автоматически идет установка браузера амиго и различных посторонних програм,удаление не помогает [not-a-virus:AdWare.Win32.SubTab.e, not-a-virus:AdWare.Win32.SearchProtect.so ]

[Богдан Осипенко]

Скачал файловый менеджер,после запуска exe файла ничего не запустилось,на рабочем столе стали появляться ярлыки приложений от mail.ru ,браузер амиго,комета,какие-то китайские программы,закрыть невозможно,идет постоянно закачка каких-то файлов,в браузере (Chrome) появилась куча рекламы

[Info_bot]

Уважаемый(ая) Богдан Осипенко, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','');
 DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
 QuarantineFile('C:\Program Files (x86)\XTab\SupTab.dll','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\Probityy\AppData\Local\Kometa\kometaup.exe','');
 QuarantineFile('C:\Program Files (x86)\punto.bat','');
 QuarantineFile('C:\Program Files (x86)\gmsd_re_253\gmsd_re_253.exe','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 DeleteService('kxescore');
 SetServiceStart('Util Edu App', 4);
 DeleteService('Util Edu App');
 SetServiceStart('Update Edu App', 4);
 DeleteService('Update Edu App');
 SetServiceStart('rewisezu', 4);
 DeleteService('rewisezu');
 SetServiceStart('pekudyho', 4);
 DeleteService('pekudyho');
 SetServiceStart('jitijyve', 4);
 DeleteService('jitijyve');
 SetServiceStart('IHProtect Service', 4);
 DeleteService('IHProtect Service');
 QuarantineFile('C:\Windows\system32\drivers\{848705a5-8a27-403e-9b59-732d0608bcbc}Gw64.sys','');
 QuarantineFile('C:\Program Files (x86)\XTab\IeWatchDog.dll','');
 QuarantineFile('C:\Program Files (x86)\Edu App\bin\EduApp.expextdll.dll','');
 TerminateProcessByName('c:\program files (x86)\edu app\bin\utileduapp.exe');
 QuarantineFile('c:\program files (x86)\edu app\bin\utileduapp.exe','');
 TerminateProcessByName('c:\program files (x86)\edu app\updateeduapp.exe');
 QuarantineFile('c:\program files (x86)\edu app\updateeduapp.exe','');
 TerminateProcessByName('c:\program files (x86)\xtab\protectservice.exe');
 QuarantineFile('c:\program files (x86)\xtab\protectservice.exe','');
 TerminateProcessByName('c:\users\probityy\appdata\roaming\dbeaaec8-1432665278-7d4c-9db3-60eb69f9763a\nsf6428.tmpfs');
 QuarantineFile('c:\users\probityy\appdata\roaming\dbeaaec8-1432665278-7d4c-9db3-60eb69f9763a\nsf6428.tmpfs','');
 TerminateProcessByName('c:\users\probityy\appdata\roaming\dbeaaec8-1432665278-7d4c-9db3-60eb69f9763a\jnsl9166.tmp');
 QuarantineFile('c:\users\probityy\appdata\roaming\dbeaaec8-1432665278-7d4c-9db3-60eb69f9763a\jnsl9166.tmp','');
 TerminateProcessByName('c:\program files (x86)\xtab\hpnotify.exe');
 QuarantineFile('c:\program files (x86)\xtab\hpnotify.exe','');
 TerminateProcessByName('c:\users\probityy\appdata\roaming\dbeaaec8-1432665278-7d4c-9db3-60eb69f9763a\hnsqa8af.tmp');
 QuarantineFile('c:\users\probityy\appdata\roaming\dbeaaec8-1432665278-7d4c-9db3-60eb69f9763a\hnsqa8af.tmp','');
 TerminateProcessByName('C:\Program Files (x86)\Edu App\bin\EduApp.PurBrowse64.exe');
 QuarantineFile('C:\Program Files (x86)\Edu App\bin\EduApp.PurBrowse64.exe','');
 TerminateProcessByName('c:\program files (x86)\edu app\bin\eduapp.expext.exe');
 QuarantineFile('c:\program files (x86)\edu app\bin\eduapp.expext.exe','');
 TerminateProcessByName('c:\program files (x86)\xtab\cmdshell.exe');
 TerminateProcessByName('c:\program files (x86)\crossbrowse\crossbrowse\application\crossbrowse.exe');
 QuarantineFile('c:\program files (x86)\crossbrowse\crossbrowse\application\crossbrowse.exe','');
 QuarantineFile('c:\program files (x86)\xtab\cmdshell.exe','');
 DeleteFile('c:\program files (x86)\xtab\cmdshell.exe','32');
 DeleteFile('c:\program files (x86)\crossbrowse\crossbrowse\application\crossbrowse.exe','32');
 DeleteFile('c:\program files (x86)\edu app\bin\eduapp.expext.exe','32');
 DeleteFile('C:\Program Files (x86)\Edu App\bin\EduApp.PurBrowse64.exe','32');
 DeleteFile('c:\users\probityy\appdata\roaming\dbeaaec8-1432665278-7d4c-9db3-60eb69f9763a\hnsqa8af.tmp','32');
 DeleteFile('c:\program files (x86)\xtab\hpnotify.exe','32');
 DeleteFile('c:\users\probityy\appdata\roaming\dbeaaec8-1432665278-7d4c-9db3-60eb69f9763a\jnsl9166.tmp','32');
 DeleteFile('c:\users\probityy\appdata\roaming\dbeaaec8-1432665278-7d4c-9db3-60eb69f9763a\nsf6428.tmpfs','32');
 DeleteFile('c:\program files (x86)\xtab\protectservice.exe','32');
 DeleteFile('c:\program files (x86)\edu app\updateeduapp.exe','32');
 DeleteFile('c:\program files (x86)\edu app\bin\utileduapp.exe','32');
 DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome.dll','32');
 DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome_child.dll','32');
 DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome_elf.dll','32');
 DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\39.6.2171.95\libegl.dll','32');
 DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\39.6.2171.95\libglesv2.dll','32');
 DeleteFile('C:\Program Files (x86)\Edu App\bin\EduApp.expextdll.dll','32');
 DeleteFile('C:\Program Files (x86)\XTab\IeWatchDog.dll','32');
 DeleteFile('C:\Windows\system32\drivers\{848705a5-8a27-403e-9b59-732d0608bcbc}Gw64.sys','32');
 DeleteFile('c:\program files (x86)\kingsoft\kingsoft antivirus\kxescore.exe','32');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
 DeleteFile('C:\Program Files (x86)\gmsd_re_253\gmsd_re_253.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_re_253');
 DeleteFile('C:\Program Files (x86)\punto.bat','32');
 DeleteFile('C:\Users\Probityy\AppData\Local\Kometa\kometaup.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll','32');
 DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','32');
 DeleteFile('C:\Windows\Tasks\Crossbrowse.job','64');
 DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','64');
 DeleteFile('C:\Users\Probityy\AppData\Local\Temp\nsgDCD9.tmp\blowfish.dll','32');
 DeleteFile('C:\Users\Probityy\AppData\Local\Temp\nsyB3E5.tmp\blowfish.dll','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Сделайте новые логи по правилам

Сделайте лог CheckBrowserLnk

[Богдан Осипенко]

Все сделал

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Богдан Осипенко]

готово

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [kxesc] => "c:\program files (x86)\kingsoft\kingsoft antiviruskxetray.exe" -autorun
HKLM-x32\...\Run: [gmsd_re_256] => "C:\Program Files (x86)\gmsd_re_256\gmsd_re_256.exe"
HKLM-x32\...\RunOnce: [Update] => C:\Users\Probityy\AppData\Roaming\VOPackage\VOPackage.exe [641067 2015-05-26] ( )
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1432749536&z=7fd635951a9dab8547c3738g3z0c0o6m7zatbw8c5o&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1432749536&z=7fd635951a9dab8547c3738g3z0c0o6m7zatbw8c5o&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1432665994&z=cbf2669e55d48f2469efa39g1z4c2o7qbq6w0t6t8o&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1432665994&z=cbf2669e55d48f2469efa39g1z4c2o7qbq6w0t6t8o&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1432749536&z=7fd635951a9dab8547c3738g3z0c0o6m7zatbw8c5o&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1432749536&z=7fd635951a9dab8547c3738g3z0c0o6m7zatbw8c5o&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184&q={searchTerms}
HKU\S-1-5-21-3458703977-1696724841-4032824128-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fb256a9f5ede9d0d0457429cd15dced0&text={searchTerms}
HKU\S-1-5-21-3458703977-1696724841-4032824128-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://www.msn.com/?ocid=iehp
HKU\S-1-5-21-3458703977-1696724841-4032824128-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fb256a9f5ede9d0d0457429cd15dced0&text={searchTerms}
HKU\S-1-5-21-3458703977-1696724841-4032824128-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1432665994&z=cbf2669e55d48f2469efa39g1z4c2o7qbq6w0t6t8o&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432749536&z=7fd635951a9dab8547c3738g3z0c0o6m7zatbw8c5o&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432749536&z=7fd635951a9dab8547c3738g3z0c0o6m7zatbw8c5o&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432749536&z=7fd635951a9dab8547c3738g3z0c0o6m7zatbw8c5o&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432749536&z=7fd635951a9dab8547c3738g3z0c0o6m7zatbw8c5o&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3458703977-1696724841-4032824128-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184&ts=1432749576&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3458703977-1696724841-4032824128-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184&ts=1432749576&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3458703977-1696724841-4032824128-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184&ts=1432749576&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3458703977-1696724841-4032824128-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184&ts=1432749576&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3458703977-1696724841-4032824128-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184&ts=1432749576&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3458703977-1696724841-4032824128-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184&ts=1432749576&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3458703977-1696724841-4032824128-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184&ts=1432749576&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3458703977-1696724841-4032824128-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://www.oursurfing.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184&ts=1432749576&type=default&q={searchTerms}
BHO-x32: Edu App 1.0.0.7 -> {ebfbdd44-c0e0-4f63-a8e6-ee5f34765238} -> C:\Program Files (x86)\Edu App\EduAppbho.dll [2015-05-27] (Edu App)
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fb256a9f5ede9d0d0457429cd15dced0&text= <==== ATTENTION
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.oursurfing.com/?type=sc&ts=1432665994&z=cbf2669e55d48f2469efa39g1z4c2o7qbq6w0t6t8o&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184
StartMenuInternet: Google Chrome - C:\PROGRA~2\Google\Chrome\APPLIC~1\chrome.exe http://www.oursurfing.com/?type=sc&ts=1432749536&z=7fd635951a9dab8547c3738g3z0c0o6m7zatbw8c5o&from=cmi&uid=WDCXWD5000BEVT-22A0RT0_WD-WX91A11S0184S0184
OPR Extension: (Quick Searcher) - C:\Users\Probityy\AppData\Roaming\Opera Software\Opera Stable\Extensions\gbkjddnnlgmahpnjjkiolhoophlpibfn [2015-05-26]
R2 lozycegu; C:\Users\Probityy\AppData\Roaming\DBEAAEC8-1432665278-7D4C-9DB3-60EB69F9763A\nsp6AE0.tmp [301056 2015-05-28] () [File not signed]
2015-05-28 15:04 - 2015-05-28 15:04 - 00613255 _____ (CMI Limited) C:\Users\Probityy\AppData\Local\nsu663D.tmp
2015-05-28 14:57 - 2015-05-28 15:13 - 00000000 ____D () C:\Program Files (x86)\gmsd_re_256
2015-05-28 14:57 - 2015-05-28 14:57 - 00000000 ____D () C:\Users\Probityy\AppData\Local\gmsd_re_256
2015-05-28 07:12 - 2015-05-27 08:40 - 00048776 _____ (StdLib) C:\Windows\system32\Drivers\{848705a5-8a27-403e-9b59-732d0608bcbc}Gw64.sys
2015-05-27 21:06 - 2015-05-28 15:37 - 00000378 _____ () C:\Windows\Tasks\APSnotifierPP1.job
2015-05-27 21:06 - 2015-05-28 15:17 - 00002850 _____ () C:\Windows\System32\Tasks\APSnotifierPP1
2015-05-27 21:06 - 2015-05-28 15:17 - 00002848 _____ () C:\Windows\System32\Tasks\APSnotifierPP3
2015-05-27 21:06 - 2015-05-28 15:17 - 00002848 _____ () C:\Windows\System32\Tasks\APSnotifierPP2
2015-05-27 21:06 - 2015-05-28 15:17 - 00001049 _____ () C:\Users\Probityy\Desktop\AnyProtect.lnk
2015-05-27 21:06 - 2015-05-28 15:17 - 00000376 _____ () C:\Windows\Tasks\APSnotifierPP3.job
2015-05-27 21:06 - 2015-05-28 15:17 - 00000376 _____ () C:\Windows\Tasks\APSnotifierPP2.job
2015-05-27 21:06 - 2015-05-27 21:06 - 00000000 ____D () C:\Users\Probityy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup
2015-05-27 21:05 - 2015-05-27 21:06 - 00000000 ____D () C:\Program Files (x86)\AnyProtectEx
2015-05-27 21:05 - 2015-05-27 21:05 - 00613255 _____ (CMI Limited) C:\Users\Probityy\AppData\Local\nsxE58A.tmp
2015-05-27 21:05 - 2015-05-27 21:05 - 00000000 __SHD () C:\Users\Probityy\AppData\Roaming\AnyProtectEx
2015-05-27 21:01 - 2015-05-28 15:14 - 00000000 ____D () C:\Program Files (x86)\Edu App
2015-05-26 22:22 - 2015-05-27 21:00 - 00000000 ____D () C:\Program Files (x86)\gmsd_re_253
2015-05-26 22:22 - 2015-05-27 20:59 - 00000000 ____D () C:\Program Files (x86)\XTab
2015-05-26 22:22 - 2015-05-26 22:22 - 00000000 ____D () C:\Users\Все пользователи\IHProtectUpDate
2015-05-26 22:22 - 2015-05-26 22:22 - 00000000 ____D () C:\Users\Probityy\AppData\Local\gmsd_re_253
2015-05-26 22:22 - 2015-05-26 22:22 - 00000000 ____D () C:\ProgramData\IHProtectUpDate
2015-05-26 22:21 - 2015-05-26 22:21 - 00000000 ____D () C:\Users\Probityy\AppData\Roaming\oursurfing
2015-05-26 21:52 - 2015-05-26 21:52 - 00001103 _____ () C:\Users\Probityy\Desktop\Continue Live Installation.lnk
2015-05-26 21:48 - 2015-05-26 21:48 - 00000000 ____D () C:\Users\Все пользователи\Tencent
2015-05-26 21:48 - 2015-05-26 21:48 - 00000000 ____D () C:\Users\Probityy\AppData\Roaming\Tencent
2015-05-26 21:48 - 2015-05-26 21:48 - 00000000 ____D () C:\Users\Probityy\AppData\Local\globalUpdate
2015-05-26 21:48 - 2015-05-26 21:48 - 00000000 ____D () C:\ProgramData\Tencent
2015-05-26 21:48 - 2015-05-26 21:48 - 00000000 ____D () C:\Program Files (x86)\Tencent
2015-05-26 21:48 - 2015-05-26 21:48 - 00000000 ____D () C:\Program Files (x86)\globalUpdate
2015-05-26 21:48 - 2015-05-26 21:48 - 00000000 ____D () C:\Program Files (x86)\f2a26d36-71cb-463a-aaeb-92a4cad738ea
2015-05-26 21:46 - 2015-05-26 21:46 - 00000000 ____D () C:\Users\Все пользователи\WindowsMangerProtect
2015-05-26 21:46 - 2015-05-26 21:46 - 00000000 ____D () C:\ProgramData\WindowsMangerProtect
2015-05-26 21:46 - 2015-05-26 21:46 - 00000000 ____D () C:\Program Files (x86)\Crossbrowse
2015-05-26 21:44 - 2015-05-26 21:44 - 00002163 _____ () C:\Users\Public\Desktop\毒霸网址大全.lnk
2015-05-26 21:40 - 2015-05-26 21:48 - 00000000 __SHD () C:\KRECYCLE
2015-05-26 21:40 - 2015-05-26 21:47 - 00000000 ____D () C:\Users\Все пользователи\Kingsoft
2015-05-26 21:40 - 2015-05-26 21:47 - 00000000 ____D () C:\ProgramData\Kingsoft
2015-05-26 21:40 - 2015-05-26 21:40 - 00000000 ____D () C:\Users\Probityy\AppData\Roaming\Kingsoft
2015-05-26 21:40 - 2015-05-26 21:40 - 00000000 ____D () C:\Users\Probityy\AppData\Local\Kingsoft
2015-05-26 21:39 - 2015-05-26 21:45 - 00000000 ____D () C:\Program Files (x86)\kingsoft
2015-05-26 21:39 - 2015-05-26 21:39 - 00232776 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisknl64.sys
2015-05-26 21:39 - 2015-05-26 21:39 - 00232776 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisknl.sys
2015-05-26 21:39 - 2015-05-26 21:39 - 00114488 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetmxp.sys
2015-05-26 21:39 - 2015-05-26 21:39 - 00113464 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetm.sys
2015-05-26 21:39 - 2015-05-26 21:39 - 00109880 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetm64.sys
2015-05-26 21:39 - 2015-05-26 21:39 - 00080744 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksapi.sys
2015-05-26 21:39 - 2015-05-26 21:39 - 00056680 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksapi64.sys
2015-05-26 21:39 - 2015-05-26 21:39 - 00024472 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\bc.sys
2015-05-26 21:39 - 2015-05-26 21:39 - 00019352 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksskrpr.sys
2015-05-26 21:38 - 2015-05-26 21:38 - 00000000 ____D () C:\Program Files (x86)\Application Assistance
2015-05-26 21:34 - 2015-05-28 18:42 - 00000000 ____D () C:\Users\Probityy\AppData\Roaming\DBEAAEC8-1432665278-7D4C-9DB3-60EB69F9763A
2015-05-26 21:34 - 2015-05-26 21:34 - 00000000 ____D () C:\Users\Probityy\AppData\Roaming\VOPackage
2015-05-26 21:33 - 2015-05-26 21:33 - 00000118 ____H () C:\Program Files (x86)\WelcomeToPunto.bat
2015-05-26 21:33 - 2015-05-26 21:33 - 00000117 ____H () C:\Program Files (x86)\layouts.bat
2015-05-26 21:33 - 2015-05-26 21:33 - 00000115 ____H () C:\Program Files (x86)\diary.bat
2015-05-26 21:33 - 2015-05-26 21:33 - 00000112 ____H () C:\Program Files (x86)\ps.bat
2015-05-26 21:33 - 2015-02-04 14:35 - 01626424 ____H (ООО Яндекс) C:\Program Files (x86)\puntо.bаt.exe
2015-05-26 21:33 - 2015-02-04 14:35 - 00291128 ____H (ООО Яндекс) C:\Program Files (x86)\diаry.bаt.exe
2015-05-26 21:33 - 2015-02-04 14:35 - 00034104 ____H (ООО Яндекс) C:\Program Files (x86)\lаyоuts.bаt.exe
2015-05-26 21:33 - 2014-08-19 20:39 - 00812216 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
C:\Users\Probityy\AppData\Local\Temp\1553.exe
C:\Users\Probityy\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Probityy\AppData\Local\Temp\duba_1_209.exe
C:\Users\Probityy\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\Probityy\AppData\Local\Temp\pps-qq-19.exe
C:\Users\Probityy\AppData\Local\Temp\QQPCMgr_Setup.exe
C:\Users\Probityy\AppData\Local\Temp\sdf4402.exe
C:\Users\Probityy\AppData\Local\Temp\sdf4B90.exe
C:\Users\Probityy\AppData\Local\Temp\sdf6171.exe
C:\Users\Probityy\AppData\Local\Temp\super-ex-inst.exe
C:\Users\Probityy\AppData\Local\Temp\vuupc.exe
Task: {35496756-55B4-47B6-A72F-BEC06A41FCA3} - \Overwolf Updater Task No Task File <==== ATTENTION
Task: {50CAEC86-60E8-4D1A-881D-A71CA1CC80DE} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2015-05-28] (AnyProtect.com) <==== ATTENTION
Task: {676E8BE1-BEFF-49BD-B90C-34C6754C51E0} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2015-05-28] (AnyProtect.com) <==== ATTENTION
Task: {7B624EAF-BD00-43B3-BB90-C65B1FAB108A} - \Crossbrowse No Task File <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Богдан Осипенко]

сделал

[thyrex]

Что с проблемой?

[Богдан Осипенко]

На данный момент работает нормально,кажеться решил проблему,большое спасибо)
хотя нет,только что в хроме открылась вкладка и предлагает установить какую-то прогу,закрыть нереально,постоянно повторяет для закрития нажмите кнопку добавить

[thyrex]

Еще раз лог FRST.txt сделайте

[Богдан Осипенко]

готово

[thyrex]

Отключите все установленные расширения для браузеров и проверьте проблему

[Богдан Осипенко]

все работает отлично,спасибо)

[thyrex]

Теперь по одному включайте. Когда найдете проблемное, поведайте нам его имя, а само расширение удалите

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 15
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\google\chrome.bat - not-a-virus:AdWare.BAT.Clicker.af
  2. c:\program files (x86)\punto.bat - not-a-virus:AdWare.BAT.Clicker.af
  3. c:\program files (x86)\xtab\cmdshell.exe - not-a-virus:AdWare.Win32.SubTab.e
  4. c:\program files (x86)\xtab\hpnotify.exe - not-a-virus:AdWare.Win32.SearchProtect.so
  5. c:\program files (x86)\xtab\iewatchdog.dll - not-a-virus:AdWare.Win32.SubTab.e ( DrWEB: Adware.Mutabaha.120 )
  6. c:\program files (x86)\xtab\protectservice.exe - not-a-virus:AdWare.Win32.SubTab.e
  7. c:\program files (x86)\xtab\suptab.dll - not-a-virus:AdWare.Win32.SubTab.e