Нахватался вирусов, скачав файл zip с форума [Trojan.Win64.Eroyee.afs ]

**ТехнарьДВГТУ** · 09.05.2017, 18:14

Здравствуйте, нахватался вирусов, скачав файл zip с форума "в поисковике"
установился mail, и куча всяких приложений
почистил все что смог,
но файлы создает при перезагрузке заново
помогите пожалуйста
C:\Windows\TEMP\g9CAD.tmp
C:\Windows\TEMP\g30FC.tmp
C:\Windows\TEMP\gB1BD.tmp
C:\Windows\TEMP\gC862.tmp

ЛОГ :
CollectionLog-2017.05.10-00.49.zip

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.05.2017, 18:16

Уважаемый(ая) ТехнарьДВГТУ, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 10.05.2017, 07:26

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\Олег Уваров\AppData\Local\background_fault\bf.dll', '');
 QuarantineFile('c:\programdata\bit\bit.dll', '');
 QuarantineFile('c:\users\олег уваров\appdata\roaming\winsapsvc\winsap.dll', '');
 QuarantineFile('C:\Users\Олег Уваров\AppData\Roaming\539113\812005.exe', '');
 QuarantineFile('C:\Users\Олег Уваров\AppData\Roaming\521636\751277.exe', '');
 QuarantineFile('C:\Users\Олег Уваров\AppData\Roaming\247578\538390.exe', '');
 QuarantineFile('C:\Users\Олег Уваров\AppData\Roaming\380574\472767.exe', '');
 QuarantineFile('C:\Users\Олег Уваров\AppData\Roaming\616790\150866.exe', '');
 QuarantineFile('C:\Users\Олег Уваров\AppData\Roaming\207308\59775.exe', '');
 QuarantineFile('C:\Users\Олег Уваров\AppData\Roaming\515847\363897.exe', '');
 QuarantineFile('C:\Users\Олег Уваров\AppData\Roaming\885219\363053.exe', '');
 QuarantineFile('C:\Users\Олег Уваров\AppData\Roaming\595237\92013.exe', '');
 QuarantineFile('C:\Users\Олег Уваров\AppData\Roaming\gplyra\gplyra\start.cmd', '');
 QuarantineFile('C:\WINDOWS\TEMP\gB1BD.tmp.exe', '');
 QuarantineFile('C:\Program Files (x86)\Lerfopervather Host\local64spl.dll', '');
 QuarantineFile('C:\Program Files (x86)\IObit\Driver', '');
 QuarantineFile('C:\Program Files (x86)\Jiricultclerroly\nahit.exe', '');
 QuarantineFile('C:\Windows\Manager.exe', '');
 DeleteFile('C:\Users\Олег Уваров\AppData\Local\background_fault\bf.dll', '32');
 DeleteFile('c:\programdata\bit\bit.dll', '32');
 DeleteFile('c:\users\олег уваров\appdata\roaming\winsapsvc\winsap.dll', '32');
 DeleteFile('C:\Users\Олег Уваров\AppData\Roaming\539113\812005.exe', '32');
 DeleteFile('C:\Users\Олег Уваров\AppData\Roaming\521636\751277.exe', '32');
 DeleteFile('C:\Users\Олег Уваров\AppData\Roaming\247578\538390.exe', '32');
 DeleteFile('C:\Users\Олег Уваров\AppData\Roaming\380574\472767.exe', '32');
 DeleteFile('C:\Users\Олег Уваров\AppData\Roaming\616790\150866.exe', '32');
 DeleteFile('C:\Users\Олег Уваров\AppData\Roaming\207308\59775.exe', '32');
 DeleteFile('C:\Users\Олег Уваров\AppData\Roaming\515847\363897.exe', '32');
 DeleteFile('C:\Users\Олег Уваров\AppData\Roaming\885219\363053.exe', '32');
 DeleteFile('C:\Users\Олег Уваров\AppData\Roaming\595237\92013.exe', '32');
 DeleteFile('C:\Users\Олег Уваров\AppData\Roaming\gplyra\gplyra\start.cmd', '32');
 DeleteFile('C:\WINDOWS\TEMP\gB1BD.tmp.exe', '32');
 DeleteFile('C:\Program Files (x86)\Lerfopervather Host\local64spl.dll', '32');
 DeleteFile('C:\Program Files (x86)\IObit\Driver', '32');
 DeleteFile('C:\Program Files (x86)\Jiricultclerroly\nahit.exe', '32');
 DeleteFile('C:\Windows\Manager.exe', '32');
 DeleteFileMask('c:\users\олег уваров\appdata\local\background_fault', '*', true);
 DeleteFileMask('c:\programdata\bit', '*', true);
 DeleteFileMask('c:\users\олег уваров\appdata\roaming\gplyra', '*', true);
 DeleteFileMask('c:\program files (x86)\jiricultclerroly', '*', true);
 DeleteFileMask('"c:\program files (x86)\mio', '*', true);
 DeleteDirectory('c:\users\олег уваров\appdata\local\background_fault');
 DeleteDirectory('c:\programdata\bit');
 DeleteDirectory('c:\users\олег уваров\appdata\roaming\gplyra');
 DeleteDirectory('c:\program files (x86)\jiricultclerroly');
 DeleteDirectory('"c:\program files (x86)\mio');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Ckuqdom" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (Олег Уваров)" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Lerfopervather Host" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '903954');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '884698');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '208459');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '840770');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '460199');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '672494');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '928927');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '644441');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '979520');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'background_fault');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\BIT\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gplyra');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'DESKTOP-U9AG4Q5');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**ТехнарьДВГТУ** · 10.05.2017, 11:28

