Рекламное ПО и навязчивый поисковик Yamdex [not-a-virus:Downloader.Win32.Agent.ebbb, not-a-virus:AdWare.Win32.Vopak.ast ]

[Severnaya]

После неудачно скачанной игры комп заразился огромным количеством различных рекламных ПО.
Поковырявшись целый день и поудаляв вручную n-ное количество программ, обнаружила, что не не удаляется CinemaPlus.
Она же появляется в расширениях Google Chrome и отвечает за постоянно выскакивающие рекламные окна.
Вроде деятельность ее я пресекла, но она все равно там. Крестраж какой-то.
И потом столкнулась с проблемой невозможности поменять поисковик по умолчанию.
Yamdex поставлен, видите ли, администратором.
Прошу помощи.

[Info_bot]

Уважаемый(ая) Severnaya, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Super Optimizer\SupOptLauncher.exe','');
 QuarantineFile('C:\Users\HP\local settings\application data\ExtensionInstaller_14\config.json','');
 QuarantineFile('C:\Users\HP\local settings\application data\ExtensionInstaller_14\extinst.exe','');
 QuarantineFile('C:\ProgramData\Service1104\Service1104.exe','');
 QuarantineFile('C:\Users\HP\AppData\Roaming\vhu3tSvqrBkUMnMwxd7Vz74X5.exe','');
 QuarantineFile('C:\Users\HP\AppData\Roaming\fvnXaIvOJTfwWyDjHHTtQCE.exe','');
 QuarantineFile('C:\ProgramData\TomorrowGames\TomorrowGames.exe','');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-7.exe','');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-6.exe','');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-5.exe','');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-4.exe','');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-3.exe','');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-1-7.exe','');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-10.exe','');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-11.exe','');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-1-6.exe','');
 QuarantineFile('C:\Program Files (x86)\Shop and Save Up\be4344f5-abab-4a71-8356-ec8d1e0eb34b-7.exe','');
 QuarantineFile('C:\Program Files (x86)\Shop and Save Up\be4344f5-abab-4a71-8356-ec8d1e0eb34b-6.exe','');
 QuarantineFile('C:\Program Files (x86)\Shop and Save Up\be4344f5-abab-4a71-8356-ec8d1e0eb34b-5.exe','');
 QuarantineFile('C:\Program Files (x86)\Shop and Save Up\be4344f5-abab-4a71-8356-ec8d1e0eb34b-4.exe','');
 QuarantineFile('C:\Program Files (x86)\Shop and Save Up\be4344f5-abab-4a71-8356-ec8d1e0eb34b-11.exe','');
 QuarantineFile('C:\Program Files (x86)\Shop and Save Up\be4344f5-abab-4a71-8356-ec8d1e0eb34b-1-6.exe','');
 QuarantineFile('C:\Users\HP\AppData\Local\2348\Updater.exe','');
 DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
 DelBHO('{b18906df-1dfa-4d50-8a1f-7d076a8c87b7}');
 QuarantineFile('C:\Program Files (x86)\Sale Clipper\Extensions\b18906df-1dfa-4d50-8a1f-7d076a8c87b7.dll','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
 SetServiceStart('innfd_1_10_0_14', 4);
 DeleteService('innfd_1_10_0_14');
 QuarantineFile('C:\Program Files (x86)\MiuiTab\ProtectService.exe','');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','');
 QuarantineFile('C:\Users\HP\AppData\Roaming\C387BEFB-1435495447-E111-B57C-28924A1F6E10\hnsyB191.tmp','');
 DeleteService('vicoqudu');
 DeleteService('globalUpdatem');
 DeleteService('globalUpdate');
 SetServiceStart('IHProtect Service', 4);
 DeleteService('IHProtect Service');
 QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','');
 QuarantineFile('C:\Program Files (x86)\MiuiTab\IeWatchDog.dll','');
 QuarantineFile('C:\Program Files (x86)\MiuiTab\BrowerWatchFF.dll','');
 QuarantineFile('C:\Program Files (x86)\MiuiTab\BrowerWatchCH.dll','');
 TerminateProcessByName('c:\program files (x86)\miuitab\protectservice.exe');
