Автоматически открываются рекламные сайты в браузере [UDS:DangerousObject.Multi.Generic ]

**Askaga** · 16.04.2017, 16:57

Доброе время суток.
Столкнулась с проблемой: в браузерах Chrome и Firefox при запуске стали открываться рекламные сайты (https://start.parimatch-new.com/ru/m...=a_9254b_766c_ в Chrome и https://maac882.marvelousplay.com/?l...6f630680914510 в Firefox). Оказалось, что заражение произошло после того как мой муж пытался установить на наш ноутбук Microsoft Word из сомнительного источника. После он самостоятельно пытался очистить ноутбук от mail.ru и амиго, скачав приложение "Чистилка", в результате чего на рабочем столе образовалось несколько неудаляемых ярлыков и появилась описанная мною реклама. Я пару раз просканировала ноутбук антивирусом Panda и удалила несколько вирусов, ноутбук стал работать быстрее, но реклама продолжает вылезать. Очень прошу вас помочь мне с решением моей проблемы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.04.2017, 16:58

Уважаемый(ая) Askaga, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**lex0819** · 17.04.2017, 22:52

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл Check_Browsers_LNK.log из логов на ClearLNK как показано на рисунке

* Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.

Пофиксите в HiJackThis.
Сама программа HiJackThis находится в папке AutoLogger в подкаталоге HiJackThis.

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://2ke.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQwIu60fTZsNRHmPwM-YUFB7qYFKdUt8ipmVRpHNN1JA1gE4y3CX33XK161AOA3amDg90QvnOWeza_lNR0nH-6eKZxJFUqcMmdYUdKhuTMv-GPJXk8eUmHF-5Av0Hmys1nKPYxO1DpIa2jlOZI1xf
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQwIu60fTZsNRHmPwM-YUFB7qYFKdUt8ipmVRpHNN1JA1gE4y3CX33XK161AOA3amDg90QvnOWeza_lNR0nH-6eKZxJFUqcMmdYUdKhuTMv-GPJXk8eUmHF-5Av0Hmys1nKPYxO1DpIa2jlOZI1xf
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQwIu60fTZsNRHmPwM-YUFB7qYFKdUt8ipmVRpHNN1JA1gE4y3CX33XK161AOA3amDg90QvnOWeza_lNR0nH-6eKZxJFUqcMmdYUdKhuTMv-GPJXk8eUmHF-5Av0Hmys1nKPYxO1DpIa2jlOZI1xf
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQwIu60fTZsNRHmPwM-YUFB7qYFKdUt8ipmVRpHNN1JA1gE4y3CX33XK161AOA3amDg90QvnOWeza_lNR0nH-6eKZxJFUqcMmdYUdKhuTMv-GPJXk8eUmHF-5Av0Hmys1nKPYxO1DpIa2jlOZI1xf3SlNT_rnFbg,&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} - webalta Search - http://webalta.ru/search?q={searchTerms}&from=IE
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8F3BE5E7-2D31-4A9A-BE95-621E50AC99E0} - (no name) - (no URL)
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B2B8405D7-FC84-4440-B59D-4B09954BDD1E%7D&gp=831106
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch} - Search the web - http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQwIu60fTZsNRHmPwM-YUFB7qYFKdUt8ipmVRpHNN1JA1gE4y3CX33XK161AOA3amDg90QvnOWeza_lNR0nH-6eKZxJFUqcMmdYUdKhuTMv-GPJXk8eUmHF-5Av0Hmys1nKPYxO1DpIa2jlOZI1xf3SlNT_rnFbg,&q={searchTerms}
R4 - HKU\S-1-5-21-3489721229-2983533385-2479744623-1001\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {ielnksrch} - Search the web - http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQwIu60fTZsNRHmPwM-YUFB7qYFKdUt8ipmVRpHNN1JA1gE4y3CX33XK161AOA3amDg90QvnOWeza_lNR0nH-6eKZxJFUqcMmdYUdKhuTMv-GPJXk8eUmHF-5Av0Hmys1nKPYxO1DpIa2jlOZI1xf3SlNT_rnFbg,&q={searchTerms}
R4 - HKU\S-1-5-21-3489721229-2983533385-2479744623-1001\Software\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} - webalta Search - http://webalta.ru/search?q={searchTerms}&from=IE
R4 - HKU\S-1-5-21-3489721229-2983533385-2479744623-1001\Software\Microsoft\Internet Explorer\SearchScopes\{8F3BE5E7-2D31-4A9A-BE95-621E50AC99E0} - (no name) - (no URL)
R4 - HKU\S-1-5-21-3489721229-2983533385-2479744623-1001\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms}
R4 - HKU\S-1-5-21-3489721229-2983533385-2479744623-1001\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch} - Search the web - http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQwIu60fTZsNRHmPwM-YUFB7qYFKdUt8ipmVRpHNN1JA1gE4y3CX33XK161AOA3amDg90QvnOWeza_lNR0nH-6eKZxJFUqcMmdYUdKhuTMv-GPJXk8eUmHF-5Av0Hmys1nKPYxO1DpIa2jlOZI1xf3SlNT_rnFbg,&q={searchTerms}
O2-32 - BHO: Advanced SystemCare Surfing Protection - {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} - C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL (file missing)
O2-32 - BHO: DealPly - {EF7BD87A-8024-11E2-F316-F3E56188709B} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (file missing)
O2-32 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O3-32 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O4 - HKCU\..\Run: [Appset Update] C:\Users\user\AppData\Local\Appset\AppsetUpdater\AppSetManager.exe  /startscheduler
O22 - Task (Ready): instmn - C:\Users\user\AppData\Local\instmn\instmn.exe --kg=a7b53dd8e95d0ec6047e3b5e597507b2

