win32/adware.ELEX.ER [Trojan.Win64.WinSnare.a ]

**semenchuk85** · 15.03.2017, 20:23

НОД ругается а удалить не может.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 15.03.2017, 20:25

Уважаемый(ая) semenchuk85, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 16.03.2017, 22:16

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Roaming\WinSnare\WinSnare.dll','');
 DeleteFile('C:\Users\User\AppData\Roaming\WinSnare\WinSnare.dll','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Buvsycakeent','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Milimili','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

**semenchuk85** · 16.03.2017, 23:11

НОВЫЕ логи Autologger после скрипта.

**semenchuk85** · 18.03.2017, 12:03

И на этом всё? Проблема осталась.

**Vvvyg** · 19.03.2017, 10:59

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>> [HTTP] "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk"       -> ["C:\Program Files\Internet Explorer\iexplore.exe"  =>> hxxp://vvv.startpageing123.com/?type=sc&ts=1489183278&z=493f95b4776ada17a4522dcgezab4t2gabecdofmbb&from=che0812&uid=SPCCXSolidXStateXDisk_FED10755109901848331]
>>>  "C:\Users\Public\Desktop\Google Chrome.lnk"   -> ["C:\Program Files (x86)\Cansuck\Application\chrome.exe"]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Orbitron Screen Saver.lnk"        -> ["C:\Windows\System32\Orbitron.scr"]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WXtoImg\Manual.lnk"        -> ["C:\Program Files (x86)\WXtoImg\wxgui.pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Утилиты\MultiBoot USB.lnk"      -> ["C:\Program Files\MultiBoot USB\Menu.exe"]
>>>  "C:\Users\Public\Desktop\MultiBoot USB.lnk"   -> ["C:\Program Files\MultiBoot USB\Menu.exe"]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Диспетчер HD.lnk"          -> ["C:\Program Files\Realtek\Audio\HDA\SET44DA.tmp"]
>>>  "C:\Users\User\Favorites\Links\Интернет.url"  ->                 hxxp://2inf.net/?utm_source=favorites

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите в HijackThis (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.startpageing123.com/?type=hp&ts=1489183278&z=493f95b4776ada17a4522dcgezab4t2gabecdofmbb&from=che0812&uid=SPCCXSolidXStateXDisk_FED10755109901848331
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startpageing123.com/search/?type=ds&ts=1489183278&z=493f95b4776ada17a4522dcgezab4t2gabecdofmbb&from=che0812&uid=SPCCXSolidXStateXDisk_FED10755109901848331&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpageing123.com/?type=hp&ts=1489183278&z=493f95b4776ada17a4522dcgezab4t2gabecdofmbb&from=che0812&uid=SPCCXSolidXStateXDisk_FED10755109901848331
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startpageing123.com/search/?type=ds&ts=1489183278&z=493f95b4776ada17a4522dcgezab4t2gabecdofmbb&from=che0812&uid=SPCCXSolidXStateXDisk_FED10755109901848331&q={searchTerms}
O22 - Task (Ready): Buvsycakeent - C:\WINDOWS\system32\msiexec.exe /i HtTp://d2buh1bf1g584w.cloudfront.net/msi/rel.php?u=SPCCXSolidXStateXDisk_FED10755109901848331&v=2017310 /q
O22 - Task (Ready): Milimili - C:\Program Files (x86)\MIO\MIO.exe -bindurl http://api.suibianmaimaicom.com/spccxsolidxstatexdisk_fed10755109901848331.dat cmd=
O22 - Task (Ready): Traffic Exchange - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian.exe 1 11 (file missing)
O22 - Task (Ready): Traffic Exchange Guard - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian.exe 1 12 (file missing)
O22 - Task (Ready): Traffic Exchange Guardian - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian.exe 1 13 (file missing)
O22 - Task (Ready): Traffic Exchange Updater - C:\Program Files (x86)\Microleaves\Traffic Exchange\Traffic Exchange Updater.exe /silentall -nofreqcheck
O22 - Task (Ready): Traffic Exchange v2 - 1 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 36 (file missing)
O22 - Task (Ready): Traffic Exchange v2 - 2 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 37 (file missing)
O22 - Task (Ready): Traffic Exchange v2 - 3 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 38 (file missing)

Сделайте лог Malwarebytes AdwCleaner.

**semenchuk85** · 19.03.2017, 12:38

Вот лог утилиты ClearLNK.

