roaming\setupsk\python\pythonw.exe');
 TerminateProcessByName('c:\users\Полина\appdata\local\temp\qph7tm19aka5.exe');
 TerminateProcessByName('c:\windows\microsoft\svchost.exe');
 TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe');
 TerminateProcessByName('c:\users\Полина\appdata\local\temp\t09grybxvu0o.exe');
 TerminateProcessByName('C:\Program Files\UBar\ubar.exe');
 TerminateProcessByName('C:\Program Files\UBar\UbarService.exe');
 StopService('icacl');
 StopService('SvcHost Service Host');
 StopService('UbarPolicyProvider');
 QuarantineFile('c:\users\4880~1\appdata\roaming\setupsk\python\pythonw.exe', '');
 QuarantineFile('c:\users\Полина\appdata\local\temp\qph7tm19aka5.exe', '');
 QuarantineFile('c:\windows\microsoft\svchost.exe', '');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe', '');
 QuarantineFile('c:\users\Полина\appdata\local\temp\t09grybxvu0o.exe', '');
 QuarantineFile('C:\Program Files\UBar\ubar.exe', '');
 QuarantineFile('C:\Program Files\UBar\UbarService.exe', '');
 QuarantineFile('C:\Users\4880~1\AppData\Roaming\setupsk\python\python34.dll', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\AppleVersions.dll', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\YSCrashDump.DLL', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\CoreFoundation.dll', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\ASL.dll', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\objc.dll', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libdispatch.dll', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\Foundation.dll', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libtidy.dll', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\CFNetwork.dll', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\SQLite3.dll', '');
 QuarantineFile('C:\WINDOWS\system32\icacl.exe', '');
 QuarantineFile('C:\Users\4880~1\AppData\Roaming\SETUPS~1\python\pythonw.exe', '');
 QuarantineFile('C:\Users\4880~1\AppData\Roaming\SETUPS~1\ml.py', '');
 QuarantineFile('C:\Users\4880~1\AppData\Roaming\setupsk\ml.py', '');
 QuarantineFile('C:\Users\Полина\AppData\Roaming\lidnkghmpmbmkjalooojbaefceoolghb\ml.py', '');
 QuarantineFile('C:\Users\Полина\AppData\Local\yc\Application\yc.exe', '');
 QuarantineFile('C:\Users\4880~1\AppData\Local\Temp\AST4W4~1.EXE', '');
 QuarantineFile('C:\Users\Полина\AppData\LocalLow\SearchGo\searchgo.dll', '');
 QuarantineFile('C:\Program Files (x86)\YeuAskIE\kETWl4IUB.dll', '');
 QuarantineFile('C:\Program Files (x86)\YueAckU\xsxXcpJ.dll', '');
 QuarantineFile('C:\Program Files (x86)\YtuAskU2\WGR8ZBc.dll', '');
 QuarantineFile('C:\Users\Полина\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Полина\AppData\Local\SearchGo\searchgo.exe', '');
 QuarantineFile('C:\Users\Полина\AppData\Local\svshost\svshost.exe', '');
 QuarantineFile('C:\Users\Полина\AppData\Local\wupdate\wupdate.exe', '');
 DeleteFile('C:\WINDOWS\Tasks\A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F.job', '64');
 DeleteFile('c:\users\4880~1\appdata\roaming\setupsk\python\pythonw.exe', '32');
 DeleteFile('c:\users\Полина\appdata\local\temp\qph7tm19aka5.exe', '32');
 DeleteFile('c:\windows\microsoft\svchost.exe', '32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe.exe', '32');
 DeleteFile('c:\users\Полина\appdata\local\temp\t09grybxvu0o.exe', '32');
 DeleteFile('C:\Program Files\UBar\ubar.exe', '32');
 DeleteFile('C:\Program Files\UBar\UbarService.exe', '32');
 DeleteFile('C:\Users\4880~1\AppData\Roaming\setupsk\python\python34.dll', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\AppleVersions.dll', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\YSCrashDump.DLL', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\CoreFoundation.dll', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\ASL.dll', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\objc.dll', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libdispatch.dll', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\Foundation.dll', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libtidy.dll', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\CFNetwork.dll', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\Apple\Apple Application Support\SQLite3.dll', '32');
 DeleteFile('C:\WINDOWS\system32\icacl.exe', '32');
 DeleteFile('C:\Users\Полина\Favorites\Links\Интернет.url', '32');
 DeleteFile('C:\Users\4880~1\AppData\Roaming\SETUPS~1\python\pythonw.exe', '32');
 DeleteFile('C:\Users\4880~1\AppData\Roaming\SETUPS~1\ml.py', '32');
 DeleteFile('C:\Users\4880~1\AppData\Roaming\setupsk\ml.py', '32');
 DeleteFile('C:\Users\Полина\AppData\Roaming\lidnkghmpmbmkjalooojbaefceoolghb\ml.py', '32');
 DeleteFile('C:\Users\Полина\AppData\Local\yc\Application\yc.exe', '32');
 DeleteFile('C:\Users\4880~1\AppData\Local\Temp\AST4W4~1.EXE', '32');
 DeleteFile('C:\Users\Полина\AppData\LocalLow\SearchGo\searchgo.dll', '32');
 DeleteFile('C:\Program Files (x86)\YeuAskIE\kETWl4IUB.dll', '32');
 DeleteFile('C:\Program Files (x86)\YueAckU\xsxXcpJ.dll', '32');
 DeleteFile('C:\Program Files (x86)\YtuAskU2\WGR8ZBc.dll', '32');
 DeleteFile('C:\Users\Полина\AppData\Roaming\Microsoft\msi.exe', '32');
 DeleteFile('C:\Users\Полина\Desktop\Вoйти в Интeрнет.lnk', '32
 DeleteFile('C:\Users\Полина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '32
 DeleteFile('C:\Users\Полина\AppData\Local\SearchGo\searchgo.exe', '32');
 DeleteFile('C:\Users\Полина\AppData\Local\svshost\svshost.exe', '32');
 DeleteFile('C:\Users\Полина\AppData\Local\wupdate\wupdate.exe', '32');
 DeleteService('icacl');
 DeleteService('SvcHost Service Host');
 DeleteService('UbarPolicyProvider');
 DeleteFileMask('c:\program files\ubar', '*', true);
 DeleteFileMask('c:\program files (x86)\common files\apple\apple application support', '*', true);
 DeleteFileMask('c:\users\4880~1\appdata\roaming\setups~1', '*', true);
 DeleteFileMask('c:\users\4880~1\appdata\roaming\setupsk', '*', true);
 DeleteFileMask('c:\users\полина\appdata\roaming\lidnkghmpmbmkjalooojbaefceoolghb', '*', true);
 DeleteFileMask('c:\users\полина\appdata\local\yc', '*', true);
 DeleteFileMask('c:\users\полина\appdata\locallow\searchgo', '*', true);
 DeleteFileMask('c:\program files (x86)\yeuaskie', '*', true);
 DeleteFileMask('c:\program files (x86)\yueacku', '*', true);
 DeleteFileMask('c:\program files (x86)\ytuasku2', '*', true);
 DeleteFileMask('c:\users\полина\appdata\local\searchgo', '*', true);
 DeleteFileMask('c:\users\полина\appdata\local\svshost', '*', true);
 DeleteFileMask('c:\users\полина\appdata\local\wupdate', '*', true);
 DeleteDirectory('c:\program files\ubar');
 DeleteDirectory('c:\program files (x86)\common files\apple\apple application support');
 DeleteDirectory('c:\users\4880~1\appdata\roaming\setups~1');
 DeleteDirectory('c:\users\4880~1\appdata\roaming\setupsk');
 DeleteDirectory('c:\users\полина\appdata\roaming\lidnkghmpmbmkjalooojbaefceoolghb');
 DeleteDirectory('c:\users\полина\appdata\local\yc');
 DeleteDirectory('c:\users\полина\appdata\locallow\searchgo');
 DeleteDirectory('c:\program files (x86)\yeuaskie');
 DeleteDirectory('c:\program files (x86)\yueacku');
 DeleteDirectory('c:\program files (x86)\ytuasku2');
 DeleteDirectory('c:\users\полина\appdata\local\searchgo');
 DeleteDirectory('c:\users\полина\appdata\local\svshost');
 DeleteDirectory('c:\users\полина\appdata\local\wupdate');
 DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
 DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 ExecuteFile('schtasks.exe', '/delete /TN "5A8163FE-2D41-4CE5-AD54-7FE95B266373" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "lidnkghmpmbmkjalooojbaefceoolghb" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk_upd" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'setupsk_upd');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'setupsk');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'lidnkghmpmbmkjalooojbaefceoolghb');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_36AAEDB51CF8FF82EABB76D63261D431');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'jkturddczk');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'wtksincnzl');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'xragkhuoll');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'speeddialmaker_delete_self');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=831126
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B05477FAF-CD6B-42D2-A54B-A5672BD06B92%7D&gp=831127
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B05477FAF-CD6B-42D2-A54B-A5672BD06B92%7D&gp=831127