Временно отключите защитное ПО.

Выполните скрипт AVZ.

Код:

begin
 TerminateProcessByName('c:\users\user\appdata\local\appset\appsetupdater\appsetmanager.exe');
 StopService('updatwupda');
 DeleteService('updatwupda');
 QuarantineFile('C:\Users\user\appdata\local\instmn\instmn.exe','');
 QuarantineFileF('C:\Users\user\AppData\Local\instmn', '*', false, '', 0, 0);
 QuarantineFile('C:\Program Files (x86)\DealPly\DealPlyIE.dll','');
 QuarantineFileF('C:\Program Files (x86)\DealPly', '*', false, '', 0, 0);
 QuarantineFile('C:\Users\user\AppData\Local\Appset\AppsetUpdater\AppSetManager.exe','');
 QuarantineFileF('c:\users\user\appdata\local\appset\appsetupdater', '*', false, '', 0, 0);
 QuarantineFile('C:\Users\user\AppData\Local\Zaamzim.exe','');
 DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}');
 DelBHO('{EF7BD87A-8024-11E2-F316-F3E56188709B}');
 DelBHO('{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 DeleteFile('C:\Users\user\AppData\Local\Appset\AppsetUpdater\AppSetManager.exe','32');
 DeleteFileMask('C:\Users\user\AppData\Local\Appset\AppsetUpdater','*',true);
 DeleteDirectory('C:\Users\user\AppData\Local\Appset\AppsetUpdater');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Appset Update');
 DeleteFile('C:\Users\user\AppData\Local\Zaamzim.exe','32');
 DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk','32');
 DeleteFile('C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll','32');
 DeleteFile('C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL','32');
 DeleteFile('C:\Program Files (x86)\DealPly\DealPlyIE.dll','32');
 DeleteFileMask('C:\Program Files (x86)\DealPly','*',true);
 DeleteDirectory('C:\Program Files (x86)\DealPly');
 ExecuteFile('schtasks.exe', '/delete /TN "instmn" /F', 0, 15000, true);
 DeleteFile('C:\Users\user\appdata\local\instmn\instmn.exe','32');
 DeleteFileMask('C:\Users\user\appdata\local\instmn','*',true);
 DeleteDirectory('C:\Users\user\appdata\local\instmn');
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните скрипт AVZ.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
end.

