Файлы tmp.exe при загрузке компьютера

[Allaur]

Здравствуйте.
Ни как не могу понять кто запускает файлы tmp.exe при загрузке компьютера
Файлы находятся по адресу C:\Windows\Temp и загружают процессор
Прошу помощи.

[Info_bot]

Уважаемый(ая) Allaur, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFileF('c:\program files (x86)\firefox', '*.exe', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('C:\Program Files (x86)\Dayglad\Application\chrome_child.dll', '');
 QuarantineFile('C:\Program Files (x86)\Dayglad\Application\chrome.dll', '');
 QuarantineFile('C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe', '');
 QuarantineFile('C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe', '');
 QuarantineFile('C:\Program Files\UBar\UbarService.exe', '');
 QuarantineFile('C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe', '');
 QuarantineFile('C:\Program Files\UBar\UbarDriver.sys', '');
 QuarantineFile('C:\Users\Allaur\AppData\Local\glory\glory.dll', '');
 QuarantineFile('C:\Users\Allaur\AppData\Local\NPASRE\Snare.dll', '');
 QuarantineFile('C:\Users\Allaur\AppData\Local\VNASRE\Snare.dll', '');
 QuarantineFile('C:\Users\Allaur\AppData\Local\WANARE\Snare.dll', '');
 QuarantineFile('C:\Users\Гость.Allaur-R\AppData\Roaming\Mail.Ru\Agent\magent.exe', '');
 QuarantineFile('C:\Windows\TEMP\g5530.tmp.exe', '');
 QuarantineFile('C:\Users\Allaur\AppData\Local\Amigo\Application\amigo.exe', '');
 QuarantineFile('C:\Users\Allaur\AppData\Local\Mail.Ru\GameCenter\[email protected]', '');
 QuarantineFile('C:\Users\Allaur\AppData\Local\Mail.Ru\MailRuUpdater.exe', '');
 QuarantineFile('C:\Users\Allaur\AppData\Local\Temp\repack\run.exe', '');
 QuarantineFile('C:\Users\Allaur\AppData\Roaming\TextEditor\Daemon\TextEditor.exe', '');
 QuarantineFile('C:\Program Files (x86)\Ticno\Ticno iO\iO.exe', '');
 QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe', '');
 QuarantineFile('C:\Users\Allaur\AppData\Roaming\Update.vbs', '');
 QuarantineFileF('C:\Windows\Temp', '*.tmp.exe', false, '', 0, 0);
 DeleteFile('C:\Program Files (x86)\Dayglad\Application\chrome_child.dll', '32');
 DeleteFile('C:\Program Files (x86)\Dayglad\Application\chrome.dll', '32');
 DeleteFile('C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe', '32');
 DeleteFile('C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe', '32');
 DeleteFile('C:\Program Files\UBar\UbarService.exe', '32');
 DeleteFile('C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe', '32');
 DeleteFile('C:\Program Files\UBar\UbarDriver.sys', '32');
 DeleteFile('C:\Users\Allaur\AppData\Local\glory\glory.dll', '32');
 DeleteFile('C:\Users\Allaur\AppData\Local\NPASRE\Snare.dll', '32');
 DeleteFile('C:\Users\Allaur\AppData\Local\VNASRE\Snare.dll', '32');
 DeleteFile('C:\Users\Allaur\AppData\Local\WANARE\Snare.dll', '32');
 DeleteFile('C:\Users\Гость.Allaur-R\AppData\Roaming\Mail.Ru\Agent\magent.exe', '32');
 DeleteFile('C:\Windows\TEMP\g5530.tmp.exe', '32');
 DeleteFile('C:\Users\Allaur\AppData\Local\Amigo\Application\amigo.exe', '32');