 QuarantineFile('c:\program files (x86)\miuitab\protectservice.exe','');
 TerminateProcessByName('c:\program files (x86)\maxcomputercleaner_v17.848\maxcomputercleaner_maintenance.exe');
 QuarantineFile('c:\program files (x86)\maxcomputercleaner_v17.848\maxcomputercleaner_maintenance.exe','');
 TerminateProcessByName('c:\program files (x86)\miuitab\hpnotify.exe');
 QuarantineFile('c:\program files (x86)\miuitab\hpnotify.exe','');
 TerminateProcessByName('c:\program files (x86)\miuitab\cmdshell.exe');
 QuarantineFile('c:\program files (x86)\miuitab\cmdshell.exe','');
 DeleteFile('c:\program files (x86)\miuitab\cmdshell.exe','32');
 DeleteFile('c:\program files (x86)\miuitab\hpnotify.exe','32');
 DeleteFile('c:\program files (x86)\maxcomputercleaner_v17.848\maxcomputercleaner_maintenance.exe','32');
 DeleteFile('c:\program files (x86)\miuitab\protectservice.exe','32');
 DeleteFile('C:\Program Files (x86)\MiuiTab\BrowerWatchCH.dll','32');
 DeleteFile('C:\Program Files (x86)\MiuiTab\BrowerWatchFF.dll','32');
 DeleteFile('C:\Program Files (x86)\MiuiTab\IeWatchDog.dll','32');
 DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
 DeleteFile('C:\Users\HP\AppData\Roaming\C387BEFB-1435495447-E111-B57C-28924A1F6E10\hnsyB191.tmp','32');
 DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
 DeleteFile('C:\Program Files (x86)\MiuiTab\ProtectService.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
 DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Users\HP\AppData\Local\Kometa\kometaup.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
 DeleteFile('C:\Users\HP\AppData\Roaming\eTranslator\eTranslator.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eTranslator Automatic Update','command');
 DeleteFile('C:\Program Files (x86)\Sale Clipper\Extensions\b18906df-1dfa-4d50-8a1f-7d076a8c87b7.dll','32');
 DeleteFile('C:\Users\HP\AppData\Local\2348\Updater.exe','32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
 DeleteFile('C:\Windows\Tasks\be4344f5-abab-4a71-8356-ec8d1e0eb34b-1-6.job','64');
 DeleteFile('C:\Program Files (x86)\Shop and Save Up\be4344f5-abab-4a71-8356-ec8d1e0eb34b-1-6.exe','32');
 DeleteFile('C:\Program Files (x86)\Shop and Save Up\be4344f5-abab-4a71-8356-ec8d1e0eb34b-1-7.exe','32');
 DeleteFile('C:\Program Files (x86)\Shop and Save Up\be4344f5-abab-4a71-8356-ec8d1e0eb34b-11.exe','32');
 DeleteFile('C:\Windows\Tasks\be4344f5-abab-4a71-8356-ec8d1e0eb34b-11.job','64');
 DeleteFile('C:\Windows\Tasks\be4344f5-abab-4a71-8356-ec8d1e0eb34b-1-7.job','64');
 DeleteFile('C:\Program Files (x86)\Shop and Save Up\be4344f5-abab-4a71-8356-ec8d1e0eb34b-4.exe','32');
 DeleteFile('C:\Program Files (x86)\Shop and Save Up\be4344f5-abab-4a71-8356-ec8d1e0eb34b-5.exe','32');
 DeleteFile('C:\Windows\Tasks\be4344f5-abab-4a71-8356-ec8d1e0eb34b-4.job','64');
 DeleteFile('C:\Windows\Tasks\be4344f5-abab-4a71-8356-ec8d1e0eb34b-5.job','64');
 DeleteFile('C:\Windows\Tasks\be4344f5-abab-4a71-8356-ec8d1e0eb34b-5_user.job','64');
 DeleteFile('C:\Program Files (x86)\Shop and Save Up\be4344f5-abab-4a71-8356-ec8d1e0eb34b-6.exe','32');
 DeleteFile('C:\Windows\Tasks\be4344f5-abab-4a71-8356-ec8d1e0eb34b-6.job','64');
 DeleteFile('C:\Windows\Tasks\be4344f5-abab-4a71-8356-ec8d1e0eb34b-7.job','64');
 DeleteFile('C:\Program Files (x86)\Shop and Save Up\be4344f5-abab-4a71-8356-ec8d1e0eb34b-7.exe','32');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-1-6.exe','32');
 DeleteFile('C:\Windows\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-1-6.job','64');
 DeleteFile('C:\Windows\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-1-7.job','64');
 DeleteFile('C:\Windows\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-10_user.job','64');