Скрытый текст

ClearLNK by Alex Dragokas ver. 2.9.0.11

OS: x64 Windows 10 Pro, 10.0.14393, Service Pack: 0
Time: 19.03.2017 - 12:22
Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)
Elevated: Yes
User: User (group: Administrator)

_____________________________ Начало отчёта ____________________________
.
[ OK ] 1 "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk" -> [ "C:\Program Files\Internet Explorer\iexplore.exe" ] (Метод RN-S) (ОК)
.
[DEL ] 2 "C:\Users\Public\Desktop\Google Chrome.lnk" (цель не восстановлена)
[DEL ] 3 "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Orbitron Screen Saver.lnk" (цель не восстановлена)
[DEL ] 4 "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WXtoImg\Manual.lnk" (цель не восстановлена)
[DEL ] 7 "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Диспетчер HD.lnk" (цель не восстановлена)
[DEL ] 8 "C:\Users\User\Favorites\Links\Интернет.url"
.
[WARN] 5 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Утилиты\MultiBoot USB.lnk" -> [ "C:\Program Files (x86)\MultiBoot USB\Menu.exe" ] (уже вылечен)
[WARN] 6 "C:\Users\Public\Desktop\MultiBoot USB.lnk" -> [ "C:\Program Files (x86)\MultiBoot USB\Menu.exe" ] (уже вылечен)
.
______________________________ Статистика ______________________________
Лечение запущено: 1 раз за сегодня.

Всего обработано: 8

Исправлено: 1
Удалено: 5
Предупреждений: 2
____________________________ Конец отчёта ______________________________CRC32: B3C9FB11

Скрыть

HijackThis пофиксил.

**semenchuk85** · 19.03.2017, 12:46

Вот лог ClearLNK

Скрытый текст

ClearLNK by Alex Dragokas ver. 2.9.0.11

OS: x64 Windows 10 Pro, 10.0.14393, Service Pack: 0
Time: 19.03.2017 - 12:22
Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)
Elevated: Yes
User: User (group: Administrator)

_____________________________ Начало отчёта ____________________________
.
[ OK ] 1 "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk" -> [ "C:\Program Files\Internet Explorer\iexplore.exe" ] (Метод RN-S) (ОК)
.
[DEL ] 2 "C:\Users\Public\Desktop\Google Chrome.lnk" (цель не восстановлена)
[DEL ] 3 "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Orbitron Screen Saver.lnk" (цель не восстановлена)
[DEL ] 4 "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WXtoImg\Manual.lnk" (цель не восстановлена)
[DEL ] 7 "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Диспетчер HD.lnk" (цель не восстановлена)
[DEL ] 8 "C:\Users\User\Favorites\Links\Интернет.url"
.
[WARN] 5 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Утилиты\MultiBoot USB.lnk" -> [ "C:\Program Files (x86)\MultiBoot USB\Menu.exe" ] (уже вылечен)
[WARN] 6 "C:\Users\Public\Desktop\MultiBoot USB.lnk" -> [ "C:\Program Files (x86)\MultiBoot USB\Menu.exe" ] (уже вылечен)
.
______________________________ Статистика ______________________________
Лечение запущено: 1 раз за сегодня.

Всего обработано: 8

Исправлено: 1
Удалено: 5
Предупреждений: 2
____________________________ Конец отчёта ______________________________CRC32: B3C9FB11

Скрыть

Вот лог Malwarebytes AdwCleaner

Скрытый текст

# AdwCleaner v6.044 - Отчёт создан 19/03/2017 в 12:41:07
# Обновлено 28/02/2017 by Malwarebytes
# База данных : 2017-03-18.1 [Сервер]
# Операционная система : Windows 10 Pro (X64)
# Имя пользователя : User - HMS
# Запущено из : C:\Users\User\Desktop\000\avz4\adwcleaner_6.044.exe
# Режим: Сканирование
# Помощь : https://www.malwarebytes.com/support

***** [ Службы ] *****

Найдена служба: WinSAPSvc
Найдена служба: WinSnare
Найдена служба: Apps_Cfg

***** [ Папки ] *****

Найдена папка: C:\Users\User\AppData\Roaming\Elex-tech
Найдена папка: C:\Users\User\AppData\Roaming\WinSAPSvc
Найдена папка: C:\Users\User\AppData\Roaming\Microleaves
Найдена папка: C:\Users\User\AppData\Roaming\aMule
Найдена папка: C:\Users\User\AppData\Roaming\WinSnare
Найдена папка: C:\Users\User\AppData\Roaming\Kyubey
Найдена папка: C:\ProgramData\Microleaves
Найдена папка: C:\ProgramData\Application Data\Microleaves
Найдена папка: C:\Program Files (x86)\Microleaves
Найдена папка: C:\WINDOWS\SysWOW64\config\systemprofile\AppData\Roaming\Tencent
Найдена папка: C:\Program Files (x86)\Firefox
Найдена папка: C:\Users\User\AppData\Roaming\WinSnare
Найдена папка: C:\Users\User\AppData\Roaming\Firefox
Найдена папка: C:\Users\User\AppData\Local\Firefox