Пришлите архив карантина из папки AVZ.

Сделайте новые логи программой Autologger и пришлите их.

Сделайте лог утилитой AdwCleaner и пришлите его.

Обратите внимание, у вас установлено несколько антивирусов - Panda, McAfee, AVG, остановитесь на каком-то одном.

**Askaga** · 23.04.2017, 18:04

Доброе время суток и спасибо за помощь. Высылаю необходимые файлы (карантин отправила через меню "Прислать запрошенный карантин", т.к. файл слишком большой и не получается прикрепить его к сообщению).

**lex0819** · 24.04.2017, 10:02

В AdwCleaner удалите все найденное, кроме одного НУЖНОГО антивируса, которым пользуетесь.
Перезагрузите компьютер вручную.
Понаблюдайте за проблемой.

**Askaga** · 25.04.2017, 18:14

Сделала всё, как Вы сказали, к сожалению, реклама продолжает вылезать и на рабочем столе остался один неудаляемый ярлык.
На всякий случай прикрепляю отчёт AdwCleaner.

**lex0819** · 26.04.2017, 10:15

Уточните, какой именно ярлык не удалился с Рабочего стола.

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Askaga** · 04.05.2017, 16:55

С рабочего стола не удаляется ярлык "Войны престолов". Откуда он там взялся - понятия не имею, так как ни я, ни муж ничего с таким названием не устанавливали.

**lex0819** · 06.05.2017, 19:54

Уточните, DNS сами настраивали?

Код:

DNS Servers: 192.168.1.254

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3489721229-2983533385-2479744623-1002\...\Run: [AvgUpdater1214tb] => C:\ProgramData\Avg_Update_1214tb\1214tb_{95BC8412-7D6F-4146-BE88-F22F7C6D1CB1}.exe  /SETINFO /CMPID=1214tb /INFORETRY=-207
Lsa: [Notification Packages] scecli C:\Program Files\TrueKey\McAfeeTrueKeyPasswordFilter
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKU\S-1-5-21-3489721229-2983533385-2479744623-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQwIu60fTZsNRHmPwM-YUFB7qYFKdUt8ipmVRpHNN1JA1gE4y3CX33XK161AOA3amDg90QvnOWeza_lNR0nH-6eKZxJFUqcMmdYUdKhuTMv-GPJXk8eUmHF-5Av0Hmys1nKPYxO1DpIa2jlOZI1xf3SlNT_rnFbg,&q={searchTerms}
HKU\S-1-5-21-3489721229-2983533385-2479744623-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQwIu60fTZsNRHmPwM-YUFB7qYFKdUt8ipmVRpHNN1JA1gE4y3CX33XK161AOA3amDgNkBK_Wqsrf-lDHbfHk-i628OizZTNv-X5Qdi2LNQvdLXE11d0DiBrhrU2Rjlo7885Tw435EsOxJJ6kmzIPK6ffhIXouAM,
HKU\S-1-5-21-3489721229-2983533385-2479744623-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search
SearchScopes: HKU\S-1-5-21-3489721229-2983533385-2479744623-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3489721229-2983533385-2479744623-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = 
SearchScopes: HKU\S-1-5-21-3489721229-2983533385-2479744623-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO-x32: Panda Safe Web -> {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} -> C:\Program Files (x86)\pandasecuritytb\pandasecurityDx.dll => No File
Toolbar: HKLM - AVG SafeGuard toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG SafeGuard toolbar\19.4.0.518\AVG SafeGuard toolbar_toolbar.dll No File
Toolbar: HKLM - Panda Safe Web - {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} - C:\Program Files (x86)\pandasecuritytb\pandasecurityDx64.dll No File
Toolbar: HKLM-x32 - Panda Safe Web - {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} - C:\Program Files (x86)\pandasecuritytb\pandasecurityDx.dll No File
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> 
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B38F6D4F5-4EA1-4C29-8ED0-6247AFF4D2A9%7D&gp=831103
FF Extension: (Gmail™ Notifier (restartless)) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-04-14]
FF Extension: (Video Downloader Prime) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-12-31]
FF Extension: (Audio Downloader Prime) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-04-14]
FF Extension: (Disable Prefetch) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\features\{6d729dfc-e786-4188-8a8e-d64bee5a8061}\[email protected] [2017-04-14]
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\McAfee\MSK => not found
FF Plugin HKU\S-1-5-21-3489721229-2983533385-2479744623-1002: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [No File]
CHR Extension: (TSR Ad Skipper) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\fekenfibegpnbagmldepdeajhbgodbae [2016-06-11]
S2 InstallerService; no ImagePath
S3 McComponentHostService; no ImagePath
S2 TrueKey; no ImagePath
S2 TrueKeyScheduler; no ImagePath