 DeleteFile('C:\Windows\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-11.job','64');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-11.exe','32');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-10.exe','32');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-1-7.exe','32');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-3.exe','32');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-4.exe','32');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-5.exe','32');
 DeleteFile('C:\Windows\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-5_user.job','64');
 DeleteFile('C:\Windows\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-5.job','64');
 DeleteFile('C:\Windows\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-4.job','64');
 DeleteFile('C:\Windows\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-3.job','64');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-6.exe','32');
 DeleteFile('C:\Windows\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-6.job','64');
 DeleteFile('C:\Windows\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-7.job','64');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-7.exe','32');
 DeleteFile('C:\ProgramData\TomorrowGames\TomorrowGames.exe','32');
 DeleteFile('C:\Windows\Tasks\DWCSYTTKQ1.job','64');
 DeleteFile('C:\Windows\Tasks\fvnXaIvOJTfwWyDjHHTtQCE.job','64');
 DeleteFile('C:\Users\HP\AppData\Roaming\fvnXaIvOJTfwWyDjHHTtQCE.exe','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','64');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','64');
 DeleteFile('C:\Windows\Tasks\vhu3tSvqrBkUMnMwxd7Vz74X5.job','64');
 DeleteFile('C:\Users\HP\AppData\Roaming\vhu3tSvqrBkUMnMwxd7Vz74X5.exe','32');
 DeleteFile('C:\ProgramData\Service1104\Service1104.exe','32');
 DeleteFile('C:\Windows\Tasks\YIKFBVICXVDILSIW.job','64');
 DeleteFile('C:\Windows\system32\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-1-6','64');
 DeleteFile('C:\Windows\system32\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-1-7','64');
 DeleteFile('C:\Windows\system32\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-10_user','64');
 DeleteFile('C:\Windows\system32\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-11','64');
 DeleteFile('C:\Windows\system32\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-3','64');
 DeleteFile('C:\Windows\system32\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-4','64');
 DeleteFile('C:\Windows\system32\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-5','64');
 DeleteFile('C:\Windows\system32\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-5_user','64');
 DeleteFile('C:\Windows\system32\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-6','64');
 DeleteFile('C:\Windows\system32\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-7','64');
 DeleteFile('C:\Windows\system32\Tasks\DWCSYTTKQ1','64');
 DeleteFile('C:\Windows\system32\Tasks\ExtensionInstallerX_14','64');
 DeleteFile('C:\Windows\system32\Tasks\fvnXaIvOJTfwWyDjHHTtQCE','64');
 DeleteFile('C:\Users\HP\local settings\application data\ExtensionInstaller_14\extinst.exe','32');
 DeleteFile('C:\Users\HP\local settings\application data\ExtensionInstaller_14\config.json','32');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
 DeleteFile('C:\Windows\system32\Tasks\Super Optimizer Schedule','64');
 DeleteFile('C:\Windows\system32\Tasks\vhu3tSvqrBkUMnMwxd7Vz74X5','64');
 DeleteFile('C:\Windows\system32\Tasks\YIKFBVICXVDILSIW','64');
 DeleteFile('C:\Program Files (x86)\Super Optimizer\SupOptLauncher.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Сделайте новые логи по правилам