 DeleteFile('C:\Users\Allaur\AppData\Local\Mail.Ru\GameCenter\[email protected]', '32');
 DeleteFile('C:\Users\Allaur\AppData\Local\Mail.Ru\MailRuUpdater.exe', '32');
 DeleteFile('C:\Users\Allaur\AppData\Local\Temp\repack\run.exe', '32');
 DeleteFile('C:\Users\Allaur\AppData\Roaming\TextEditor\Daemon\TextEditor.exe', '32');
 DeleteFile('C:\Program Files (x86)\Ticno\Ticno iO\iO.exe', '32');
 DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe', '32');
 DeleteFile('C:\Users\Allaur\AppData\Roaming\Update.vbs', '32');
 DeleteFile('C:\Users\Allaur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
 DeleteService('FirefoxU');
 DeleteService('mrupdsrv');
 DeleteService('UbarPolicyProvider');
 DeleteService('Updater.Mail.Ru');
 DeleteService('UbarCalloutDriver');
 DeleteFileMask('c:\program files (x86)\dayglad', '*', true);
 DeleteFileMask('c:\program files (x86)\firefox', '*', true);
 DeleteFileMask('c:\program files (x86)\mail.ru', '*', true);
 DeleteFileMask('c:\program files\ubar', '*', true);
 DeleteFileMask('c:\users\allaur\appdata\local\glory', '*', true);
 DeleteFileMask('c:\users\allaur\appdata\local\npasre', '*', true);
 DeleteFileMask('c:\users\allaur\appdata\local\vnasre', '*', true);
 DeleteFileMask('c:\users\allaur\appdata\local\wanare', '*', true);
 DeleteFileMask('c:\users\гость.allaur-r\appdata\roaming\mail.ru', '*', true);
 DeleteFileMask('c:\users\allaur\appdata\local\amigo', '*', true);
 DeleteFileMask('c:\users\allaur\appdata\local\mail.ru', '*', true);
 DeleteFileMask('c:\users\allaur\appdata\roaming\texteditor', '*', true);
 DeleteFileMask('c:\program files (x86)\ticno', '*', true);
 DeleteFileMask('c:\programdata\timetasks', '*', true);
 DeleteFileMask('C:\Windows\Temp', '*.tmp.exe', true);
 DeleteDirectory('c:\program files (x86)\dayglad');
 DeleteDirectory('c:\program files (x86)\firefox');
 DeleteDirectory('c:\program files (x86)\mail.ru');
 DeleteDirectory('c:\program files\ubar');
 DeleteDirectory('c:\users\allaur\appdata\local\glory');
 DeleteDirectory('c:\users\allaur\appdata\local\npasre');
 DeleteDirectory('c:\users\allaur\appdata\local\vnasre');
 DeleteDirectory('c:\users\allaur\appdata\local\wanare');
 DeleteDirectory('c:\users\гость.allaur-r\appdata\roaming\mail.ru');
 DeleteDirectory('c:\users\allaur\appdata\local\amigo');
 DeleteDirectory('c:\users\allaur\appdata\local\mail.ru');
 DeleteDirectory('c:\users\allaur\appdata\roaming\texteditor');
 DeleteDirectory('c:\program files (x86)\ticno');
 DeleteDirectory('c:\programdata\timetasks');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-3344424097-3041984714-2532328617-501\Software\Microsoft\Windows\CurrentVersion\Run', 'MAgent');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'ALLAUR-R');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GameCenterMailRu', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\repacks', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TextEditor', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ticno iO', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Update', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

