Появилась реклама в тех местах где её не было [Trojan-Downloader.MSIL.Agent.ipt, Trojan.Win32.Loskad.bso ]

**Anton Korol** · 03.06.2017, 16:36

При запуске компьютера сразу открывается браузер с стартовой страницой peretel. На многих сайтах стала появляться реклама. Пробовал всё удалить через AdwCleaner, не помогло, но удалил он много всего, однако реклама осталось. Жду вашей помощи

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.06.2017, 16:37

Уважаемый(ая) Anton Korol, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 03.06.2017, 18:24

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Администратор\appdata\roaming\identities\appservices.exe', '');
 QuarantineFile('C:\Users\Администратор\appdata\roaming\identities\smfilter.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 DeleteFile('C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\msi.exe', '32');
 DeleteFile('C:\Users\Администратор\appdata\roaming\identities\appservices.exe', '32');
 DeleteFile('C:\Users\Администратор\appdata\roaming\identities\smfilter.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'kuyylwrsrw');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Код:

Orbitum [20140307]-->"C:\Users\Администратор\AppData\Local\Orbitum\Application\43.0.2357.135\Installer\setup.exe" --uninstall

Сами ставили? Используете? Это нежелательное ПО, лучше его деинсталировать.

Код:

Спутник@Mail.Ru [2013/12/28 13:46:40]-->C:\Program Files\Mail.Ru\Sputnik\mailrusputnik.exe uninstall

Советую деинсталировать

Код:

Unity Web Player [2016/08/15 14:11:48]-->C:\Users\Администратор\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
Спутник@Mail.Ru [2013/12/28 13:46:40]-->C:\Program Files\Mail.Ru\Sputnik\mailrusputnik.exe uninstall

Если сами не ставили, то тоже.

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

Код:

C:\Users\Администратор\Favorites\Links\Интернет.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 от Michael Channel\Counter-Strike 1.6 от Michael Channel.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 53302-jundo-enb-series-v01-for-weak-pc .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 893-police-and-paramedic-conversion-mod-20 .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 56601-ghetto-skin-pack .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 25717-first-person-mod-v2 .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FS\SA-MP Client.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\www.GameModding.net\GTA San Andreas(9)\Uninstall 142813-nazad-v-buduschee-gtasa.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 19488-plavanie-s-novoy-animaciey (null).lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 56766-honda-s2000 Previon.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 8326-sistema-ukrytiy-covers-system-v1 .lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unity\MonoDevelop.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 6053-iv-high-quality-lights-mod-v22 .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 42822-enbseries-by-avatar-40-final-for-the-weak-pc .lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\www.GameModding.net\GTA San Andreas(9)\Uninstall 195963-oruzheynyy-pak-polnaya-sborka-gtasa.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 51195-bmw-m5-e39 Oceanic.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 51610-track-for-off-road-40 .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 31103-mfgtavh-v20f .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 13260-camera-hack-29 (null).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android Handset USB Driver\Android Handset USB Driver Uninstall .lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Construct 2.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 50675-the-revival-of-all-police-stations .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 10321-sa-streammemfix-22 .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Counter-Strike Source v34 No Steam\Counter-Strike Source v34 No Steam.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\(RtC) Wolfenstein - Coop\Деинсталлировать (RtC) Wolfenstein Coop.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 5497-novye-skiny-the-rifa-gang .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 55761-soldiers-of-the-russian-army-in-the-warrior-outfit army-id287.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 54452-the-marine-corps-of-the-armed-forces .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 15673-new-weapons-pack .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 4061-zanovo-projti-lyubuyu-missiyu .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 3599-portal-gun .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 26570-ozhivlenie-derevni-el-kebrados-v10 .lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Infinite Crisis\16AE1D1E2F06\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Infinite Crisis\16AE1D1E2F06\InfiniteCrisis.lnk
C:\Users\Администратор\AppData\Local\Microsoft\Windows\GameExplorer\{72CC6DD7-D01D-4C49-BDE7-57511E02ABEC}\PlayTasks\0\Играть.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Проблемы в игре.lnk
C:\Users\Администратор\AppData\Local\Microsoft\Windows\GameExplorer\{2E03876A-DC0F-4819-BB7C-4EA6D0B738C6}\PlayTasks\0\Играть.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Subway Surfers 1.0\Cat-A-Cat GAMES.lnk
D:\Games\Subway Surfers\d.url
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Subway Surfers 1.0\Subway Surfers.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Subway Surfers 1.0\Uninstall.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 53432-csgo-weapon-pack-asiimov .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FS\GTA FreeRunning Story.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 34443-ferrari-599xx-2012 Cheetah.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 10266-cleo (null).lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 10269-two-scripts-dlya-vc (null).lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 24888-enbseries-by-ford-ltd-lx (null).lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 19388-new-reality-gameplay (null).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\WinSight32.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Datapump.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Database Desktop.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\Microsoft Programmer's Guide to Windows 95.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\Microsoft Windows Developers Guide.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\Windows SDK and OLE Knowledge Base.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\MAPI Programmer's Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\MIDL Programmer's Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\ISAPI Programmer's Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\Multimedia API Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\Microsoft Multimedia Programmer's Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\Microsoft Tools Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\OLE Programmer's Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\OpenGL Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\Microsoft Windows Performance Data Helper Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\Pen API Programmer's Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\Win32 Programming Techniques.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\Remote Procedure Call Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\Windows Setup API Programmer's Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\Windows Sockets 2 Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\Windows TAPI Programmer's Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\Win32 Programmer's Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\Win32s Programmer's Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\MS SDK Help Files\Win32 SDK Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\WinSight Users Guide.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\Developing COM-based Applications.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\Developing Distributed Applications.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\Developing Database Applications.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\SQL Explorer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Delphi 7.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Image Editor.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Register Now.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\SQL Monitor.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\XML Mapper.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\Using Delphi.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\Creating Custom Components.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\Error Messages & Warnings.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\Object Pascal Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\Integrated Translation Environment.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\InterBase Express Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\What's New in Delphi.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\Programming with Delphi.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\Visual Component Library Reference.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\Image Editor Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\Intranet ActiveX Online Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\Customizing Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\SQL Builder Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\Help\TeeChart Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland Delphi 7\BDE Administrator.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 3592-red-army-mod-realistic-weapon-mod AK-47.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\Driver.San Francisco.v 1.04.1114\Driver.San Francisco.v 1.04.1114.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 48122-sasquatch-bigfoot-on-mount-chiliad .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 29482-infernus-dotex Infernus.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto - San Andreas\Grand Theft Auto - San Andreas.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reallusion\CrazyTalk Animator\CrazyTalk Animator PRO.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reallusion\CrazyTalk Animator\CrazyTalk Animator Help.lnk
D:\Games\Новая папка\CrazyTalk Animator Help.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reallusion\CrazyTalk Animator\Read Me.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reallusion\CrazyTalk Animator\End User License Agreement.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.3\Cheat Engine 6.3.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.3\Cheat Engine 6.3 (32-bit).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.3\Cheat Engine 6.3 (64-bit).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.3\Cheat Engine tutorial.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.3\Cheat Engine help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.3\Kernel stuff\Unload kernel module.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.3\Reset settings.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 6.3\Uninstall Cheat Engine.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 10890-originalnyy-gta-saexe-v101 .lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto San Andreas\Grand Theft Auto San Andreas.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike Source\Counter-Strike Source.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 15893-m0d-s0beit-4.3.0.0-full-rus-gtasa .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 57070-gta-5-effects .lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 11.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\IL Download Manager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XTCS Final Release 2011\Counter-Strike Launcher.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XTCS Final Release 2011\HLDS Launcher.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XTCS Final Release 2011\HLTV Launcher.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Red Gate\.NET Reflector 8.3.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 41737-alfa-team-weapon-pack .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sim City 4\Запуск Sim City 4.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sim City 4\Запуск Sim City 4 1920x1080.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sim City 4\Запуск Sim City 4 1680x1050.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sim City 4\Удаление.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 58465-skins-weapon-pack-csgo .lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto San Andreas\Деинсталлировать Grand Theft Auto San Andreas.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 42075-the-revival-of-the-village-montgomery .lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\Driver.San Francisco.v 1.04.1114\Деинсталлировать Driver.San Francisco.v 1.04.1114.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 4664-vid-kak-v-counter-strike-dlya-gta-san-andreas .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 53154-the-revival-of-the-village-dillimore .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 32788-cheat-menu-english-version .lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike Source\Counter-Strike Source - Автообновление.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike Source\Деинсталлировать Counter-Strike Source.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 54390-realistic-effect-30-final-version .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 54347-new-transport-routes .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 51376-new-sounds-hire .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 2669-oruzhie-na-tele .lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GTA San Andreas\SL ReadMe.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GTA San Andreas\Удалить Smarter's Localization.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 55017-weapon-sounds-mod .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 39686-slow-motion .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VirtualDJ\VirtualDJ PRO Full.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VirtualDJ\Rip Vinyl.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VirtualDJ\Rip DVD.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 42251-ak-47 AK47.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 25242-amazing-screenshot-v11 .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 52975-recovery-stations-los-santos .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 50895-recovery-zone-69 .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 44080-the-speedometer-in-the-style-of-a-neon .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Revolt\Revolt.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 22789-fps-de-limiter-cleo .lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 24432-air-traffic-pro-v-52 .lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6\Боты\Инструкция по использованию.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6\Боты\Инструкция по настройке.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6\Боты\Консольные команды.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6\Counter-Strike 1.6.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6\Деинсталлировать Counter-Strike 1.6.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 23649-vc-camera-hack-v30c (null).lnk
C:\Users\Администратор\AppData\Local\Microsoft\Windows\GameExplorer\{AB280E39-3C0C-4F2A-AFED-980F732BCA34}\PlayTasks\0\Играть.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 57609-weapon-pack AK47.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pawno Rus\Pawno Rus.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pawno Rus\Сайт Pawno Rus в Интернете.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pawno Rus\Деинсталлировать Pawno Rus.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bloody\KeyDominator1\KeyDominator1.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 12416-sobeit-for-cm-v06 .lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RSUPPORT\Mobizen\Mobizen.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\3D Инструктор новое лето\3D Инструктор новое лето.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\3D Инструктор новое лето\Uninstall 3D Инструктор новое лето.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Ultimate Spider-Man\Играть Ultimate Spider-Man.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\www.GameModding.net\GTA San Andreas(5)\Uninstall 191751-pak-krutyh-oruzhiy-gtasa.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Spider-Man - Shattered Dimensions\Играть Spider-Man - Shattered Dimensions.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\www.GameModding.net\GTA San Andreas(6)\Uninstall(Phoenix)197916-chevrolet-camaro-ss-2017-gtasa.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\Call Of Duty.Black Ops.v Update 6\Call Of Duty.Black Ops.v Update 6.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\Call Of Duty.Black Ops.v Update 6\Call Of Duty.Black Ops.(Сетевая игра).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\Call Of Duty.Black Ops.v Update 6\Деинсталлировать Call Of Duty.Black Ops.v Update 6.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe\Adobe Extension Manager CS6.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe\Adobe Media Encoder CS6.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe\Adobe Bridge CS6.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\www.gtavicecity.ru\Uninstall 59630-nissan-gt-r-r35-2012 Jester.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe\Adobe Flash Professional CS6.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\www.GameModding.net\GTA San Andreas(8)\Uninstall 23028-memory512-major-update-gtasa.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto. San Andreas - Real Cars\Grand Theft Auto. San Andreas - Real Cars.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto. San Andreas - Real Cars\Uninstall Grand Theft Auto. San Andreas - Real Cars.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto Vice City\Играть Grand Theft Auto Vice City.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto Vice City\Удалить Grand Theft Auto Vice City.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Return to Castle Wolfenstein\Играть Return to Castle Wolfenstein.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ModManager\GTA San Andreas\uninstall-[programs]-13261-camhack-v12.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ModManager\GTA San Andreas\uninstall-[mods]-25377-hd-dorogi-v30.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ModManager\GTA San Andreas\uninstall-[mods]-42931-the-new-map-in-hd.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\www.GameModding.net\GTA San Andreas(7)\Uninstall 23028-memory512-major-update-gtasa.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount & Blade - Warband\Активация ключа.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\(RtC) Wolfenstein - Coop\(RtC) Wolfenstein Coop.lnk
C:\Users\Администратор\Desktop\Half-Life - 2017.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 - 2017\Counter-Strike 1.6 - 2017.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 - 2017\Half-Life - 2017.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 - 2017\Start Dedicated Server.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 - 2017\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Русская рыбалка (Одиночная)\Редактор водоемов.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Русская рыбалка (Одиночная)\Руководство по игре.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 от Michael Channel\Деинсталлировать Counter-Strike 1.6 от Michael Channel.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FR Modifications\Uninstall Tazer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FR Modifications\Uninstall SAPDFR Manual.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney SE\Регистрация ArtMoney через Интернет.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет\Интернет.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет\Войти в Интернет.lnk
C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk
C:\Users\Public\Desktop\Opera.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Программы/расширения от Mail.ru используете?

**Anton Korol** · 03.06.2017, 19:52

https://virusinfo.info/virusdetector...40772FDF3A4722
Сервисами mail.ru не пользуюсь и не сам их не устанавливал. Прислал quarantine.zip. Пока читал тему заметил новый вред, страница может закрыться и откроется сайт parimatch. То что вы посоветовали мне удалить не удаляется. Папки Mail.Ru в Program Files нет, Unity не удаляется, а Орбитум не знаю как удалить.

**regist** · 03.06.2017, 20:24

Сообщение от Anton Korol

Папки Mail.Ru в Program Files нет, Unity не удаляется, а Орбитум не знаю как удалить.

Все три программы надо удалять через Панель управления - Установка и удаление программ.

- - - - -Добавлено - - - - -

И в ярлыки Хрома ключ --disable-quic сами дописали?

Код:

Opera 12.17 [2014/05/10 19:28:01]-->"C:\Program Files\Opera\Opera.exe" /uninstall

советую обновить до 12.18, там работу с сертификатами доработали. Сам сейчас с неё пишу

.

- выполните такой скрипт в AVZ

Код:

begin
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Program Files\Tortoise SVN\TortoiseSVN.dll', '');
 QuarantineFileF('C:\Program Files\Tortoise SVN\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files\Tortoise SVN\TortoiseSVN.dll');
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis

Код:

O21 - ShellIconOverlayIdentifiers: TortoiseOverlay - {CBF88FC2-F150-4F29-BC80-CE30EFD1B62C} - C:\Program Files\Tortoise SVN\TortoiseSVN.dll

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.

**Anton Korol** · 03.06.2017, 20:44

Сообщение от regist

И в ярлыки Хрома ключ --disable-quic сами дописали?

Я хромом уже год не пользовался, но отчётливо помню что не прописывал.
Файл карантина залил. В HiJackThis всё профиксил.
А где там можно обновить до 12.18?

**regist** · 03.06.2017, 21:31

Сообщение от Anton Korol

А где там можно обновить до 12.18?

Прямые ссылки на Opera 12.18 32-bit / 64-bit.

Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
В меню Tools ->Options (Инструменты ->Настройки) отметьте:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

- Исправьте с помощью утилиты ClearLNK следующие ярлыки:

Код:

C:\Users\Администратор\Desktop\Orbitum.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Orbitum.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk

**Anton Korol** · 03.06.2017, 21:51

Готово

**regist** · 03.06.2017, 21:55

Пожалуйста, запустите adwcleaner.exe
Нажмите File (Файл) Uninstall (Деинсталлировать).
Подтвердите удаление нажав кнопку: Да.

что с проблемой?

**Anton Korol** · 03.06.2017, 22:02

Реклама как и была так и осталась, в опере у меня стоит адблок там вместо рекламы белые места, а в хроме без адблока куча рекламы

**regist** · 04.06.2017, 00:53

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**Anton Korol** · 04.06.2017, 09:55

Логи прикрепил. Забыл добавить к предыдущему ответу, что стартовая страница в опере перестала меняться на рекламные.

**regist** · 04.06.2017, 12:17

1)

Код:

OPR Extension: (gera2ld) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\niofholngoecgnpgamgbiiijcjlllpge [2017-03-17]
OPR Extension: (Web Mirrors) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\obddfacpeldklabjdigegihfdcehniff [2017-05-07]

Эти расширения вам знакомы?

2)

Код:

Advanced SystemCare 8 (HKLM\...\Advanced SystemCare 8_is1) (Version: 8.4.0.811 - diakov.net)
Cthulhu (HKLM\...\Cthulhu) (Version:  - )

деинсталируйте.

3) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-2372782805-3790530381-1095952761-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10444
URLSearchHook: HKU\S-1-5-21-2372782805-3790530381-1095952761-500 - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
SearchScopes: HKLM -> {A834C867-5B83-4535-9B04-DF182E0BBD0F} URL = 
SearchScopes: HKLM -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
SearchScopes: HKU\S-1-5-21-2372782805-3790530381-1095952761-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll => No File
Toolbar: HKLM - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
FF Plugin HKU\S-1-5-21-2372782805-3790530381-1095952761-500: @mail.ru/GameCenter -> C:\Users\Администратор\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B2441A89B-A729-474F-BD8C-F64A5F84C453%7D&gp=811014
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\epgjfmblhacacphaljkdcjllkomdcjpc [2017-06-02]
CHR Extension: (Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\lanabbpahpjnaljebnpgkjemcbkepiak [2016-06-05]
CHR HKLM\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx
2017-06-02 20:44 - 2017-06-03 13:46 - 00000000 ____D C:\Program Files\YtubeABlckIE
CustomCLSID: HKU\S-1-5-21-2372782805-3790530381-1095952761-500_Classes\CLSID\{5A8FF410-F3CE-4844-B31B-F18D911239E8}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll => No File
CustomCLSID: HKU\S-1-5-21-2372782805-3790530381-1095952761-500_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> "C:\Users\Администратор\AppData\Local\Xpom\Application\28.1.1500.75\delegate_execute.exe" => No File
Task: {07094E17-58A5-4E92-A516-55ABEA690F8E} - \E3605470-291B-44EB-8648-745EE356599A -> No File <==== ATTENTION
Task: {08BDF6E0-E78E-4C6E-9E3B-494817EF488E} - no filepath
Task: {9DA84948-BC12-493E-AF07-588AC186E6C0} - System32\Tasks\MailRuUpdateTask => C:\Users\Администратор\AppData\Local\Mail.Ru\MailRuUpdater.exe 
Task: {D1535B5D-E6B2-4F1F-BEDF-062FCA102AC7} - System32\Tasks\unityp => C:\Users\Администратор\AppData\Local\unityp\unityp.exe  <==== ATTENTION
Task: {DFEA7AF9-7A77-4F1E-9C72-26E660F2DAD0} - System32\Tasks\setupsk_upd => C:\Users\836D~1\AppData\Roaming\SETUPS~1\python\pythonw.exe  <==== ATTENTION
Task: {FAC0EBE4-2CF9-4C29-9ED4-68467F41577C} - System32\Tasks\setupsk => C:\Users\836D~1\AppData\Roaming\setupsk\python\pythonw.exe  <==== ATTENTION
Task: {FB81767F-DDD2-4F62-9FE0-0536ACDCC1FC} - System32\Tasks\MSI => C:\Users\Администратор\AppData\Roaming\Microsoft\msi.exe 
FirewallRules: [TCP Query User{859CE72F-8C5F-4A05-99C4-4D1911DBD3F7}C:\users\администратор\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe] => (Block) C:\users\администратор\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe
FirewallRules: [UDP Query User{EDDE4177-981B-4143-9CAC-F7F9FCFD3C10}C:\users\администратор\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe] => (Block) C:\users\администратор\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe
EmptyTemp:
Reboot:
End::

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**Anton Korol** · 04.06.2017, 13:40

Расширения эти сам ставил. Это удалил. После выполнения скрипта и перезапуска пк, программа для мышки выдала ошибку два раза и закрылась. Лог прикрепил.
Через минуту после отправки появилась ошибка copy, файл updater.exe

**regist** · 04.06.2017, 13:49

Что с проблемой?

- - - - -Добавлено - - - - -

Удалите папку C:\FRST со всем содержимым.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

**Anton Korol** · 04.06.2017, 14:03

Реклама теперь полностью отсутствует, однако при запуске пк по-прежнему вылетает ошибка updater.exe.

- - - - -Добавлено - - - - -

Уязвимости закрыл

**regist** · 04.06.2017, 14:05

Свежий CollectionLog прикрепите.

**Anton Korol** · 04.06.2017, 14:21

Готово

**regist** · 04.06.2017, 15:24

Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis

Код:

O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk - C:\Program Files\McAfee Security Scan\3.8.150\SSScheduler.exe (2014/06/15) (file missing)
O4 - MSConfig\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^winupdate.lnk - C:\Users\Администратор\AppData\Local\Microsoft\Windows\winupdate.exe /app E154F0622A85C856408FAF92DC6AA094 (2015/12/13) (file missing)
O4 - MSConfig\startupreg: [GameCenterMailRu] C:\Users\Администратор\AppData\Local\Mail.Ru\GameCenter\[email protected] -autostart (file missing) (HKCU) (2014/05/29)
O4 - MSConfig\startupreg: [LogMeIn Hamachi Ui] D:\Games\hamachi-2-ui.exe --auto-start (file missing) (HKLM) (2014/06/25)
O22 - Task (Queued): PowerMonitor - C:\Users\Администратор\AppData\Local\PowerMonitor\PowerMonitor.exe --stid="10899" (file missing)
O22 - Task (Ready): Game_Booster_AutoUpdate - C:\Program Files\IObit\Game Booster 3\AutoUpdate.exe /AUTORUN (file missing)
O22 - Task (Ready): GoogleUpdateTaskMachineCore - C:\Program Files\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Task (Ready): GoogleUpdateTaskMachineUA - C:\Program Files\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Task (Ready): etdctrl - C:\Users\Администратор\AppData\Local\etdctrl\etdctrl.exe --stid="14944" (file missing)
O22 - Task (Ready): {5F79085A-2088-4F34-8237-89E2521DCE13} - c:\users\Администратор\appdata\local\orbitum\application\chrome.exe http://ui.skype.com/ui/0/6.18.0.106/ru/abandoninstall?source=lightinstaller&page=tsInstall (file missing)

и отпишитесь, что с проблемой.

**Anton Korol** · 04.06.2017, 16:06

Пофиксил, рекламы нет. Проблема с update.exe осталась (при запуске пк вылетает ошибка с вылетом этого файла)

Появилась реклама в тех местах где её не было [Trojan-Downloader.MSIL.Agent.ipt, Trojan.Win32.Loskad.bso ] (заявка № 212702)

Опции темы