[Severnaya]

Спасибо.

[thyrex]

Сделайте лог полного сканирования МВАМ

[Severnaya]

Лог полного сканирования.

[thyrex]

Удалите в МВАМ все, кроме

Код:

Risktool.CHP, C:\Users\HP\AppData\Local\Beeline Network Manager\updater\chp.exe, , [4298338d95f549edd94b676e759058a8],

[Severnaya]

Спасибо за помощь, CinemaPlus удалился.
Но yamdex остался, и google все равно не дает изменить поисковик по умолчанию, ссылаясь на то, что параметр установлен администратором.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Severnaya]

Сканирование

[thyrex]

Лог FRST.txt где?

[Severnaya]

а про этот отчет забыла

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010016] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1435496321&z=dbcf4a9a8eb61f488762004g2z5caw6z6t7q6cfg5t&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1435496321&z=dbcf4a9a8eb61f488762004g2z5caw6z6t7q6cfg5t&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1435496241&z=c8086ae003230760473d70dgfz8ccwazatfq5oac1t&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1435496321&z=dbcf4a9a8eb61f488762004g2z5caw6z6t7q6cfg5t&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1435496321&z=dbcf4a9a8eb61f488762004g2z5caw6z6t7q6cfg5t&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1435496241&z=c8086ae003230760473d70dgfz8ccwazatfq5oac1t&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKU\S-1-5-21-1996195812-3820578319-3973565429-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1435496321&z=dbcf4a9a8eb61f488762004g2z5caw6z6t7q6cfg5t&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&q={searchTerms}
HKU\S-1-5-21-1996195812-3820578319-3973565429-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1435496321&z=dbcf4a9a8eb61f488762004g2z5caw6z6t7q6cfg5t&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&q={searchTerms}
HKU\S-1-5-21-1996195812-3820578319-3973565429-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1435496321&z=dbcf4a9a8eb61f488762004g2z5caw6z6t7q6cfg5t&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9
HKU\S-1-5-21-1996195812-3820578319-3973565429-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1435496321&z=dbcf4a9a8eb61f488762004g2z5caw6z6t7q6cfg5t&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1435496241&z=c8086ae003230760473d70dgfz8ccwazatfq5oac1t&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1435496241&z=c8086ae003230760473d70dgfz8ccwazatfq5oac1t&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1996195812-3820578319-3973565429-1001 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&ts=1435496393&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1996195812-3820578319-3973565429-1001 -> 7BEBFC6D1C137E6A6A9B58143975C0B9 URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&ts=1435496393&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1996195812-3820578319-3973565429-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&ts=1435496393&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1996195812-3820578319-3973565429-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&ts=1435496393&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1996195812-3820578319-3973565429-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&ts=1435496393&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1996195812-3820578319-3973565429-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&ts=1435496393&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1996195812-3820578319-3973565429-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&ts=1435496393&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1996195812-3820578319-3973565429-1001 -> {80FAB772-3E3C-4E05-B7B8-A2B765140856} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&ts=1435496393&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1996195812-3820578319-3973565429-1001 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&ts=1435496393&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1996195812-3820578319-3973565429-1001 -> {d43b3890-80c7-4010-a95d-1e77b5924dc3} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&ts=1435496393&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1996195812-3820578319-3973565429-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&ts=1435496393&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1996195812-3820578319-3973565429-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9&ts=1435496393&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1435496241&z=c8086ae003230760473d70dgfz8ccwazatfq5oac1t&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9
FF NewTab: hxxp://www.mystartsearch.com/newtab/?type=nt&ts=1435496241&z=c8086ae003230760473d70dgfz8ccwazatfq5oac1t&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9
FF DefaultSearchEngine: mystartsearch
FF SelectedSearchEngine: mystartsearch
FF Homepage: hxxp://www.mystartsearch.com/?type=hppp&ts=1435496321&z=dbcf4a9a8eb61f488762004g2z5caw6z6t7q6cfg5t&from=cmi&uid=ST500LT012-9WS142_W0V0Z3L9
FF Extension: CinemaPlus-4.5vV27.06 - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-06-28]
FF Extension: Shop and Save Up - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-06-28]
FF Extension: QuickSearch - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-06-28]
FF Extension: Универсальный перевод для FireFox - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-06-28]
CHR Extension: (CinemaPlus-4.5vV27.06) - C:\Users\HP\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-06-28]
2015-06-28 16:03 - 2015-06-28 16:03 - 00000000 __SHD C:\Users\HP\AppData\Roaming\AnyProtectEx
2015-06-28 16:03 - 2015-06-28 16:02 - 00613255 _____ (CMI Limited) C:\Users\HP\AppData\Local\nsv9152.tmp
2015-06-28 16:01 - 2015-06-28 21:38 - 00000000 ____D C:\Users\HP\AppData\Roaming\TSearch
2015-06-28 16:01 - 2015-06-28 21:20 - 00000000 ____D C:\Program Files (x86)\Shop and Save Up
2015-06-28 16:01 - 2015-06-28 21:20 - 00000000 ____D C:\Program Files (x86)\d9102dd9-5044-493c-994b-d2ad86f1bb69
2015-06-28 16:00 - 2015-06-28 16:00 - 00000000 ____D C:\Users\Все пользователи\IHProtectUpDate
2015-06-28 16:00 - 2015-06-28 16:00 - 00000000 ____D C:\ProgramData\IHProtectUpDate
2015-06-28 15:59 - 2015-06-30 14:53 - 00000000 ____D C:\Program Files (x86)\MiuiTab
2015-06-28 15:59 - 2015-06-28 21:36 - 00000000 ____D C:\Program Files (x86)\gmsd_ru_005010016
2015-06-28 15:59 - 2015-06-28 15:59 - 00000000 ____D C:\Program Files (x86)\9e26a4e8-be3e-408f-8913-dcec5362aede
2015-06-28 15:58 - 2015-06-29 15:58 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2015-06-28 15:58 - 2015-06-28 15:58 - 00000000 ____D C:\Users\HP\AppData\Local\globalUpdate
2015-06-28 15:58 - 2015-06-28 15:58 - 00000000 ____D C:\Users\HP\AppData\Local\2348
2015-06-28 15:58 - 2015-06-28 15:58 - 00000000 ____D C:\Program Files (x86)\globalUpdate
2015-06-28 15:57 - 2015-06-29 13:22 - 00000000 ____D C:\Users\Все пользователи\MailUpdate
2015-06-28 15:57 - 2015-06-29 13:22 - 00000000 ____D C:\ProgramData\MailUpdate
2015-06-28 15:57 - 2015-06-28 21:51 - 00000000 ____D C:\Users\HP\AppData\Local\SmartWeb
2015-06-28 15:57 - 2015-06-28 19:34 - 00000000 ____D C:\Program Files (x86)\MaxComputerCleaner_v17.848
2015-06-28 15:57 - 2015-06-28 15:58 - 00000000 ____D C:\Program Files (x86)\MaxComputerCleaner
2015-06-28 15:57 - 2015-06-28 15:57 - 00000008 _____ C:\END
2015-06-28 15:57 - 2015-06-28 15:57 - 00000000 ____D C:\Users\HP\AppData\Roaming\MailUpdate
2015-06-28 15:56 - 2015-06-28 15:56 - 00000000 ____D C:\Program Files (x86)\Infonaut_1.10.0.14
2015-06-28 15:47 - 2015-06-28 21:40 - 00000000 ____D C:\Users\HP\AppData\Local\Kometa
2015-06-28 15:47 - 2015-06-28 18:52 - 00000000 ____D C:\Users\HP\AppData\Local\C387BEFB-1435506452-E111-B57C-28924A1F6E10
2015-06-28 15:47 - 2015-06-28 15:47 - 00000000 ____D C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Панель запуска браузера Комета
2015-06-28 15:44 - 2015-06-28 21:43 - 00000000 ____D C:\Program Files (x86)\Torrent Search
2015-06-28 15:44 - 2015-06-28 18:24 - 00000000 ____D C:\Users\HP\AppData\Roaming\C387BEFB-1435495447-E111-B57C-28924A1F6E10
2015-06-28 15:44 - 2015-06-28 15:44 - 00000000 ____D C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage
2015-06-28 15:43 - 2015-06-30 02:59 - 00000000 ____D C:\Program Files (x86)\Zaxar
2015-06-28 15:43 - 2015-06-28 15:43 - 00000000 ____D C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser
2015-06-28 15:42 - 2015-06-30 02:59 - 00000000 ____D C:\Users\HP\AppData\Local\ExtensionInstaller_14
2015-06-28 15:34 - 2015-06-28 15:34 - 00000000 ____D C:\Users\HP\Documents\Super Optimizer
2015-06-28 15:33 - 2015-06-28 15:33 - 00000000 ____D C:\Users\HP\AppData\Roaming\Super Optimizer
2015-06-28 15:28 - 2015-06-28 15:57 - 00000000 ____D C:\Program Files (x86)\Super Optimizer
2015-06-28 15:27 - 2015-06-28 15:27 - 00000152 ____H C:\Users\HP\AppData\Local\BrowserManager.bat
2015-06-28 15:27 - 2015-06-28 15:27 - 00000106 ____H C:\firefox.bat
2015-06-28 15:27 - 2015-06-01 21:07 - 00815312 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2015-06-28 15:27 - 2015-04-28 21:17 - 00376944 ____H (Mozilla Corporation) C:\firеfох.bаt.exe
2015-06-28 15:27 - 2015-04-01 20:07 - 01427752 ____H (Yandex LLC) C:\Users\HP\AppData\Local\ВrоwsеrМаnаgеr.bаt.exe
2015-06-24 18:29 - 2015-06-24 18:29 - 00000224 _____ C:\Windows\system32\cpuminer-conf.json
2015-04-19 15:20 - 2015-04-19 15:20 - 0005872 _____ () C:\Users\HP\AppData\Roaming\fvnXaIvOJTfwWyDjHHTtQCE
2015-04-14 19:28 - 2015-04-14 19:28 - 0004387 _____ () C:\Users\HP\AppData\Roaming\vhu3tSvqrBkUMnMwxd7Vz74X5
C:\Users\HP\AppData\Local\Temp\1361.exe
C:\Users\HP\AppData\Local\Temp\2139.exe
C:\Users\HP\AppData\Local\Temp\58CA.exe
C:\Users\HP\AppData\Local\Temp\amigo_setup.exe
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Severnaya]

логи

[thyrex]

Проблема решена?

[Severnaya]

Проблема решена.
Yamdex побежден. Поисковик mail'а с позором выгнан.
Большое спасибо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 15
• В ходе лечения вредоносные программы в карантинах не обнаружены