S2 TrueKeyServiceHelper; no ImagePath
2017-04-14 21:01 - 2017-04-14 21:01 - 00000001 _RHOT C:\Users\Все пользователи\xifs
2017-04-14 21:01 - 2017-04-14 21:01 - 00000001 _RHOT C:\Users\Все пользователи\Ronzaps
2017-04-14 21:01 - 2017-04-14 21:01 - 00000001 _RHOT C:\Users\Все пользователи\Logic Handler
2017-04-14 21:01 - 2017-04-14 21:01 - 00000001 _RHOT C:\Users\Все пользователи\CloudPrinter
2017-04-14 21:01 - 2017-04-14 21:01 - 00000001 _RHOT C:\Users\user\AppData\Local\wupdate
2017-04-14 21:01 - 2017-04-14 21:01 - 00000001 _RHOT C:\ProgramData\xifs
2017-04-14 21:01 - 2017-04-14 21:01 - 00000001 _RHOT C:\ProgramData\Ronzaps
2017-04-14 21:01 - 2017-04-14 21:01 - 00000001 _RHOT C:\ProgramData\Logic Handler
2017-04-14 21:01 - 2017-04-14 21:01 - 00000001 _RHOT C:\ProgramData\CloudPrinter
2017-04-14 21:00 - 2017-04-14 21:01 - 00000001 _RHOT C:\Users\user\AppData\LocalLow\SearchGo
2017-04-14 21:00 - 2017-04-14 21:00 - 00000001 _RHOT C:\Users\user\AppData\Local\ScriptWriter
2017-04-14 21:00 - 2017-04-14 21:00 - 00000001 _RHOT C:\Program Files (x86)\sweetpacks bundle uninstaller
2017-04-14 21:00 - 2017-04-14 21:00 - 00000001 _RHOT C:\Program Files (x86)\Amazon
2017-04-14 21:00 - 2017-04-14 21:00 - 00000000 ____D C:\Users\user\Documents\Чистилка
2017-04-14 20:59 - 2017-04-14 21:01 - 00000000 ____D C:\Users\Все пользователи\Чистилка
2017-04-14 20:59 - 2017-04-14 21:01 - 00000000 ____D C:\ProgramData\Чистилка
2017-04-14 20:56 - 2017-04-14 20:56 - 01733320 _____ C:\Users\user\Downloads\chistilka-catalog.exe
2017-04-14 18:37 - 2017-04-14 18:37 - 00017560 _____ C:\Users\user\Downloads\[rutracker.org].t5096353.torrent
2017-04-14 18:31 - 2017-04-14 22:32 - 00000000 ____D C:\Users\user\AppData\Local\unityp
2017-04-14 18:27 - 2017-04-14 21:01 - 00000001 _RHOT C:\Users\user\Desktop\Войны престолов.lnk
2017-04-14 18:27 - 2017-04-14 18:27 - 00000000 ____D C:\Users\user\AppData\Local\Войны престолов
2017-04-25 10:24 - 2016-07-12 19:58 - 00000000 ____D C:\Users\Все пользователи\IObit
2017-04-25 10:24 - 2016-07-12 19:58 - 00000000 ____D C:\ProgramData\IObit
2017-04-23 17:08 - 2016-12-31 15:01 - 00000000 ____D C:\Users\user\AppData\Local\Appset
2017-04-14 21:01 - 2016-07-12 19:53 - 00000258 __RSH C:\Users\Все пользователи\ntuser.pol
2017-04-14 21:01 - 2016-07-12 19:53 - 00000258 __RSH C:\Users\user\ntuser.pol
2017-04-14 21:01 - 2016-07-12 19:53 - 00000258 __RSH C:\ProgramData\ntuser.pol
2017-04-17 11:27 - 2016-10-09 13:20 - 00000258 __RSH C:\Users\Алексей\ntuser.pol
2017-04-14 21:00 - 2017-04-14 21:00 - 0000001 _RHOT () C:\Program Files (x86)\Amazon
2017-04-14 21:00 - 2017-04-14 21:00 - 0000001 _RHOT () C:\Program Files (x86)\sweetpacks bundle uninstaller
2014-04-04 17:52 - 2014-04-04 17:52 - 0005434 _____ () C:\Program Files (x86)\Uninstp2.isu
2015-05-01 00:47 - 2017-05-02 19:27 - 0000132 _____ () C:\Users\user\AppData\Roaming\Adobe PNG Format CS6 Prefs
2016-07-12 19:56 - 2016-07-12 19:56 - 0072720 _____ () C:\Users\user\AppData\Roaming\Airtom.tst
2016-07-12 19:56 - 2016-07-12 19:56 - 0054272 _____ () C:\Users\user\AppData\Roaming\ApplicationHosting.dat