[Allaur]

Добавлен архив с файлами после сканирования

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3344424097-3041984714-2532328617-1000\...\Policies\system: [EnableLUA] 0
HKU\S-1-5-21-3344424097-3041984714-2532328617-501\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-3344424097-3041984714-2532328617-501\...\Run: [MAgent] => C:\Users\Гость.Allaur-R\AppData\Roaming\Mail.Ru\Agent\magent.exe -CU
HKU\S-1-5-21-3344424097-3041984714-2532328617-501\...\Policies\system: [EnableLUA] 0
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
GroupPolicyScripts: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494833817&z=fc687d52a7ed042722d71b3g2z4t7z0b1c7c6bdtct&from=che0812&uid=ST3000DM001-9YN166_Z1F1802WXXXXZ1F1802W
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494833817&z=fc687d52a7ed042722d71b3g2z4t7z0b1c7c6bdtct&from=che0812&uid=ST3000DM001-9YN166_Z1F1802WXXXXZ1F1802W
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494833817&z=fc687d52a7ed042722d71b3g2z4t7z0b1c7c6bdtct&from=che0812&uid=ST3000DM001-9YN166_Z1F1802WXXXXZ1F1802W&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494833817&z=fc687d52a7ed042722d71b3g2z4t7z0b1c7c6bdtct&from=che0812&uid=ST3000DM001-9YN166_Z1F1802WXXXXZ1F1802W&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3344424097-3041984714-2532328617-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=820331
Toolbar: HKU\S-1-5-21-3344424097-3041984714-2532328617-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3344424097-3041984714-2532328617-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
Toolbar: HKU\S-1-5-21-3344424097-3041984714-2532328617-501 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3344424097-3041984714-2532328617-501 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [No File]
FF Plugin HKU\S-1-5-21-3344424097-3041984714-2532328617-1000: @mail.ru/GameCenter -> C:\Users\Allaur\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
CHR HKU\S-1-5-21-3344424097-3041984714-2532328617-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dljdacfojgikogldjffnkdcielnklkce] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
StartMenuInternet: Google Chrome.5FJTHZDFOUPYQTOYH5YCQJUNZI - C:\Users\Allaur\AppData\Local\Google\Chrome\Application\chrome.exe hxxp://www.ourluckysites.com/?type=sc&ts=1495447133&z=5736c56ec4edf72a60b7f74g9z3tew9zazcmeo1o7m&from=che0812&uid=ST3000DM001-9YN166_Z1F1802WXXXXZ1F1802W
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera x64\Opera.exe hxxp://www.ourluckysites.com/?type=sc&ts=1495447133&z=5736c56ec4edf72a60b7f74g9z3tew9zazcmeo1o7m&from=che0812&uid=ST3000DM001-9YN166_Z1F1802WXXXXZ1F1802W
S4 shaiya_server; PSM_Server\PSMServer_Agent.exe [X]
S4 shaiya_serverf; PSM_Client\PSM_Agent.exe [X]
S4 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe --s [X]
2017-09-03 12:28 - 2017-07-14 00:44 - 000000000 ____D C:\Users\Allaur\AppData\Local\Mail.Ru
2017-09-03 12:28 - 2017-07-14 00:44 - 000000000 ____D C:\Users\Allaur\AppData\Local\Mail.Ru
2017-09-03 12:28 - 2017-05-03 14:56 - 000000000 ____D C:\Program Files (x86)\Dayglad
2017-09-03 12:28 - 2017-05-02 10:58 - 000000000 ____D C:\Program Files\UBar
2017-09-03 12:28 - 2015-12-08 00:25 - 000000000 ____D C:\Users\Allaur\AppData\Roaming\TextEditor
2015-04-08 20:18 - 2015-04-08 20:18 - 000000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
C:\ProgramData\hash.dat
C:\ProgramData\storage.dat
C:\Users\Все пользователи\hash.dat
C:\Users\Все пользователи\storage.dat
2017-08-30 16:37 - 2017-08-30 16:37 - 000363208 _____ (BitRaider, LLC) C:\Users\Allaur\AppData\Local\Temp\BRSVC_26269554_hlp.exe
2017-08-30 16:38 - 2017-08-30 16:38 - 000363208 _____ (BitRaider, LLC) C:\Users\Allaur\AppData\Local\Temp\BRSVC_26308819_hlp.exe
2017-09-02 11:52 - 2017-09-02 11:52 - 020339352 _____ () C:\Users\Allaur\AppData\Local\Temp\carambis_cleaner_d09e5dbecb6f77f43f4d3b4d6daff9a955282677.exe
2017-08-03 10:26 - 2017-08-03 10:26 - 000187712 _____ () C:\Users\Allaur\AppData\Local\Temp\downloader.exe