***** [ Файлы ] *****

Найден файл: C:\Users\User\Favorites\Mail.Ru.url
Найден файл: C:\Users\User\Favorites\Mail.Ru Агент - используй для общения!.url
Найден файл: C:\WINDOWS\SysNative\log\iSafeKrnlCall.log
Найден файл: C:\WINDOWS\SysNative\drivers\iSafeKrnlBoot.sys
Найден файл: C:\Users\Public\Documents\temp.dat
Найден файл: C:\Users\Public\Documents\report.dat
Найден файл: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\y41jjmmr.default\extensions\[email protected]
Найден файл: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\y41jjmmr.default\extensions\[email protected]
Найден файл: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\y41jjmmr.default\searchplugins\startpageing123.xml

***** [ DLL ] *****

Вредоносных DLL не найдено.

***** [ WMI ] *****

Не найдено вирусных ключей.

***** [ Ярлыки ] *****

Не найдено заражённых ярлыков.

***** [ Запланированные задания ] *****

Не найдено вирусных заданий.

***** [ Реестр ] *****

Найден ключ: HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\WinSnare
Найден ключ: [x64] HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\WinSnare
Найден ключ: HKU\S-1-5-21-1054780527-3342669197-3579495938-1000\Software\deskapp
Найден ключ: HKCU\Software\deskapp
Найден ключ: HKLM\SOFTWARE\Elex-tech
Найден ключ: HKLM\SOFTWARE\ScreenShot
Найден ключ: HKLM\SOFTWARE\amule-custom
Найден ключ: HKLM\SOFTWARE\Microleaves
Найден ключ: HKLM\SOFTWARE\startpageing123Software
Найден ключ: HKLM\SOFTWARE\msServer
Найден ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafe
Найден ключ: [x64] HKCU\Software\deskapp
Найден ключ: [x64] HKLM\SOFTWARE\Microleaves
Найден ключ: [x64] HKLM\SOFTWARE\InterSect Alliance
Найден ключ: HKU\S-1-5-21-1054780527-3342669197-3579495938-1000\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Найден ключ: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Найдено значение: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes [DefaultScope] -
Найден ключ: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Найден ключ: [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Найдено значение: [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes [DefaultScope] -
Найден параметр: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost [WinSAPSvc]
Найден ключ: HKCU\SOFTWARE\Classes\ChromeHTML
Найден ключ: HKCU\SOFTWARE\Clients\StartMenuInternet\ChromeHTML

***** [ Веб браузеры ] *****

Найдена настройка Firefox: [C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\y41jjmmr.default\prefs.js] - "[email protected]" - "{"toURL":"hxxp://www.yandex.ru/?clid=1923017","
Найдена настройка Firefox: [C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\y41jjmmr.default\prefs.js] - "browser.startup.homepage" - "hxxp://www.luckysearch123.com?type=hp&ts=1489404350&from=5fdc0308&uid=spccxsolidxstat
Найдена настройка Firefox: [C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\y41jjmmr.default\prefs.js] - "browser.newtab.url" - "hxxp://www.luckysearch123.com?type=hp&ts=1489404350&from=5fdc0308&uid=spccxsolidxstatexdisk
Найдена настройка Firefox: [C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\y41jjmmr.default\user.js] - "browser.newtab.url" - "hxxp://www.luckysearch123.com?type=hp&ts=1489404350&from=5fdc0308&uid=spccxsolidxstatexdisk_
Найдена настройка Firefox: [C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\y41jjmmr.default\user.js] - "browser.startup.homepage" - "hxxp://www.luckysearch123.com?type=hp&ts=1489404350&from=5fdc0308&uid=spccxsolidxstate
В браузерах на основе Chromium вредоносных элементов не найдено.

*************************

C:\AdwCleaner\AdwCleaner[S0].txt - [6244 Байт] - [19/03/2017 12:41:07]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [6320 Байт] ##########

Скрыть

**Vvvyg** · 19.03.2017, 15:12

Логи здесь принято прикреплять к теме.

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Сообщите, что с проблемой.

**semenchuk85** · 19.03.2017, 15:47

Не поверите, но сейчас не вижу кнопку прикрепления файла поэтому выкладываю так. Хотя в 1 и 4 посте прикрепил.