2016-07-12 19:57 - 2016-07-12 19:57 - 1879836 _____ () C:\Users\user\AppData\Roaming\Betadex.tst
2016-07-12 19:56 - 2016-07-12 19:56 - 0126464 _____ () C:\Users\user\AppData\Roaming\lobby.dat
2013-12-19 18:43 - 2016-01-23 22:39 - 0000163 _____ () C:\Users\user\AppData\Roaming\WB.CFG
2013-05-07 15:15 - 2016-10-25 13:15 - 0003584 _____ () C:\Users\user\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2017-04-14 21:00 - 2017-04-14 21:00 - 0000001 _RHOT () C:\Users\user\AppData\Local\ScriptWriter
2017-04-14 21:01 - 2017-04-14 21:01 - 0000001 _RHOT () C:\Users\user\AppData\Local\wupdate
2015-01-30 11:42 - 2015-01-30 11:42 - 0000000 _____ () C:\Users\user\AppData\Local\{22C900B1-8A46-4486-9CBD-D56AD3AF564F}
2015-01-24 16:18 - 2015-01-24 16:18 - 0000000 _____ () C:\Users\user\AppData\Local\{23D18BE7-1EBC-4E3B-8DC2-755935974963}
2015-01-22 16:17 - 2015-01-22 16:17 - 0000000 _____ () C:\Users\user\AppData\Local\{4824EBBF-C794-482A-B425-B50E2646ACEA}
2015-01-26 16:18 - 2015-01-26 16:18 - 0000000 _____ () C:\Users\user\AppData\Local\{4ED04A18-D2D3-4C87-9B24-6AD525E9CBCE}
2015-01-27 16:18 - 2015-01-27 16:18 - 0000000 _____ () C:\Users\user\AppData\Local\{5717CD4D-2000-4FEE-98EE-D622262C5882}
2015-02-01 11:42 - 2015-02-01 11:42 - 0000000 _____ () C:\Users\user\AppData\Local\{670188FD-63CB-461D-AC4D-A89734603A42}
2015-02-03 12:33 - 2015-02-03 12:33 - 0000000 _____ () C:\Users\user\AppData\Local\{776740C8-907A-478C-81DA-7798331E8836}
2015-01-28 16:18 - 2015-01-28 16:18 - 0000000 _____ () C:\Users\user\AppData\Local\{7DC8C068-6B5B-4FF2-84E7-F9C08713FCD2}
2015-02-02 11:42 - 2015-02-02 11:42 - 0000000 _____ () C:\Users\user\AppData\Local\{951CD224-DCFC-4B90-908F-28D22743C618}
2015-01-23 16:18 - 2015-01-23 16:18 - 0000000 _____ () C:\Users\user\AppData\Local\{BD8902D6-9233-4287-9735-B414494B2D97}
2015-01-25 16:18 - 2015-01-25 16:18 - 0000000 _____ () C:\Users\user\AppData\Local\{D24A8E05-8090-44A3-B4D6-48E0C5789A12}
2017-04-14 21:01 - 2017-04-14 21:01 - 0000001 _RHOT () C:\ProgramData\CloudPrinter
2012-12-15 07:44 - 2012-12-15 07:44 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2016-10-15 13:25 - 2016-10-15 13:25 - 0000258 _____ () C:\ProgramData\fontcacheev1.dat
2017-04-14 21:01 - 2017-04-14 21:01 - 0000001 _RHOT () C:\ProgramData\Logic Handler
2017-04-14 21:01 - 2017-04-14 21:01 - 0000001 _RHOT () C:\ProgramData\Ronzaps
2017-04-14 21:01 - 2017-04-14 21:01 - 0000001 _RHOT () C:\ProgramData\xifs
C:\ProgramData\fontcacheev1.dat
C:\Users\Все пользователи\fontcacheev1.dat
2017-04-14 21:01 - 2016-07-12 19:53 - 00000258 __RSH C:\Users\Все пользователи\ntuser.pol
2017-04-14 21:01 - 2016-07-12 19:53 - 00000258 __RSH C:\Users\user\ntuser.pol
2017-04-14 21:01 - 2016-07-12 19:53 - 00000258 __RSH C:\ProgramData\ntuser.pol
2017-04-14 21:00 - 2017-04-14 21:00 - 0000001 _RHOT () C:\Program Files (x86)\Amazon
2017-04-14 21:00 - 2017-04-14 21:00 - 0000001 _RHOT () C:\Program Files (x86)\sweetpacks bundle uninstaller
2014-04-04 17:52 - 2014-04-04 17:52 - 0005434 _____ () C:\Program Files (x86)\Uninstp2.isu