2017-07-14 00:44 - 2017-07-14 00:57 - 000179840 _____ () C:\Users\Allaur\AppData\Local\Temp\mcse32_00.dll
2016-08-12 16:37 - 2016-08-12 16:37 - 004211112 _____ () C:\Users\Разработчик\AppData\Local\Temp\npp.6.9.2.Installer.exe
2015-08-03 02:58 - 2015-08-03 02:58 - 000118784 _____ () C:\Users\Разработчик\AppData\Local\Temp\xmlUpdater.exe
Task: {11649B58-B9BE-430B-B10B-46A032058624} - \updater -> No File <==== ATTENTION
Task: {22C84387-A9A4-429C-8972-F325298956DF} - \{83CB16B8-3B32-4E61-B2C8-4DC7697724A6} -> No File <==== ATTENTION
Task: {2DCFC665-2258-4595-AAFD-F5E864332E56} - \{248D4DC7-1D6F-4CF7-99F5-B60BB9C6890F} -> No File <==== ATTENTION
Task: {34225A0B-9D6C-4BDB-804C-2F5860A9CC98} - \{7F6F6FA1-99B3-4D36-9269-2511D1575B00} -> No File <==== ATTENTION
Task: {59B731B7-398B-4751-99AF-229B1478F685} - \Windows-PG -> No File <==== ATTENTION
Task: {DABD1505-58E3-4562-9B75-1847FDD3F82B} - \{95A913DB-2994-41D4-AB75-687C9BA5C0CA} -> No File <==== ATTENTION
Task: C:\Windows\Tasks\updater.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\Allaur\AppData\Roaming\Updater\updater_task.dll
C:\Users\Allaur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
ShortcutWithArgument: C:\Users\Allaur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Intеrnеt Ехрlоrеr.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> QzpcUHJvZ3JhbSBGaWxlcyAoeDg2KVxJbnRlcm5ldCBFeHBsb3JlclxpZXhwbG9yZS5leGU= aHR0cDovL21hY2lhbmtlbnJhcy5ydS8= <==== Cyrillic
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [282]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [138]
HKU\S-1-5-21-3344424097-3041984714-2532328617-1000\Software\Classes\exefile:  <==== ATTENTION
HKU\S-1-5-21-3344424097-3041984714-2532328617-1000\Software\Classes\.exe: exefile =>  <==== ATTENTION
HKU\S-1-5-21-3344424097-3041984714-2532328617-1000\Software\Classes\.scr:  =>  <==== ATTENTION
HKU\S-1-5-21-3344424097-3041984714-2532328617-1000\Software\Classes\.bat:  =>  <==== ATTENTION
HKU\S-1-5-21-3344424097-3041984714-2532328617-1000\Software\Classes\.com:  =>  <==== ATTENTION
HKU\S-1-5-21-3344424097-3041984714-2532328617-1000\Software\Classes\.cmd:  =>  <==== ATTENTION
HKU\S-1-5-21-3344424097-3041984714-2532328617-1000\Software\Classes\.reg:  =>  <==== ATTENTION
MSCONFIG\Services: QipGuard => 2
MSCONFIG\Services: SpyHunter 4 Service => 3
MSCONFIG\startupreg: iLivid => "C:\Users\Allaur\AppData\Local\iLivid\iLivid.exe" -autorun
MSCONFIG\startupreg: MAgent => C:\Users\Allaur\AppData\Roaming\Mail.Ru\Agent\magent.exe -CU
MSCONFIG\startupreg: MailRuUpdater => C:\Users\Allaur\AppData\Local\Mail.Ru\MailRuUpdater.exe
MSCONFIG\startupreg: systemproc => C:\Users\Allaur\AppData\Roaming\Windows\monlst.exe
MSCONFIG\startupreg: TextEditor => "C:\Users\Allaur\AppData\Roaming\TextEditor\Daemon\TextEditor.exe"
MSCONFIG\startupreg: Ticno iO => "C:\Program Files (x86)\Ticno\Ticno iO\iO.exe" /autorun
MSCONFIG\startupreg: Timestasks => "C:\ProgramData\TimeTasks\TimeTasksSetup.exe" /adv= /S
MSCONFIG\startupreg: Update => wscript.exe //B "C:\Users\Allaur\AppData\Roaming\Update.vbs"
Reg: reg delete "HKU\S-1-5-21-3344424097-3041984714-2532328617-501\Software\Microsoft\Windows\CurrentVersion\Uninstall\MRA" /f
Reg: reg delete "HKU\S-1-5-21-3344424097-3041984714-2532328617-501\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater" /f
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

[Allaur]

Добавлен файл Fixlog.txt
Проблема не решена
temp-exe.png
Я так думаю что мне будет проще систему переставить чем искать эту проблему.
Держжжжжаться нету больше силл.
Спасибо за участие.

[Vvvyg]

Не проще, да и не поможет.
Устраняйте уязвимость, которую используют в т. ч. нашумевшие шифровальщики WannaCry и Petya - MS17-010: Описание обновления безопасности для Windows SMB Server срочно устанавливайте, причём на всех компьютерах в сети, если их несколько. Иначе не избавитесь от заразы.
Потом - новые логи FRST для контроля.

[Allaur]

Хорошо, спасибо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены