Зловреды и активная реклама в браузерах.

[BeSoFF]

Добрый день!
Компьютер месяц использовался племянником. Dr web нашел 354 инфицированных файла.
Очистил, но проблема не исчезла. Активная реклама всплывающая и перенаправляющая на других сайтах в браузере.
Ошибки при загрузке системы - неизвестные мне файлы не найдены. К какому то ip адресу не может подключится (в автозапуске что то засело)....
Помогите пожалуйста!

PS Окно с вложением не открывается. Следующим постом вложу сделанные логи.

[Info_bot]

Уважаемый(ая) BeSoFF, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\Папа\appdata\roaming\nssm.exe');
 StopService('FinwarmSvc');
 StopService('netfilter2');
 StopService('4F9665C6E30ACEF1');
 QuarantineFileF('C:\Users\Папа\appdata\roaming\aspackage\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\папа\appdata\local\systemdir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('c:\users\Папа\appdata\roaming\nssm.exe', '');
 QuarantineFile('C:\Program Files (x86)\00000000-1450079836-0000-0000-50E54958296A\knsx692C.tmp', '');
 QuarantineFile('C:\Users\F6BD~1\AppData\Local\Temp\md1Byx\runner.exe', '');
 QuarantineFileF('C:\Program Files (x86)\IconRunner\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys', '');
 QuarantineFile('C:\Windows\TEMP\1E00AEB9.sys', '');
 QuarantineFile('C:\ProgramData\znOzSGwJB\BiCWPbNq0.bat', '');
 QuarantineFile('C:\Users\Папа\AppData\Local\AWMjszG\XZKddvFQ1.bat', '');
 QuarantineFile('C:\Users\Папа\AppData\Local\SystemDir\nethost.exe', '');
 QuarantineFile('C:\Users\Папа\appdata\roaming\svchost.exe', '');
 QuarantineFileF('C:\Users\Папа\AppData\Local\AWMjszG\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\programdata\znozsgwjb\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Папа\AppData\Roaming\privoxy\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\users\Папа\appdata\roaming\nssm.exe', '32');
 DeleteFile('C:\Program Files (x86)\00000000-1450079836-0000-0000-50E54958296A\knsx692C.tmp', '32');
 DeleteFile('C:\Users\F6BD~1\AppData\Local\Temp\md1Byx\runner.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\netfilter2.sys', '32');
 DeleteFile('C:\Windows\TEMP\1E00AEB9.sys', '32');
 DeleteFile('C:\ProgramData\znOzSGwJB\BiCWPbNq0.bat', '32');
 DeleteFile('C:\Users\Папа\AppData\Local\AWMjszG\XZKddvFQ1.bat', '32');
 DeleteFile('C:\Users\Папа\AppData\Local\SystemDir\nethost.exe', '32');
 DeleteFile('C:\Users\Папа\appdata\roaming\svchost.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
 DeleteService('clr_optimization_v1.02');
 DeleteService('denerore');
 DeleteService('FinwarmSvc');
 DeleteService('netfilter2');
 DeleteService('4F9665C6E30ACEF1');
 DeleteFileMask('C:\Users\Папа\AppData\Local\AWMjszG\', '*', true);
 DeleteFileMask('c:\programdata\znozsgwjb\', '*', true);
 DeleteFileMask('c:\users\папа\appdata\local\systemdir', '*', true);
 DeleteDirectory('C:\Users\Папа\AppData\Local\AWMjszG\');
 DeleteDirectory('c:\programdata\znozsgwjb\');
 DeleteDirectory('c:\users\папа\appdata\local\systemdir');
 DeleteDirectory('C:\Program Files (x86)\Tencent\'); 
 ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
 QuarantineFile('C:\Users\Папа\appdata\roaming\svchost.exe','');
 DeleteFile('C:\Users\Папа\appdata\roaming\svchost.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'IconRunner');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MyDesktop');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'wyldejskfw');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #1');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

[BeSoFF]

Благодарю за ответ!
1 Карантин 260336900B988A26DAB848958BEDAD2F [not-a-virus:RiskTool.Win64.BitCoinMiner.tb, not-a-virus:HEUR:AdWare.Win32.ConvertAd.heur ]
Карантин успешно загружен.
2 Скрипт AVZ Выполнил.
3 Файл quarantine.zip загрузил.
4 логи во вложении
5 лог Check Browsers' во вложении
6 C:\AdwCleaner\AdwCleaner[S1].txt. во вложении
PS при загрузке системы меньше ошибок. Реклама пока осталась.

[regist]

1) Логи сделаны версией 4.43. Скачайте актуальную версию AVZ: 4.45, обновите базы и переделайте логи.


2) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

Код:

C:\Users\Папа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk
C:\Users\Папа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\e199f16a88d8b750\Yandex.lnk
C:\Users\Папа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk
C:\Users\Папа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk
C:\Users\Папа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk
C:\Users\Папа\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Users\Папа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk
C:\Users\Папа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Orbitum\Orbitum.lnk
C:\Users\Папа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Kometa.lnk
C:\Users\Папа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kometa\Kometa.lnk
C:\Users\Папа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OrbitumUpdate.lnk
C:\Users\Папа\AppData\Roaming\Autodesk\AutoCAD 2013 - English\R19.0\enu\Recent\BrowseforPlotFilePlotDlg\1.pdf.lnk
C:\Users\Папа\AppData\Roaming\Autodesk\AutoCAD 2013 - English\R19.0\enu\Recent\BrowseforPlotFilePlotDlg\3.pdf.lnk
C:\Users\Папа\AppData\Roaming\Autodesk\AutoCAD 2013 - English\R19.0\enu\Recent\BrowseforPlotFilePlotDlg\4.pdf.lnk
C:\Users\Папа\AppData\Roaming\Autodesk\AutoCAD 2013 - English\R19.0\enu\Recent\BrowseforPlotFilePlotDlg\5.pdf.lnk
C:\Users\Папа\AppData\Roaming\Autodesk\AutoCAD 2013 - English\R19.0\enu\Recent\BrowseforPlotFilePlotDlg\каркасный дом-Model.pdf.lnk
C:\Users\Папа\AppData\Roaming\Autodesk\AutoCAD 2013 - English\R19.0\enu\Recent\Select File\для сына.dwg.lnk
C:\Users\Папа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk
C:\Users\Папа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\MediaGet.lnk
C:\Users\Папа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sound+ 1.0\Sound+.lnk
C:\Users\Папа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage\Configure.lnk
C:\Users\Папа\Desktop\Continue ExtraFeatures Installation.lnk
C:\Users\Папа\Desktop\GAMES.lnk
C:\Program Files (x86)\ Stranded_Deep_x64\info.url
C:\Users\Public\Desktop\ZaxarGameBrowser.lnk

3) - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

4) Логи сделаны версией 4.43. Скачайте актуальную версию AVZ: 4.45, обновите базы и переделайте логи.

[BeSoFF]

Интересно....
Выполнено. Логи во вложении.

ps заявка № 195261 - ноут который часто сотрудничает с с компьютером, который вы помогаете вылечить.

[regist]

privoxy - как понимаю вам не знакомо?

И ProxyServer = 127.0.0.1:8116 сами не прописывали?

- - - - -Добавлено - - - - -

+ сразу сделайте свежий лог AdwCleaner-а.

[BeSoFF]

Доброго времени суток.
privoxy - не знакомо.
IP сам не прописывал. Происхождение мне не известно.
лог AdwCleaner-а - во вложении.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\Папа\appdata\roaming\privoxy\privoxy.exe');
 QuarantineFile('C:\Users\Папа\AppData\Local\Yandex\yapin\YandexWorking.exe', '');
 QuarantineFile('C:\Users\Папа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk', '');
 QuarantineFile('C:\Users\Папа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\e199f16a88d8b750\Yandex.lnk', '');
 QuarantineFile('C:\Users\Папа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk', '');
 QuarantineFile('C:\Users\Папа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk', '');
 QuarantineFile('C:\Users\Папа\AppData\Local\AWMjszG\XZKddvFQ1.bat', '');
 QuarantineFile('C:\ProgramData\gPLERWkDbZRUg\RCbTLoRGwWg1.bat', '');
 QuarantineFile('C:\ProgramData\TUQmsvLrURdPb\BjGixRVcPZZ3.bat', '');
 QuarantineFileF('C:\Users\Папа\AppData\Local\AWMjszG', '*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\gPLERWkDbZRUg', '*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\TUQmsvLrURdPb', '*', true, '', 0, 0);
 DeleteFile('C:\Users\Папа\AppData\Local\AWMjszG\XZKddvFQ1.bat', '');
 DeleteFile('C:\ProgramData\gPLERWkDbZRUg\RCbTLoRGwWg1.bat', '');
 DeleteFile('C:\ProgramData\TUQmsvLrURdPb\BjGixRVcPZZ3.bat', '');
 DeleteFileMask('C:\Users\Папа\AppData\Local\AWMjszG', '*', true);
 DeleteFileMask('C:\ProgramData\gPLERWkDbZRUg', '*', true);
 DeleteFileMask('C:\ProgramData\TUQmsvLrURdPb', '*', true);
 DeleteDirectory('C:\Users\Папа\AppData\Local\AWMjszG');
 DeleteDirectory('C:\ProgramData\gPLERWkDbZRUg');
 DeleteDirectory('C:\ProgramData\TUQmsvLrURdPb');
 SetServiceStart('tsnethlpx64', 4);
 SetServiceStart('softaal', 4);
 SetServiceStart('privoxy', 4);
 StopService('tsnethlpx64');
 StopService('softaal');
 StopService('woforemu');
 StopService('privoxy');
 QuarantineFile('C:\Users\Папа\appdata\roaming\svchost.exe', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16908.217\softaal64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16908.217\TsNetHlpX64.sys', '');
 QuarantineFile('C:\Users\Папа\AppData\Local\Techitrax.exe', '');
 QuarantineFile('C:\Program Files\NicController\hotnic.exe', '');
 QuarantineFile('C:\Users\Папа\AppData\Roaming\privoxy\mgwz.dll', '');
 QuarantineFile('C:\Users\Папа\AppData\Roaming\privoxy\privoxy.exe', '');
 QuarantineFileF('C:\Users\Папа\AppData\Roaming\privoxy\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Папа\AppData\Roaming\privoxy\mgwz.dll', '32');
 DeleteFile('c:\users\Папа\appdata\roaming\privoxy\privoxy.exe', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16908.217\TsNetHlpX64.sys', '32');
 DeleteFile('C:\Users\Папа\appdata\roaming\svchost.exe', '32');
 DeleteService('tsnethlpx64');
 DeleteService('softaal');
 DeleteService('woforemu');
 DeleteService('privoxy');
 DeleteFileMask('C:\Program Files (x86)\Tencent\', '*', true);
 DeleteFileMask('C:\Users\Папа\AppData\Roaming\privoxy\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Tencent\');
 DeleteDirectory('C:\Users\Папа\AppData\Roaming\privoxy\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ApnTBMon');
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(22);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- - - - -Добавлено - - - - -

+

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

- - - - -Добавлено - - - - -

+

Код:

C:\Users\Папа\AppData\Local\Yandex\yapin\YandexWorking.exe

Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

[BeSoFF]

Карантин не удалось загрузить - Ошибка загрузки. Данный файл уже был загружен.
YandexWorking.exe zip архив с паролем virus и загрузил по ссылке вверху темы.

[regist]

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

[BeSoFF]

выполнено.
Вложить не получилось. вот ссылка на яндекс диск - https://yadi.sk/d/Axb2yzAtmeDVF
ps заметил двух левых пользователей, 1 китай иероглифы, 2 неизвестные иероглифы.
может тут зарылось? плюс есть некая пррограмма менеджер браузеров. удалить??

[regist]

плюс есть некая пррограмма менеджер браузеров. удалить??

если она вам не нужна, то деинсталируйте.

заметил двух левых пользователей, 1 китай иероглифы, 2 неизвестные иероглифы.

их тоже удалите ).
Лог uVS сейчас посмотрю.

- - - - -Добавлено - - - - -

Kometa - деинсталируйте.

Sound+ - это что за программа? Вам она знакома?
Video and Audio Plugin UBar - сами ставили?
Кнопка "Яндекс" на панели задач, IconRunner version 1.0 - сами ставили? Используете?
Если эти программы не используете, то деинсталируйте.

Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.86.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
delref %SystemDrive%\USERS\F6BD~1\APPDATA\LOCAL\TEMP\WINDOWSUPDATEKB12695__7428_IL581513.EXE
delref %SystemDrive%\USERS\ПАПА\APPDATA\LOCAL\KOMETA\APPLICATION\45.0.2454.103\DELEGATE_EXECUTE.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3192\NPQQPHONEMANAGEREXT.DLL
delall %SystemDrive%\USERS\ПАПА\APPDATA\LOCAL\KOMETA\APPLICATION\45.0.2454.103\DELEGATE_EXECUTE.EXE
zoo %SystemDrive%\PROGRAM FILES\SOUND+\SOUNDP.DLL
zoo %SystemDrive%\USERS\ПАПА\APPDATA\ROAMING\SVCHOST.EXE
bl 063895EAFC996EF7EE44A5C32F746BE3 3620968
delall %SystemDrive%\USERS\ПАПА\APPDATA\ROAMING\SVCHOST.EXE
delref %SystemDrive%\USERS\ПАПА\APPDATA\LOCAL\TECHITRAX.EXE
zoo %SystemDrive%\USERS\ПАПА\DOWNLOADS\ARK-SURVIVAL-EVOLVED-2015-ENG-ALPHATORRENT_ID4781698IDS1S.EXE
dirzoo %SystemDrive%\USERS\ПАПА\APPDATA\ROAMING\PRIVOXY
deldir %SystemDrive%\USERS\ПАПА\APPDATA\ROAMING\PRIVOXY
dirzooex %SystemDrive%\USERS\ПАПА\APPDATA\LOCAL\BROWSER REST\{DECF3752-7434-20AF-B71A-BF28FB68ECA9}
deldir %SystemDrive%\USERS\ПАПА\APPDATA\LOCAL\BROWSER REST\{DECF3752-7434-20AF-B71A-BF28FB68ECA9}
delref %SystemDrive%\TEMP\1.EXE
dirzoo %SystemDrive%\PROGRAMDATA\IILNXOMAEJLMBG
deldir %SystemDrive%\PROGRAMDATA\IILNXOMAEJLMBG
delall HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/
dirzoo %SystemDrive%\PROGRAMDATA\SZTLOYASZUVXAFX
deldir %SystemDrive%\PROGRAMDATA\SZTLOYASZUVXAFX
dirzoo %SystemDrive%\PROGRAMDATA\VQLUJHW
deldir %SystemDrive%\PROGRAMDATA\VQLUJHW
dirzoo %SystemDrive%\PROGRAMDATA\FDMWELWOVK
deldir %SystemDrive%\PROGRAMDATA\FDMWELWOVK
dirzoo %SystemDrive%\PROGRAMDATA\GPLERWKDBZRUG
deldir %SystemDrive%\PROGRAMDATA\GPLERWKDBZRUG
delall HTTP:\\54.148.148.252\ICON\TDS.PHP
dirzoo %SystemDrive%\PROGRAMDATA\OOUNKJX
deldir %SystemDrive%\PROGRAMDATA\OOUNKJX
dirzoo %SystemDrive%\USERS\ПАПА\APPDATA\LOCAL\AWMJSZG
deldir %SystemDrive%\USERS\ПАПА\APPDATA\LOCAL\AWMJSZG
dirzoo %SystemDrive%\PROGRAMDATA\NAKSVTJDVKMCH
deldirex %SystemDrive%\PROGRAMDATA\NAKSVTJDVKMCH
deldir %SystemDrive%\PROGRAMDATA\NAKSVTJDVKMCH
dirzoo %SystemDrive%\PROGRAMDATA\IIZZJAIGP
deldir %SystemDrive%\PROGRAMDATA\IIZZJAIGP
dirzoo %SystemDrive%\PROGRAMDATA\UJGNNDRKK
deldir %SystemDrive%\PROGRAMDATA\UJGNNDRKK
dirzoo %SystemDrive%\PROGRAMDATA\TUQMSVLRURDPB
deldir %SystemDrive%\PROGRAMDATA\TUQMSVLRURDPB
delall %SystemDrive%\USERS\\U041F\U0430\U043F\U0430\APPDATA\LOCAL\BROWSER REST\COMPONENT\BROWSER REST
zoo %SystemDrive%\USERS\ПАПА\DOCUMENTS\SUBNAUTICA_1239\SUBNAUTICA_DIRECTTORIFT_RUNTHISINSTEAD.BAT
czoo
restart

Сделайте свежий образ автозапуска.

+ Программы и расширения от Mail.ru и Yandex сами ставили?

[BeSoFF]

Kometa
Sound+
Video and Audio Plugin UBar
Менеджер браузеров
Данные программы штатным образом не удаляются. Прощу помочь их удалить через АВЗ.

Кнопка "Яндекс" на панели задач, IconRunner version 1.0 - удалил)

Маил ставил день назад. Более не нужен. Яндекс не ставил.
Чтобы было проще, давайте их та же через АВЗ удалим? Ломать не строить

Образ во вложении.
не вложить.
Выложил на яндекс диск. Извините. https://yadi.sk/d/AbvjtuFGmeeKq

[regist]

Данные программы штатным образом не удаляются.

а в чём проблема?

[BeSoFF]

При попытке удалить - системная Ошибка Error2 и все. Не удаляется.

[regist]

Browser Rest - деинсталируйте если получится.

Выполните скрипт в uVS

Код:

;uVS v3.86.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
uidel "C:\Users\Папа\AppData\Local\Kometa\Application\45.0.2454.103\Installer\setup.exe" --uninstall
uidel  C:\Program Files (x86)\spaceeplus\uninstall.exe
uidel C:\Program Files\UBar\UbarUninstaller.exe
delall %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\47.0.2526.80\RESOURCES\BOOKMARK_MANAGER\BOOKMARK MANAGER
delall HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B2910D6E1-53CF-46AD-8DB8-C21554A98CF2%7D&GP=801504
delall %SystemDrive%\USERS\ПАПА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\5.0.1_1\U0414\U043E\U043C\U0430\U0448\U043D\U044F\U044F \U0441\U0442\U0440\U0430\U043D\U0438\U0446\U0430 MAIL.RU
delall %SystemDrive%\USERS\ПАПА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI\5.0.1_1\U0412\U0438\U0437\U0443\U0430\U043B\U044C\U043D\U044B\U0435 \U0417\U0430\U043A\U043B\U0430\U0434\U043A\U0438 MAIL.RU
delall %SystemDrive%\USERS\ПАПА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_1\U041F\U043E\U0438\U0441\U043A MAIL.RU
delall %SystemDrive%\USERS\ПАПА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG\3.1.1.13_0\U0421\U043E\U0432\U0435\U0442\U043D\U0438\U043A \U042F\U043D\U0434\U0435\U043A\U0441.\U041C\U0430\U0440\U043A\U0435\U0442\U0430
uidel C:\Windows\system32\rundll32.exe "C:\Users\Папа\AppData\Local\Browser Rest\{DECF3752-7434-20AF-B71A-BF28FB68ECA9}\{D05E1828-12F5-434F-F0CD-C4BA1DA95B3B}.dll",#1
delref %SystemDrive%\USERS\F6BD~1\APPDATA\LOCAL\GOOGLE\DRIVE\USER_DEFAULT\APDFLLCKAAHABAFNDBHIEAHIGKJLHALF_LIVE.CRX
delref %SystemDrive%\USERS\ПАПА\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
deldir %SystemDrive%\USERS\ПАПА\APPDATA\LOCAL\YANDEX\BROWSERMANAGER
zoo %SystemDrive%\USERS\ПАПА\APPDATA\ROAMING\NSSM.EXE
restart

что с проблемой?

+ сделайте свежий образ автозапуска.

[BeSoFF]

Browser Rest при попытке удаления ошибка - не найден указанный модуль.

[regist]

http://nssm.cc/description вам эта программа знакома?

[BeSoFF]

нет. Но поставьте задачу и я разберусь)

- - - - -Добавлено - - - - -

Свежий образ автозапуска - https://yadi.sk/d/cL57x8ZemejAT

- - - - -Добавлено - - - - -

рекламы не наблюдается... Победа??? =)))