Clearcashe.dll [Trojan-Downloader.Win32.Stantinko.bct, Trojan.Win32.Agentb.bvhd]

[behemothus]

День добрый.

Начал чистить комп, которым я давно не занимался, затормозил на следующем.
После загрузки стартует некий процесс, который process explorer (64) распознает как

rundll32 "C:\Windows\TEMP\clearcache.dll", DllMain

parent: <Non-existent Process>(1928 ).

Никакого clearcache.dll в той папке давно уже нету (сохранил на всяк случай).
Процесс легко убивается, но после перезагрузки - все как раньше.

Вероятно, есть еще что-то, но я уже сам не стал дальше копать.

[Info_bot]

Уважаемый(ая) behemothus, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[behemothus]

Гм... Я не покажусь слишком наглым. если о себе напомню?
Если все так плохо. может. мне будут проще побороть природную лень и винду переставить?

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.startpageing123.com/?type=hp&ts=1488466891&z=c8d4d208123dbe40947ca01g8zfbeb8z7q9q1b5t7o&from=che0812&uid=TOSHIBAXDT01ACA200_95Q19BMASXX95Q19BMASX
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.startpageing123.com/?type=hp&ts=1488466891&z=c8d4d208123dbe40947ca01g8zfbeb8z7q9q1b5t7o&from=che0812&uid=TOSHIBAXDT01ACA200_95Q19BMASXX95Q19BMASX
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.startpageing123.com/?type=hp&ts=1488466891&z=c8d4d208123dbe40947ca01g8zfbeb8z7q9q1b5t7o&from=che0812&uid=TOSHIBAXDT01ACA200_95Q19BMASXX95Q19BMASX
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://www.startpageing123.com/search/?type=ds&ts=1488466891&z=c8d4d208123dbe40947ca01g8zfbeb8z7q9q1b5t7o&from=che0812&uid=TOSHIBAXDT01ACA200_95Q19BMASXX95Q19BMASX&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://www.startpageing123.com/search/?type=ds&ts=1488466891&z=c8d4d208123dbe40947ca01g8zfbeb8z7q9q1b5t7o&from=che0812&uid=TOSHIBAXDT01ACA200_95Q19BMASXX95Q19BMASX&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.startpageing123.com/?type=hp&ts=1488466891&z=c8d4d208123dbe40947ca01g8zfbeb8z7q9q1b5t7o&from=che0812&uid=TOSHIBAXDT01ACA200_95Q19BMASXX95Q19BMASX
R4 - SearchScopes: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} [URL] = http://www.startpageing123.com/search/?type=ds&ts=1488466891&z=c8d4d208123dbe40947ca01g8zfbeb8z7q9q1b5t7o&from=che0812&uid=TOSHIBAXDT01ACA200_95Q19BMASXX95Q19BMASX&q={searchTerms} - startpageing123
O2-32 - HKLM\..\BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C8F333D-182E-4973-AEB4-EAAA93C062CD}: [NameServer] = 185.156.172.178
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{0C8F333D-182E-4973-AEB4-EAAA93C062CD}: [NameServer] = 185.156.172.178
O21 - HKLM\..\ShellExecuteHooks: (no name) - {15971074-F77B-11E6-94C6-64006A5CFC23} - C:\Program Files (x86)\Fogity\Ferhsy.dll (file missing) (disabled)
O22 - Task: klcp_update - C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe /verysilent /update /freq=30
O22 - Task: setupsk - C:\Users\behempthus\AppData\Roaming\setupsk\python\pythonw.exe "C:\Users\behempthus\AppData\Roaming\setupsk\ml.py" --APPNAME="setupsk" (file missing)
O22 - Task: setupsk2 - C:\Users\behempthus\AppData\Roaming\setupsk\python\pythonw.exe "C:\Users\behempthus\AppData\Roaming\setupsk\app.py" (file missing)

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\ProgramData\vCore\VCore.exe', '');
 QuarantineFile('C:\Users\behempthus\AppData\Roaming\CRMSvc\CRMSvc.exe', '');
 QuarantineFile('C:\Users\behempthus\AppData\Roaming\setupsk\app.py', '');
 QuarantineFile('C:\Users\behempthus\AppData\Roaming\setupsk\ml.py', '');
 QuarantineFile('C:\Users\behempthus\AppData\Roaming\setupsk\python\pythonw.exe', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
 DeleteFile('C:\ProgramData\vCore\VCore.exe', '');
 DeleteFile('C:\Users\behempthus\AppData\Roaming\CRMSvc\CRMSvc.exe', '');
 DeleteFile('C:\Users\behempthus\AppData\Roaming\setupsk\app.py', '');
 DeleteFile('C:\Users\behempthus\AppData\Roaming\setupsk\ml.py', '');
 DeleteFile('C:\Users\behempthus\AppData\Roaming\setupsk\python\pythonw.exe', '');
 DeleteFile('C:\Windows\system32\ihctrl32.dll', '');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\system32\wsaudio.dll', '');
 DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Media Center\VCore" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk2" /F', 0, 15000, true);
 DeleteService('CRMSvc');
 DeleteFileMask('c:\programdata\vcore', '*', true);
 DeleteFileMask('c:\users\behempthus\appdata\roaming\crmsvc', '*', true);
 DeleteFileMask('c:\users\behempthus\appdata\roaming\setupsk', '*', true);
 DeleteDirectory('c:\programdata\vcore');
 DeleteDirectory('c:\users\behempthus\appdata\roaming\crmsvc');
 DeleteDirectory('c:\users\behempthus\appdata\roaming\setupsk');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[behemothus]

При запуске HiJackThis получаю следующее сообщение.

Пожалуйста, помогите улучшить HiJackThis, отправив нам это сообщение об ошибке.

Сообщение было скопировано в буфер обмена.
Нажмите 'Да', чтобы его отправить.

Подробности об ошибке:

Возникла непредвиденная ошибка в функции: cmdSaveDef_Click
Error # 13 - Type mismatch
HRESULT: Недопустимые данные.
LastDllError # 0
Trace info:

Windows version: x64 Windows 8.1 (Professional with Media Center), 6.3.9600.0, Service Pack: 0
HiJackThis Fork (Beta) by Alex Dragokas v.2.8.0.

Дальше действую по инструкции.

(++++)

AVZ завершился только с 4-й попытки, после того как я в полуручном режиме удалил все из Content.IE5, до этого зависал с кучей красных строк, которые я не мог прочитать.

Карантин отправил.

Файл сохранён как 180822_184435_quarantine_5b7daf13bc2a6.zip
Размер файла 321334
MD5 94fc23630c92ac5fc5063a68800d24ea

(++++)

FRST отработал без замечаний

[regist]

behemothus, просьба проверьте в этой версии HiJackThis

[behemothus]

behemothus, просьба проверьте в этой версии HiJackThis

Аналогично.

Please help us improve HiJackThis by reporting this error.

Error message has been copied to clipboard.
Click 'Yes' to submit.

Error Details:

An unexpected error has occurred at function: cmdSaveDef_Click
Error # 13 - Type mismatch
HRESULT: Недопустимые данные.
LastDllError # 0
Trace info:

Windows version: x64 Windows 8.1 (Professional with Media Center), 6.3.9600.0, Service Pack: 0
HiJackThis Fork by Alex Dragokas v.2.8.0.5

[Dragokas]

Здравствуйте, behemothus!

Для улучшения наших инструментов:

1) скачайте ещё раз новую версию HiJackThis и покажите сообщение об ошибке.

2) Откройте редактор реестра (нажать Win + R, ввести regedit, и нажать ОК), перейдите к ветке:

HKEY_CURRENT_USER\Control Panel\International

нажмите Файл => Экспорт, сохраните под любым именем. Упакуйте в архив и прикрепите к вашему сообщению.

Спасибо.

[Vvvyg]

Затем.

Выделите и скопируйте в буфер обмена следующий код:

Код:

CreateRestorePoint:
Tcpip\..\Interfaces\{0C8F333D-182E-4973-AEB4-EAAA93C062CD}: [NameServer] 185.93.180.131
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1488466891&z=c8d4d208123dbe40947ca01g8zfbeb8z7q9q1b5t7o&from=che0812&uid=TOSHIBAXDT01ACA200_95Q19BMASXX95Q19BMASX&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1488466891&z=c8d4d208123dbe40947ca01g8zfbeb8z7q9q1b5t7o&from=che0812&uid=TOSHIBAXDT01ACA200_95Q19BMASXX95Q19BMASX&q={searchTerms}
CHR HomePage: ChromeDefaultData -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oilhebpjhnjaeghedpjnmajajlcfdjgc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
S3 Appinfo; C:\Windows\system32\svchost.exe [38792 2016-02-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S3 Appinfo; C:\Windows\SysWOW64\svchost.exe [33088 2016-02-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 ihctrl32; C:\Windows\System32\svchost.exe [38792 2016-02-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 ihctrl32; C:\Windows\SysWOW64\svchost.exe [33088 2016-02-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wsaudio; C:\Windows\System32\svchost.exe [38792 2016-02-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wsaudio; C:\Windows\SysWOW64\svchost.exe [33088 2016-02-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
2018-08-19 04:09 - 2018-06-19 14:57 - 000086248 _____ (360.cn) C:\Windows\SysWOW64\Drivers\360AvFlt.sys
Virustotal: C:\Users\behempthus\SVPNuvfnae.exe
1601-01-03 21:33 - 1601-01-03 21:33 - 000197120 ____N (Microsoft Corporation) C:\Users\behempthus\SVPNuvfnae.exe
1601-01-03 21:33 - 1601-01-03 21:33 - 000197120 ____N (Microsoft Corporation) C:\Program Files (x86)\ewkBUDE.exe
Task: {FD6719D4-946A-4786-9369-7FEFE63B3349} - \VKDJ -> No File <==== ATTENTION
FirewallRules: [{6FD2154F-9A4D-4EB7-B7FE-69433A899486}] => (Allow) C:\Program Files\UBar\ubar.exe
FirewallRules: [{9A82FB42-16E9-441F-B9C0-3CD37C34719B}] => (Allow) C:\Users\behempthus\AppData\Local\Amigo\Application\amigo.exe
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafe" /f /reg:32
Reboot:

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[behemothus]

Здравствуйте, behemothus!

Для улучшения наших инструментов:

1) скачайте ещё раз новую версию HiJackThis и покажите сообщение об ошибке.

В предыдущем сообщении. Версия та же, (v.2.8.0.5) архивы идентичны.
Ой, так это вообще с того же источника)))

2) Откройте редактор реестра (нажать Win + R, ввести regedit, и нажать ОК), перейдите к ветке:
нажмите Файл => Экспорт, сохраните под любым именем. Упакуйте в архив и прикрепите к вашему сообщению.
Спасибо.

Сделано. Во вложении.

- - - - -Добавлено - - - - -

Затем.

Выделите и скопируйте в буфер обмена следующий код:

Код:

CreateRestorePoint:
Tcpip\..\Interfaces\{0C8F333D-182E-4973-AEB4-EAAA93C062CD}: [NameServer] 185.93.180.131
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1488466891&z=c8d4d208123dbe40947ca01g8zfbeb8z7q9q1b5t7o&from=che0812&uid=TOSHIBAXDT01ACA200_95Q19BMASXX95Q19BMASX&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1488466891&z=c8d4d208123dbe40947ca01g8zfbeb8z7q9q1b5t7o&from=che0812&uid=TOSHIBAXDT01ACA200_95Q19BMASXX95Q19BMASX&q={searchTerms}
CHR HomePage: ChromeDefaultData -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oilhebpjhnjaeghedpjnmajajlcfdjgc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
S3 Appinfo; C:\Windows\system32\svchost.exe [38792 2016-02-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S3 Appinfo; C:\Windows\SysWOW64\svchost.exe [33088 2016-02-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 ihctrl32; C:\Windows\System32\svchost.exe [38792 2016-02-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 ihctrl32; C:\Windows\SysWOW64\svchost.exe [33088 2016-02-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wsaudio; C:\Windows\System32\svchost.exe [38792 2016-02-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wsaudio; C:\Windows\SysWOW64\svchost.exe [33088 2016-02-20] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
2018-08-19 04:09 - 2018-06-19 14:57 - 000086248 _____ (360.cn) C:\Windows\SysWOW64\Drivers\360AvFlt.sys
Virustotal: C:\Users\behempthus\SVPNuvfnae.exe
1601-01-03 21:33 - 1601-01-03 21:33 - 000197120 ____N (Microsoft Corporation) C:\Users\behempthus\SVPNuvfnae.exe
1601-01-03 21:33 - 1601-01-03 21:33 - 000197120 ____N (Microsoft Corporation) C:\Program Files (x86)\ewkBUDE.exe
Task: {FD6719D4-946A-4786-9369-7FEFE63B3349} - \VKDJ -> No File <==== ATTENTION
FirewallRules: [{6FD2154F-9A4D-4EB7-B7FE-69433A899486}] => (Allow) C:\Program Files\UBar\ubar.exe
FirewallRules: [{9A82FB42-16E9-441F-B9C0-3CD37C34719B}] => (Allow) C:\Users\behempthus\AppData\Local\Amigo\Application\amigo.exe
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafe" /f /reg:32
Reboot:

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделал. Только что-то FRST ругался сначала, что, дескать, не находит файла fixlist_txt.

[Vvvyg]

Что с проблемой?

[behemothus]

Что с проблемой?

Да вроде бы все вылечено, спасибо.

Но на всякий случай докладываю. То, что в сабже у меня, исчезло после первого же запуска HijackThis. Но появились какие-то новые процессы, которых я никогда раньше не видел. Не разобирался. И еще как-то странно ведет себя CyberHost - его нет в списке процессов, но его собственная сеть видна. Но это вообще не проблема, его отсюда сносить надо.

У меня другой вопрос возник. Мы же поудаляли много всякой хрени, которую я сам не видел. Там было что-то, что могло хакнуть мобильный банк? Компьютер этот в домашней сети у меня, могло расползтись по другим?

[regist]

Ой, так это вообще с того же источника)))

ссылка та же, но сам файл успели обновить, полный номер билда отличается.

Сделано. Во вложении.

спасибо, проблему воспроизвели.

Но появились какие-то новые процессы, которых я никогда раньше не видел.

Давайте проверим . Сделайте свежие логи по правилам, только сделайте этой версией Автологера.

- - - - -Добавлено - - - - -

Там было что-то, что могло хакнуть мобильный банк? Компьютер этот в домашней сети у меня, могло расползтись по другим?

в основном адварь была, но пароли на всякий случай лучше сменить.

[behemothus]

ссылка та же, но сам файл успели обновить, полный номер билда отличается.

Да нет. ))) Речь о была том, что я два раза скачал полностью идентичный архив.
Первый раз по ссылке отсюда

behemothus, просьба проверьте в этой версии HiJackThis

второй раз отсюда.

Здравствуйте, behemothus!
Для улучшения наших инструментов:
1) скачайте ещё раз новую версию HiJackThis и покажите сообщение об ошибке.

по времени - вчера в 22:06 и 22:52, архивы сравнил побайтно.
Так что можете не сомневаться в моей аккуратности. Вы с вашим коллегой просто немножко рассинхронизированы.
Но насколько понимаю, все это уже неактуально?!

Если не секрет, зачем вам понадобился этот раздел реестра?! Там же ничего интересного нет, ну разве что вот это?!
HKEY_CURRENT_USER\Control Panel\International\User Profile\uk.

спасибо, проблему воспроизвели.

ОК, рад помочь.

Давайте проверим . Сделайте свежие логи по правилам, только сделайте этой версией Автологера.

Во вложении. Достаточно?

в основном адварь была, но пароли на всякий случай лучше сменить.

Ясно, еще раз спасибо.

[Dragokas]

Если не секрет, зачем вам понадобился этот раздел реестра?! Там же ничего интересного нет, ну разве что вот это?!
HKEY_CURRENT_USER\Control Panel\International\User Profile\uk.

Изменение форматы даты, что привело к сбою.

по времени - вчера в 22:06 и 22:52, архиві сравнил побайтно.

Они не могли быть одинаковыми в этих точках времени + я тоже ещё раз перепроверил, скачав по той же ссылке.
М.б. ваш браузер что-то закешировал. Но я все равно перепроверю настройки сервера.
А то, что номер версии совпадал - это ещё один признак ошибки (см. версию в заголовке окна, там правильная и двухзначная).
В любом случае, спасибо за помощь. Доп. тесты не нужны.

[Vvvyg]

По мне - так всё стерильно.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[behemothus]

По мне - так всё стерильно.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

Понял. Во вложении.
А Ubar - это нормально?

- - - - -Добавлено - - - - -

Изменение форматы даты, что привело к сбою.

ОК, спасибо, я даже не знал, что здесь кто-то форматы крутил.

Они не могли быть одинаковыми в этих точках времени + я тоже ещё раз перепроверил, скачав по той же ссылке.
М.б. ваш браузер что-то закешировал. Но я все равно перепроверю настройки сервера.
А то, что номер версии совпадал - это ещё один признак ошибки (см. версию в заголовке окна, там правильная и двухзначная).
В любом случае, спасибо за помощь. Доп. тесты не нужны.

Я на номер версии даже не смотрел, просто сравнил побайтно архивы. Видимо, действительно кэш или что-то, потому как сейчас я скачал третий раз - и архив уже другой, длиннее и дата внутренняя иная.

Ну ладно, это уже спор ниачом, извините за назойливость. Спасибо за разъяснения.

[Vvvyg]

Ubar удалите и Ace Stream? если не сильно нужен. Можно для верности ещё лог Malwarebytes AdwCleaner сделать после этого.

Контроль учётных записей пользователя отключен

Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.

------------------------------- [ HotFix ] --------------------------------
HotFix KB3124000 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3156059 Внимание! Скачать обновления
HotFix KB3153704 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3175887 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192392 Внимание! Скачать обновления
HotFix KB3197873 Внимание! Скачать обновления
HotFix KB3205400 Внимание! Скачать обновления
HotFix KB4012213 Внимание! Скачать обновления
HotFix KB4012216 Внимание! Скачать обновления
HotFix KB4019213 Внимание! Скачать обновления
HotFix KB4022717 Внимание! Скачать обновления
HotFix KB4025333 Внимание! Скачать обновления
HotFix KB4034672 Внимание! Скачать обновления
HotFix KB4041687 Внимание! Скачать обновления
HotFix KB4056895 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074597 Внимание! Скачать обновления
HotFix KB4103715 Внимание! Скачать обновления
HotFix KB4343888 Внимание! Скачать обновления

Критические обновления ставить обязательно если система не пиратская - проблем точно не будет.

Opera Stable 54.0.2952.64 v.54.0.2952.64 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Safari v.5.34.57.2 Данная программа больше не поддерживается разработчиком.

[behemothus]

Ubar удалите и Ace Stream? если не сильно нужен. Можно для верности ещё лог Malwarebytes AdwCleaner сделать после этого.

Асе Stream еще актуален, через него мои кино раздают, если ничего не путаю

Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.
Критические обновления ставить обязательно если система не пиратская - проблем точно не будет.

Включу, не вопрос. Я не помню, когда отключал - и зачем. Но это мог и не я быть.

Остальное тоже понятно, браузеры эти здесь просто для мебели, рабочие у нас файерфокс и хром. А обновления... Тут десятку пора ставить. А может и комп новый. Ладно, соберусь с силами - поставлю в сентябре, если в больничке на залежусь.
Спасибо.

- - - - -Добавлено - - - - -

Ubar удалите и Ace Stream... Можно для верности ещё лог Malwarebytes AdwCleaner сделать после этого.

Ace Stream - удалил (его поставить недолго, если что), а Ubar - вообще непонятно, откуда удалять, его в списке установленных нету.
Логи ADWCleaпer сделал, вроде ничего подозрительного не осталось, но что-то он много всего нашел. Мне самому сходу не разобраться. Посмотрите?

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.