Скрытый текст

# AdwCleaner v6.044 - Отчёт создан 19/03/2017 в 15:38:28
# Обновлено 28/02/2017 by Malwarebytes
# База данных : 2017-03-18.1 [Локально]
# Операционная система : Windows 10 Pro (X64)
# Имя пользователя : User - HMS
# Запущено из : C:\Users\User\Desktop\000\avz4\adwcleaner_6.044.exe
# Режим: Очистка
# Помощь : https://www.malwarebytes.com/support

***** [ Службы ] *****

***** [ Папки ] *****

[-] Папка удалена: C:\Users\User\AppData\Local\Firefox

***** [ Файлы ] *****

[-] Файл удалён: C:\Users\User\Favorites\Mail.Ru.url
[-] Файл удалён: C:\Users\User\Favorites\Mail.Ru Агент - используй для общения!.url
[-] Файл удалён: C:\WINDOWS\SysNative\log\iSafeKrnlCall.log
[-] Файл удалён: C:\WINDOWS\SysNative\drivers\iSafeKrnlBoot.sys
[-] Файл удалён: C:\Users\Public\Documents\temp.dat
[-] Файл удалён: C:\Users\Public\Documents\report.dat
[-] Файл удалён: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\y41jjmmr.default\extensions\[email protected]
[-] Файл удалён: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\y41jjmmr.default\extensions\[email protected]
[-] Файл удалён: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\y41jjmmr.default\searchplugins\startpageing123.xml

***** [ DLL ] *****

***** [ WMI ] *****

***** [ Ярлыки ] *****

***** [ Запланированные задания ] *****

***** [ Реестр ] *****

[-] Ключ удалён: HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\WinSnare
[#] Ключ удалён при перезагрузке: [x64] HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\WinSnare
[-] Ключ удалён: HKU\S-1-5-21-1054780527-3342669197-3579495938-1000\Software\deskapp
[#] Ключ удалён при перезагрузке: HKCU\Software\deskapp
[-] Ключ удалён: HKLM\SOFTWARE\Elex-tech
[-] Ключ удалён: HKLM\SOFTWARE\ScreenShot
[-] Ключ удалён: HKLM\SOFTWARE\amule-custom
[-] Ключ удалён: HKLM\SOFTWARE\Microleaves
[-] Ключ удалён: HKLM\SOFTWARE\startpageing123Software
[-] Ключ удалён: HKLM\SOFTWARE\msServer
[-] Ключ удалён: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafe
[#] Ключ удалён при перезагрузке: [x64] HKCU\Software\deskapp
[-] Ключ удалён: [x64] HKLM\SOFTWARE\Microleaves
[-] Ключ удалён: [x64] HKLM\SOFTWARE\InterSect Alliance
[-] Ключ удалён: HKU\S-1-5-21-1054780527-3342669197-3579495938-1000\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
[#] Ключ удалён при перезагрузке: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
[-] Ключ удалён: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
[-] Значение восстановлено: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes [DefaultScope] {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[#] Ключ удалён при перезагрузке: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
[-] Ключ удалён: [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
[-] Значение восстановлено: [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes [DefaultScope] {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[-] Параметр удалён: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost [WinSAPSvc]
[-] Ключ удалён: HKCU\SOFTWARE\Classes\ChromeHTML
[-] Ключ удалён: HKCU\SOFTWARE\Clients\StartMenuInternet\ChromeHTML

***** [ Браузеры ] *****

[-] Настройки Firefox очищены: "[email protected]" - "{"toURL":"hxxp://www.yandex.ru/?clid=1923017","fromURL":"hxxp://www.startpageing123.com/?type=hp&ts=1489183278&z=493f95b4776ada17a4522dcgezab4t2gabecdofmbb&from=che0812&uid=SPCCXSolidXStateXDisk_FED10755109901848331"}"
[-] Настройки Firefox очищены: "browser.startup.homepage" - "hxxp://www.luckysearch123.com?type=hp&ts=1489404350&from=5fdc0308&uid=spccxsolidxstatexdisk_fed10755109901848331&z=1d3d7763d313b8d3fd8b139gczeb7tez1e2z7c2wfg"
[-] Настройки Firefox очищены: "browser.newtab.url" - "hxxp://www.luckysearch123.com?type=hp&ts=1489404350&from=5fdc0308&uid=spccxsolidxstatexdisk_fed10755109901848331&z=1d3d7763d313b8d3fd8b139gczeb7tez1e2z7c2wfg"
[-] Настройки Firefox очищены: "browser.newtab.url" - "hxxp://www.luckysearch123.com?type=hp&ts=1489404350&from=5fdc0308&uid=spccxsolidxstatexdisk_fed10755109901848331&z=1d3d7763d313b8d3fd8b139gczeb7tez1e2z7c2wfg"
[-] Настройки Firefox очищены: "browser.startup.homepage" - "hxxp://www.luckysearch123.com?type=hp&ts=1489404350&from=5fdc0308&uid=spccxsolidxstatexdisk_fed10755109901848331&z=1d3d7763d313b8d3fd8b139gczeb7tez1e2z7c2wfg"