2015-05-01 00:47 - 2017-05-02 19:27 - 0000132 _____ () C:\Users\user\AppData\Roaming\Adobe PNG Format CS6 Prefs
2016-07-12 19:56 - 2016-07-12 19:56 - 0072720 _____ () C:\Users\user\AppData\Roaming\Airtom.tst
2016-07-12 19:56 - 2016-07-12 19:56 - 0054272 _____ () C:\Users\user\AppData\Roaming\ApplicationHosting.dat
2016-07-12 19:57 - 2016-07-12 19:57 - 1879836 _____ () C:\Users\user\AppData\Roaming\Betadex.tst
2016-07-12 19:56 - 2016-07-12 19:56 - 0126464 _____ () C:\Users\user\AppData\Roaming\lobby.dat
2013-12-19 18:43 - 2016-01-23 22:39 - 0000163 _____ () C:\Users\user\AppData\Roaming\WB.CFG
2013-05-07 15:15 - 2016-10-25 13:15 - 0003584 _____ () C:\Users\user\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2017-04-14 21:00 - 2017-04-14 21:00 - 0000001 _RHOT () C:\Users\user\AppData\Local\ScriptWriter
2017-04-14 21:01 - 2017-04-14 21:01 - 0000001 _RHOT () C:\Users\user\AppData\Local\wupdate
2015-01-30 11:42 - 2015-01-30 11:42 - 0000000 _____ () C:\Users\user\AppData\Local\{22C900B1-8A46-4486-9CBD-D56AD3AF564F}
2015-01-24 16:18 - 2015-01-24 16:18 - 0000000 _____ () C:\Users\user\AppData\Local\{23D18BE7-1EBC-4E3B-8DC2-755935974963}
2015-01-22 16:17 - 2015-01-22 16:17 - 0000000 _____ () C:\Users\user\AppData\Local\{4824EBBF-C794-482A-B425-B50E2646ACEA}
2015-01-26 16:18 - 2015-01-26 16:18 - 0000000 _____ () C:\Users\user\AppData\Local\{4ED04A18-D2D3-4C87-9B24-6AD525E9CBCE}
2015-01-27 16:18 - 2015-01-27 16:18 - 0000000 _____ () C:\Users\user\AppData\Local\{5717CD4D-2000-4FEE-98EE-D622262C5882}
2015-02-01 11:42 - 2015-02-01 11:42 - 0000000 _____ () C:\Users\user\AppData\Local\{670188FD-63CB-461D-AC4D-A89734603A42}
2015-02-03 12:33 - 2015-02-03 12:33 - 0000000 _____ () C:\Users\user\AppData\Local\{776740C8-907A-478C-81DA-7798331E8836}
2015-01-28 16:18 - 2015-01-28 16:18 - 0000000 _____ () C:\Users\user\AppData\Local\{7DC8C068-6B5B-4FF2-84E7-F9C08713FCD2}
2015-02-02 11:42 - 2015-02-02 11:42 - 0000000 _____ () C:\Users\user\AppData\Local\{951CD224-DCFC-4B90-908F-28D22743C618}
2015-01-23 16:18 - 2015-01-23 16:18 - 0000000 _____ () C:\Users\user\AppData\Local\{BD8902D6-9233-4287-9735-B414494B2D97}
2015-01-25 16:18 - 2015-01-25 16:18 - 0000000 _____ () C:\Users\user\AppData\Local\{D24A8E05-8090-44A3-B4D6-48E0C5789A12}
2017-04-14 21:01 - 2017-04-14 21:01 - 0000001 _RHOT () C:\ProgramData\CloudPrinter
2012-12-15 07:44 - 2012-12-15 07:44 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2016-10-15 13:25 - 2016-10-15 13:25 - 0000258 _____ () C:\ProgramData\fontcacheev1.dat
2017-04-14 21:01 - 2017-04-14 21:01 - 0000001 _RHOT () C:\ProgramData\Logic Handler
2017-04-14 21:01 - 2017-04-14 21:01 - 0000001 _RHOT () C:\ProgramData\Ronzaps
2017-04-14 21:01 - 2017-04-14 21:01 - 0000001 _RHOT () C:\ProgramData\xifs
2017-04-25 10:39 - 2017-04-25 10:39 - 3596824 _____ (Geek Uninstaller) C:\Users\user\AppData\Local\Temp\geek_x64.exe
2016-12-25 17:20 - 2016-12-25 17:20 - 0182568 _____ () C:\Users\Алексей\AppData\Local\Temp\mediaget-uninstaller.exe
2016-11-29 10:00 - 2016-11-29 10:00 - 0589824 _____ (__VENDOR__) C:\Users\Алексей\AppData\Local\Temp\msihelper.dll
Appset Updater 1.1.166.0 (x32 Version: 1.1.166.0 - Appset) Hidden
DealPly (HKU\S-1-5-21-3489721229-2983533385-2479744623-1001\...\DealPly) (Version:  - ) <==== ATTENTION
UmmyVideoDownloader (HKLM-x32\...\{E028DBDA-EEE7-48A0-ADF7-D250589A02C5}_is1) (Version: 1.7.2.7 - ) <==== ATTENTION
Video and Audio Plugin UBar (HKLM\...\UBar) (Version: 1.1.36.1 - UBar Plugin Soft)
Webalta Toolbar (HKU\S-1-5-21-3489721229-2983533385-2479744623-1001\...\Webalta Toolbar) (Version:  - )
CustomCLSID: HKU\S-1-5-21-3489721229-2983533385-2479744623-1002_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Common Files\Autodesk Shared\DirectConnect2015 (64-bit)\bin\Aruba\Inventor Server\Bin\TestServer.dll => No File
CustomCLSID: HKU\S-1-5-21-3489721229-2983533385-2479744623-1002_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Common Files\Autodesk Shared\DirectConnect2015 (64-bit)\bin\Aruba\Inventor Server\Bin\TestServer.dll => No File
CustomCLSID: HKU\S-1-5-21-3489721229-2983533385-2479744623-1002_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Common Files\Autodesk Shared\DirectConnect2015 (64-bit)\bin\Aruba\Inventor Server\Bin\TestServer.dll => No File
Task: {189A750B-8F9E-4A34-ACDE-87EB1FB046C2} - \0116tbUpdateInfo -> No File <==== ATTENTION
Task: {1909D932-5366-48A5-A9E2-660320E478EA} - \AdobeAAMUpdater-1.0-idea-PC-user -> No File <==== ATTENTION
Task: {245E86A5-26C9-4D29-AE24-45B82D31DA1A} - \OFFICE2010ACT -> No File <==== ATTENTION
Task: {2DFCC930-1C5D-49CD-B0F1-806F1660B0BD} - \{A544231C-951F-4FE4-BC1E-F0B9FB4DDA10} -> No File <==== ATTENTION
Task: {75BC8C4D-1DD0-410B-98FA-E5FBC3B40033} - \User_Feed_Synchronization-{F3E61404-9A81-411F-B677-F47D54E2AC1B} -> No File <==== ATTENTION
Task: {79DE0CEA-5BC4-4674-9350-945101F79920} - \{D5D7D254-1CA2-4562-869B-52E56E2816F9} -> No File <==== ATTENTION
Task: {822B7202-F983-4DD2-A5B6-71822F2ED35B} - \User_Feed_Synchronization-{5FC6E89F-33CB-42D9-80CE-1CDBB5821C9C} -> No File <==== ATTENTION
Task: {AFB2F085-CD28-4A0F-A26B-09A72BEAF7B1} - \wupdate -> No File <==== ATTENTION
Task: {D09B57B5-1C2D-46A5-B3C4-0BF39672EF8E} - \{B79451C6-9B23-4046-8C0D-E68D9E5C71E0} -> No File <==== ATTENTION
Task: {E6F0C7D0-EF18-4397-8A5C-F2387D417A84} - \MirageAgent -> No File <==== ATTENTION
Task: {F5E32739-E9BF-4337-AFDD-DB3553EEDDD6} - \{7DFADB21-C105-43A1-BD9C-E7DC0D2F6A95} -> No File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NanoServiceMain => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSUAService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NanoServiceMain => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PSUAService => ""="Service"
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**CyberHelper** · 06.05.2017, 20:04

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\users\user\appdata\local\instmn\instmn.exe - UDS:DangerousObject.Multi.Generic ( AVAST4: Win32:AdwareSig [Adw] )
2. c:\users\user\appdata\local\instmn\instmnp.exe - UDS:DangerousObject.Multi.Generic ( AVAST4: Win32:Adware-gen [Adw] )

Автоматически открываются рекламные сайты в браузере [UDS:DangerousObject.Multi.Generic ] (заявка № 211211)

Опции темы