Прислал

До того как вы прислали скрипт, нашел вирус в папке Program Files файл, забыл его сохранить к сожалению,
Нашел его же в планировщике заданий WINDOWS'a, который при перезагрузке восстанавливал

После удаления вирус файла и очистке его в планировщике заданий, при перезагрузке перестали создаваться файлы вируса:
C:\Windows\TEMP\g9CAD.tmp
C:\Windows\TEMP\g30FC.tmp
C:\Windows\TEMP\gB1BD.tmp
C:\Windows\TEMP\gC862.tmp

Выполнил скрипт уже после вот что получилось см вложения

Извиняюсь, не тот файл закинул в "Прислать запрошенный карантин"

Актуальный прикрепил к этому сообщению quarantine.zip

**Vvvyg** · 10.05.2017, 20:34

Карантин нельзя прикреплять к сообщению, даже если он пуст, как в этом случае.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811021
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BED856F61-57C1-4F38-9E35-ED67B5C7660A%7D&gp=820311
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Олег Уваров\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-05-09]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Олег Уваров\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-05-09]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Олег Уваров\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-05-09]
FF SearchPlugin: C:\Users\Олег Уваров\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2017-05-09]
CHR HomePage: Default -> mail.ru
CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.23
CHR DefaultSearchKeyword: Default -> inline.go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Mail.Ru) - C:\Users\Олег Уваров\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjhnafpiilpffhglajcaepjbnbjemci [2017-05-09]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Олег Уваров\AppData\Local\Google\Chrome\User Data\Default\Extensions\epgjfmblhacacphaljkdcjllkomdcjpc [2017-05-09]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Олег Уваров\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcadgijmedbfgciegjomfpjcdchlhnif [2017-05-09]
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
2017-05-09 23:27 - 2017-05-09 23:27 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\VNASRE
2017-05-09 19:34 - 2017-05-09 19:34 - 00000331 _____ C:\Users\Олег Уваров\AppData\Local\expand.ini
2017-05-09 19:33 - 2017-05-09 20:00 - 00000000 ____D C:\Users\Олег Уваров\AppData\Roaming\595237
2017-05-09 19:33 - 2017-05-09 19:59 - 00000000 ____D C:\Users\Олег Уваров\AppData\Roaming\885219
2017-05-09 19:25 - 2017-05-09 20:00 - 00000000 ____D C:\Users\Олег Уваров\AppData\Roaming\616790
2017-05-09 19:25 - 2017-05-09 20:00 - 00000000 ____D C:\Users\Олег Уваров\AppData\Roaming\515847
2017-05-09 19:25 - 2017-05-09 19:59 - 00000000 ____D C:\Users\Олег Уваров\AppData\Roaming\207308
2017-05-09 19:25 - 2017-05-09 19:48 - 00000000 ____D C:\Users\Олег Уваров\AppData\Roaming\Ckanovofesp
2017-05-09 19:25 - 2017-05-09 19:25 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Hesoghtgrebash
2017-05-09 19:22 - 2017-05-09 19:34 - 00000000 ____D C:\Users\Олег Уваров\AppData\LocalLow\Unity
2017-05-09 19:22 - 2017-05-09 19:34 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Unity
2017-05-09 19:19 - 2017-05-09 20:00 - 00000000 ____D C:\Users\Олег Уваров\AppData\Roaming\521636
2017-05-09 19:19 - 2017-05-09 19:59 - 00000000 ____D C:\Users\Олег Уваров\AppData\Roaming\539113
2017-05-09 19:19 - 2017-05-09 19:59 - 00000000 ____D C:\Users\Олег Уваров\AppData\Roaming\380574
2017-05-09 19:19 - 2017-05-09 19:59 - 00000000 ____D C:\Users\Олег Уваров\AppData\Roaming\247578
2017-05-09 19:18 - 2017-05-09 19:18 - 00140800 _____ C:\Users\Олег Уваров\AppData\Local\installer.dat
2017-05-09 19:18 - 2017-05-09 19:18 - 00011568 _____ C:\Users\Олег Уваров\AppData\Local\InstallationConfiguration.xml
2017-04-12 13:52 - 2017-04-12 13:52 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsigncf45eb99213f5331
2017-04-12 13:51 - 2017-04-12 13:51 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsignfe4f9bb66a2fd057
2017-04-12 13:45 - 2017-04-12 13:45 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign5a11ccf1bcbf7344
2017-04-12 13:45 - 2017-04-12 13:45 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign10718be7919ac4f4
2017-03-08 23:04 - 2017-03-08 23:04 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign8d47e193c7418a5a
2017-03-08 23:01 - 2017-03-08 23:01 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign49756b940512c907
2017-03-08 23:01 - 2017-03-08 23:01 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign37c9d1867a7502db
2017-02-26 14:26 - 2017-02-26 14:26 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign8a1475a3d96d52c1
2017-02-26 14:26 - 2017-02-26 14:26 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign86dc523193e369e9
2017-02-26 14:26 - 2017-02-26 14:26 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign6ffced5bab6c31a4
2017-02-20 21:57 - 2017-02-20 21:57 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsigne4efbec5214e227b
2017-02-20 21:13 - 2017-02-20 21:13 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsignc405d23777f78890
2017-02-20 21:13 - 2017-02-20 21:13 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign15e6755366c6578c
2017-02-19 01:54 - 2017-02-19 01:54 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsignd81a97950e57ec1f
2017-02-19 01:54 - 2017-02-19 01:54 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsigna2a5b952222fec4e
2017-02-19 01:54 - 2017-02-19 01:54 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign7371f6f27685d255
2017-02-19 01:53 - 2017-02-19 01:53 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign54143946005d7c45
2017-02-19 01:53 - 2017-02-19 01:53 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign528a7d395a2c1e96
2017-02-19 01:53 - 2017-02-19 01:53 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign117a75ee7fca59e8
2017-02-19 01:25 - 2017-02-19 01:25 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign7c1a939ef9836d0d
2017-02-19 01:15 - 2017-02-19 01:15 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsigneda5dd99d7ffeba9
2017-02-19 01:15 - 2017-02-19 01:15 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign6b2564d4eee74179
2017-02-19 01:15 - 2017-02-19 01:15 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign108fe0108adcb7b2
2017-02-19 00:36 - 2017-02-19 00:36 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign660c857a52a63c7e
2017-02-19 00:27 - 2017-02-19 00:27 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign6aeba43951c2e418
2017-02-19 00:27 - 2017-02-19 00:27 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign5df909f6c34df483
2017-02-19 00:27 - 2017-02-19 00:27 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign5cc38eacd7eb08bc
2017-02-19 00:22 - 2017-02-19 00:22 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign61cad6146c2760f8
2017-02-19 00:10 - 2017-02-19 00:10 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsignf536d402e0f27624
2017-02-19 00:10 - 2017-02-19 00:10 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign959f941406c30b16
2017-02-18 23:24 - 2017-02-18 23:24 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsigna3ba4e62c1cb3672
2017-02-18 23:23 - 2017-02-18 23:23 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsigna26ec54ee3fb4e4e
2017-02-18 23:23 - 2017-02-18 23:23 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign130fc8be3705073a
2017-02-17 15:09 - 2017-02-17 15:09 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign63f7f66c1f0f4b3e
2017-02-17 15:07 - 2017-02-17 15:07 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign9f00c6e09dd8cd90
2017-02-17 15:07 - 2017-02-17 15:07 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign55295e7a70518bf3
2017-02-16 14:26 - 2017-02-16 14:26 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsignd20f61ee48354299
2017-02-16 13:57 - 2017-02-16 13:57 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsignd9c6a87150d39f8a
2017-02-16 13:57 - 2017-02-16 13:57 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign2605b69cf41db60c
2017-02-16 13:57 - 2017-02-16 13:57 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign1708b2147b1e921f
2017-02-16 13:43 - 2017-02-16 13:43 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign3cfccc99eaf86753
2017-02-16 13:25 - 2017-02-16 13:25 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign14e98e07ca05a694
2017-02-16 13:25 - 2017-02-16 13:25 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsign0d4c81a03980dd8c
2017-02-16 13:24 - 2017-02-16 13:24 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsignf4bd59baee30333a
2017-02-16 13:24 - 2017-02-16 13:24 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsigne23d1e8b0df9b040
2017-02-16 13:24 - 2017-02-16 13:24 - 00000000 ____D C:\Users\Олег Уваров\AppData\Local\Tempzxpsigna68b5ca3c911c693
HKU\S-1-5-21-3874135386-3802600568-2325588118-1002\...\StartupApproved\Run: => "U55G5V0WWGV1NFN"
HKU\S-1-5-21-3874135386-3802600568-2325588118-1002\...\StartupApproved\Run: => "MOXX2JWYE5LSLZP"
HKU\S-1-5-21-3874135386-3802600568-2325588118-1002\...\StartupApproved\Run: => "4HN8GQK4N9CYP3Q"
HKU\S-1-5-21-3874135386-3802600568-2325588118-1002\...\StartupApproved\Run: => "ID7QF9CDIP1258H"
HKU\S-1-5-21-3874135386-3802600568-2325588118-1002\...\StartupApproved\Run: => "9ALRCEKWG28UC0N"
HKU\S-1-5-21-3874135386-3802600568-2325588118-1002\...\StartupApproved\Run: => "HTBBMI1N1HR2CVM"
HKU\S-1-5-21-3874135386-3802600568-2325588118-1002\...\StartupApproved\Run: => "A3JVDFM52UZGBQ1"
HKU\S-1-5-21-3874135386-3802600568-2325588118-1002\...\StartupApproved\Run: => "JO8K1TMUNLEM4GU"
HKU\S-1-5-21-3874135386-3802600568-2325588118-1002\...\StartupApproved\Run: => "ULD72OE238UH0T0"
HKU\S-1-5-21-3874135386-3802600568-2325588118-1002\...\StartupApproved\Run: => "background_fault"
FirewallRules: [{9BA30ED6-F00D-4CE1-8BB7-33A75FC3CD20}] => (Allow) C:\Program Files\UBar\ubar.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**ТехнарьДВГТУ** · 12.05.2017, 15:37

Замечаний по работе компьютера нету.
Спасибо!

**Vvvyg** · 12.05.2017, 18:52

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 12.05.2017, 19:02

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 10
В ходе лечения обнаружены вредоносные программы:
1. \gc862.tmp.exe - Trojan.Win64.Eroyee.afs

Нахватался вирусов, скачав файл zip с форума [Trojan.Win64.Eroyee.afs ] (заявка № 211836)

Опции темы