Сделайте новый лог Autologger.

Сделайте лог Malwarebytes AdwCleaner.

**Полина С.** · 08.08.2017, 16:18

При выполнении скрипта выдает ошибку:
Ошибка скрипта: ')' expected, позиция [79:61]

- - - - -Добавлено - - - - -

Указанные программы деинсталлировала, скрипт выполнила, карантин выслала, логи прикрепляю к сообщению.

**Vvvyg** · 08.08.2017, 19:31

Пофиксите в HijackThis:

Код:

O17 - HKLM\System\CSS\Services\Tcpip\..\{43d85216-1fbd-4c84-8492-2eab11e24a08}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{43d85216-1fbd-4c84-8492-2eab11e24a08}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{43d85216-1fbd-4c84-8492-2eab11e24a08}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{43d85216-1fbd-4c84-8492-2eab11e24a08}: NameServer = 82.202.226.203
O22 - Task (Ready): MSI - C:\Users\Полина\AppData\Roaming\Microsoft\msi.exe cnt=4 fts="Desktop\below_her_mouth_2016_p_web-dlrip_epidemz_in_avi_tfile_ru_torrent___.exe" (file missing)
O22 - Task (Ready): MirageAgent - C:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe (file missing)

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами. Сразу оговорюсь, закладки и пароли это не вернёт.

**Полина С.** · 08.08.2017, 21:31

Отчет прикрепила.
Про закладки и пароли - это понятно. Я и не надеялась.

Хром по-прежнему открывается "отдельной" иконкой. Вот так: 1.jpg
Что-то типа "Пользователь 2".

В остальном вроде не вижу проблем, вкладки пока не открывал. Реклама тоже не показывается.

UPD: только что открылась рекламная вкладка снова.

**Vvvyg** · 08.08.2017, 23:13

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

**Полина С.** · 09.08.2017, 07:16

Сделано.