*************************

:: Ключи "Tracing" удалены
:: Настройки Winsock очищены

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [5470 Байт] - [19/03/2017 15:38:28]
C:\AdwCleaner\AdwCleaner[S0].txt - [6430 Байт] - [19/03/2017 12:41:07]
C:\AdwCleaner\AdwCleaner[S1].txt - [6510 Байт] - [19/03/2017 15:21:01]
C:\AdwCleaner\AdwCleaner[S2].txt - [6507 Байт] - [19/03/2017 15:22:21]
C:\AdwCleaner\AdwCleaner[S3].txt - [5725 Байт] - [19/03/2017 15:31:13]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [5850 Байт] ##########

Скрыть

по поводу проблемы, первые пару минут после перезагрузки, пока пишу это сообщение, то тихо. Думаю будет нормально. Если, что то буду писать. Спасибо за помощь.

**Vvvyg** · 19.03.2017, 18:08

А кнопку "Расширенный режим" видите?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**semenchuk85** · 19.03.2017, 23:39

Вот отчет.

**Vvvyg** · 20.03.2017, 06:54

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CMD: powershell -command enable-computerrestore -drive \"C:\\\"
CreateRestorePoint:
HKU\S-1-5-18\...\Run: [] => [X]
Edge HomeButtonPage: HKU\S-1-5-21-1054780527-3342669197-3579495938-1000 -> hxxp://www.startpageing123.com/?type=hp&ts=1489183278&z=493f95b4776ada17a4522dcgezab4t2gabecdofmbb&from=che0812&uid=SPCCXSolidXStateXDisk_FED10755109901848331
FF user.js: detected! => C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\y41jjmmr.default\user.js [2017-03-19]
FF Extension: (No Name) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\y41jjmmr.default\extensions\[email protected] [not found]
2017-03-11 01:00 - 2017-03-11 01:00 - 00000000 ____D C:\Program Files (x86)\MIO
2017-02-24 00:30 - 2016-01-26 14:03 - 0021952 _____ (Autodesk, Inc.) C:\Users\User\AppData\Local\Temp\AcDeltree.exe
2017-03-15 14:23 - 2017-03-15 14:23 - 115199616 _____ (ESET) C:\Users\User\AppData\Local\Temp\EsetInstaller.exe
2017-02-21 18:56 - 2017-02-21 18:56 - 57565176 _____ (YANDEX LLC) C:\Users\User\AppData\Local\Temp\Setup-yabrowser.exe
2017-03-16 22:58 - 2017-01-27 18:56 - 0064367 _____ () C:\Users\User\AppData\Local\Temp\Uninstall.exe
2017-02-17 09:22 - 2017-02-03 19:21 - 0501032 _____ (Yandex LLC) C:\Users\User\AppData\Local\Temp\yupdate-exec-yabrowser.exe
AlternateDataStreams: C:\ProgramData\TEMP:40C12C39 [130]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [152]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144]
FirewallRules: [{F8E18D0E-CEEF-492D-B72C-422DC1AE0651}] => (Allow) C:\Program Files (x86)\MIO\loader\spccxsolidxstatexdisk_fed10755109901848331.dat
FirewallRules: [{61932FE8-DE60-4F8A-971D-A2A8A2481685}] => (Allow) C:\Program Files (x86)\MIO\loader\spccxsolidxstatexdisk_fed10755109901848331.dat
FirewallRules: [TCP Query User{35B980F6-C74A-4310-99FE-5E8DA950DD18}C:\program files (x86)\amulell\amule.exe] => (Allow) C:\program files (x86)\amulell\amule.exe
FirewallRules: [UDP Query User{C5E01F21-EE14-4881-ABE6-F167C50E6F32}C:\program files (x86)\amulell\amule.exe] => (Allow) C:\program files (x86)\amulell\amule.exe
FirewallRules: [{5CC5FB41-599C-44DD-8B28-102E1D8DEAA4}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**CyberHelper** · 20.03.2017, 07:04

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\users\user\appdata\roaming\winsnare\winsnare.dl l - Trojan.Win64.WinSnare.a

win32/adware.ELEX.ER [Trojan.Win64.WinSnare.a ] (заявка № 210269)

Опции темы