**Vvvyg** · 09.08.2017, 19:42

Запустите FRST/FRST64. В окне программы нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restriction - Chrome <==== ATTENTION
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\6m6e6uij.default-1409341511579 -> РџРѕРёСЃРє@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\6m6e6uij.default-1409341511579 -> РџРѕРёСЃРє@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\6m6e6uij.default-1409341511579 -> hxxp://mail.ru/cnt/10445?gp=831126
FF Keyword.URL: Mozilla\Firefox\Profiles\6m6e6uij.default-1409341511579 -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7BA6551B19-79D3-4F21-BE37-728D976EC17E%7D&gp=831127
FF HKLM-x32\...\Firefox\Extensions: [{BBDA0591-3099-440a-AA10-41764D9DB4DB}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.0.0.136\IPSFF => not found
CHR DefaultProfile: Profile 1
CHR HomePage: Profile 1 -> mail.ru
CHR DefaultSearchURL: Profile 1 -> hxxps://distrinline.com/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.37
CHR DefaultSearchKeyword: Profile 1 -> poshukach.com
CHR DefaultSuggestURL: Profile 1 -> hxxp://suggests.poshukach.com/sg_u?q={searchTerms}
CHR Extension: (Весрсия мини для сайта truetest) - C:\Users\Полина\AppData\Local\Google\Chrome\User Data\Default\Extensions\lidnkghmpmbmkjalooojbaefceoolghb [2017-08-04]
CHR Extension: (MeSafe) - C:\Users\Полина\AppData\Local\Google\Chrome\User Data\Default\Extensions\nkknfledgpmlnapbbfdahiigcanjgana [2017-08-04]
CHR Profile: C:\Users\Полина\AppData\Local\Google\Chrome\User Data\Profile 1 [2017-08-09]
CHR Profile: C:\Users\Полина\AppData\Local\Google\Chrome\User Data\System Profile [2017-08-04]
CHR HKLM\...\Chrome\Extension: [bejnhdlplbjhffionohbdnpcbobfejcc] - C:\Program Files (x86)\Norton Internet Security\Engine\20.6.0.27\Exts\Chrome.crx <not found>
CHR HKU\S-1-5-21-1759479426-1734353741-5228715-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnhdlplbjhffionohbdnpcbobfejcc] - C:\Program Files (x86)\Norton Internet Security\Engine\20.6.0.27\Exts\Chrome.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [bfdfkpmnpnokkjocgimlgmjhhokkbnoh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [damkpleomkdhknamfiiopjapahooeegi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jecppljlbjojndhjnkcmphdklpbkbahl] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (No Name) - C:\Users\Полина\AppData\Roaming\Opera Software\Opera Stable\Extensions\okffikhmikllegpnamokbacoeijooigo [2017-08-04]
2017-08-04 22:11 - 2017-08-04 22:11 - 000969024 _____ C:\WINDOWS\system32\icacl.exe
2017-07-19 19:35 - 2017-07-19 19:35 - 000000000 ____D C:\Users\Полина\AppData\Local\Tempzxpsign982a079bbdf544ea
2017-07-19 19:35 - 2017-07-19 19:35 - 000000000 ____D C:\Users\Полина\AppData\Local\Tempzxpsign7fa697b136c3d072
2017-07-19 19:35 - 2017-07-19 19:35 - 000000000 ____D C:\Users\Полина\AppData\Local\Tempzxpsign7dd1b93c3cdf6c95
2017-07-19 19:35 - 2017-07-19 19:35 - 000000000 ____D C:\Users\Полина\AppData\Local\Tempzxpsign3277da18631f8177
2017-07-18 22:13 - 2017-07-18 22:13 - 000000000 ____D C:\Users\Полина\AppData\Local\Tempzxpsigne3398e31891bbe5d
2017-07-18 22:13 - 2017-07-18 22:13 - 000000000 ____D C:\Users\Полина\AppData\Local\Tempzxpsignc6184c27ddf29c02
2017-07-18 22:13 - 2017-07-18 22:13 - 000000000 ____D C:\Users\Полина\AppData\Local\Tempzxpsign3dee22e7b4fdf373
2017-07-18 22:13 - 2017-07-18 22:13 - 000000000 ____D C:\Users\Полина\AppData\Local\Tempzxpsign3a4a581081be85b0
2017-07-18 15:31 - 2017-07-18 15:31 - 000000000 ____D C:\Users\Полина\AppData\Local\Tempzxpsigne9487fa5229bdf85
2017-07-18 15:31 - 2017-07-18 15:31 - 000000000 ____D C:\Users\Полина\AppData\Local\Tempzxpsign7d1053abe63d8222
2017-07-18 15:31 - 2017-07-18 15:31 - 000000000 ____D C:\Users\Полина\AppData\Local\Tempzxpsign5e50e3c53acce632
2017-07-18 15:31 - 2017-07-18 15:31 - 000000000 ____D C:\Users\Полина\AppData\Local\Tempzxpsign5d94545597d85de8
2017-08-08 17:51 - 2017-04-28 05:53 - 000616048 _____ (Microsoft Corporation) C:\Users\Полина\AppData\Local\Temp\kernel32.dll
Task: {84C1328F-0587-430C-87FC-6FFE6F37DCCE} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Internet Security\Engine\20.6.0.27\SymErr.exe
Task: {BEA9E7E7-47DC-4ED4-9EF3-F6056F111669} - System32\Tasks\MSI => C:\Users\Полина\AppData\Roaming\Microsoft\msi.exe
Task: {CA62DC9D-0AE5-475C-B0FF-C1C37338BC45} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Internet Security\Engine\20.6.0.27\WSCStub.exe
FirewallRules: [{BFCAC536-A051-49B8-BBAC-D001E3BA235E}] => (Allow) C:\Program Files\UBar\ubar.exe
FirewallRules: [{08069AC3-1964-493C-B94A-624EC65CD06C}] => (Allow) C:\Users\Полина\AppData\Local\yc\Application\yc.exe
Reboot:

Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Убедитесь, что текущий профиль Chrome - default и очистите куки/кэш.

**Полина С.** · 09.08.2017, 21:46

Удалила пользователя с именем "Пользователь 1", кэш и куки почистила, вкладки на месте, пароли на месте. Хром открывается нормально. Установилось расширение MeSafe. Оно не вредоносное?

Одно не могу понять, один раз было, что пыталась открыть по ссылке эту тему, а открылся левый сайт. Больше пока такого не было.

Лог прикрепила.

- - - - -Добавлено - - - - -

Хм... впервые со дня заражения компа решила зайти в VK.
Рекламные вставки вот такого плана образовались.
2.jpg

- - - - -Добавлено - - - - -

По-прежнему что-то сидит в компе. Открывая что-то по ссылкам - вместо нужной директории открывает рекламные сайты. Специально пооткрывала темы здесь на сайте, чтобы проверить. 1 из 4 примерно открывает рекламу, а не тему форума, которую я пыталась открыть.

Здесь же на сайте уже нескольо раз всплывало уведомление, что заблокировано всплывающее окно...

**Vvvyg** · 10.08.2017, 06:58

Принцип простой: если Вы сами не устанавливали расширение - удаляйте его, и MeSafe и прочие. Если не поможет - отключите все расширения в Chrome, если пропадёт реклама - подключайте по одному, проверяйте эффект. Расширения часто подменяют, какое именно - понять можно только перебором.
Сообщите результат.

**Полина С.** · 10.08.2017, 16:13

Удалила расширение MeSafe, реклама не пропала потом отключила все расширения реклама ушла, ссылки открываются корректно. Перебирала очередно. Реклама стабильно появляется при включении расширения Google Презентации 6.9
Я так понимаю, можно его удалять?

Остались расширения: Google Таблицы 1.1, Google Документы офлайн 1.4, Google Документы 0.9
Рекламу ни одно не провоцирует, однако, при в ходе во флеш-игру нажала "разрешить включить флеш", выпало уведомление, что плагин заблокирован, игра запустилась, т.е. флеш включился. Не знаю, насколько эо нормально, раньше вроде не было такого, но не вспомню точно.

В остальном вроде все стабильно и проблема исчерпана.

**Vvvyg** · 10.08.2017, 19:41

Удалите все расширения, если они Вам не нужны, те, что показывают рекламу - в первую очередь.

Запустите AdwCleaner и нажмите Файл (File) -> Удалить (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 10.08.2017, 19:51

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 23
В ходе лечения обнаружены вредоносные программы:
1. c:\users\полина\appdata\local\svshost\svshost.exe - HEUR:Trojan.Win32.Generic
2. c:\users\полина\appdata\roaming\microsoft\msi.exe - Trojan-Dropper.Win32.Agent.bjtbgp
3. c:\windows\microsoft\svchost.exe - Trojan.Win32.SelfDel.fzzy
4. c:\windows\microsoft\svchost.exe.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.cwo

Поймали вирус в exe файле: удалились закладки и пароли, [not-a-virus:RiskTool.Win64.BitCoinMiner.cwo, Trojan.Win32.SelfDel.fzzy ] (заявка № 214401)

Опции темы