Бесконтрольная установка программ, беспредел в браузере...

[Антон Юрьевич]

Однажды совершил роковую ошибку - запустил exe файл, замаскировавшийся под архив. С тех пор не прекращается неконтролируемая установка разного "мусорного" софта, а также беспредел в браузере: открытие посторонних сайтов, рекламные баннеры, изменение стартовой страницы и т.д. В диспетчере задач наблюдается множество сомнительных процессов от имени пользователя. Самый подозрительный - rundll32.exe, после завершения вновь появляется через несколько секунд.
Проверкой Dr.Web Curelt находится много угроз (от 200-800), но на источник всех бед это, похоже, не влияет. Все повторяется - установки утилит, непонятные процессы, сайты, баннеры...
Спасибо за внимание!

[Info_bot]

Уважаемый(ая) Антон Юрьевич, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\windows\syswow64\rundll32.exe');
 TerminateProcessByName('C:\Program Files\cmdidx\cmdidx.exe');
 StopService('cmdidx');
 StopService('urhductproauctpro');
 QuarantineFileF('C:\Users\Радийчук\AppData\Local\Total Component', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\ProgramData\Airtostrong', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\ProgramData\caMyciloP', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\Program Files (x86)\ppt', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\Радийчук\AppData\Local\profitsaver', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\Радийчук\AppData\Local\SweetLabs App Platform', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('C:\Program Files\cmdidx\cmdidx.exe', '');
 QuarantineFile('C:\Users\D1FC~1\AppData\Local\Temp\0KrakenDevProps.dll', '');
 QuarantineFile('C:\Users\Радийчук\AppData\Local\Total Component\{71F63486-1021-D3F0-3FC5-4B722D11793C}\TotalComponent.dll', '');
 QuarantineFile('C:\ProgramData\Airtostrong\Airtostrong.exe', '');
 QuarantineFile('C:\ProgramData\ApplicationHosting\ApplicationHosting.exe', '');
 QuarantineFile('C:\ProgramData\caMyciloP\caMyciloP.exe', '');
 QuarantineFile('C:\Program Files (x86)\84E0CCC8-1452876550-11E3-B727-448A5BB7D86A\knsq73C0.tmp', '');
 QuarantineFile('C:\Users\Радийчук\AppData\Local\Toughcan.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\swsedrvr_vw_1_10_0_25.sys', '');
 QuarantineFile('C:\Program Files (x86)\ppt\Uninst.exe', '');
 QuarantineFile('C:\Users\Радийчук\AppData\Roaming\MyDesktop\qweeeCL.exe', '');
 QuarantineFile('C:\Users\Радийчук\AppData\Local\profitsaver\rft_sb.exe', '');
 QuarantineFile('C:\Users\Радийчук\AppData\Local\profitsaver\config.json', '');
 QuarantineFile('C:\Users\Радийчук\AppData\Local\Pokki\Engine\inspector', '');
 QuarantineFile('C:\Users\Радийчук\AppData\Local\Pokki\Engine\ServiceHostApp.exe', '');
 QuarantineFile('C:\Users\Радийчук\AppData\Local\SweetLabs App Platform\Engine\ServiceHostApp.exe', '');
 QuarantineFile('C:\ProgramData\caMyciloP\QvoCof.dll', '');
 QuarantineFile('C:\ProgramData\Tmp0x0x\P', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
 QuarantineFile('C:\Program Files\Sound+\Sound+.exe', '');
 QuarantineFile('C:\ProgramData\caMyciloP\LatNambam.dll', '');
 QuarantineFile('C:\Users\Радийчук\AppData\Local\Total Component\{71F63486-1021-D3F0-3FC5-4B722D11793C}\xysa.dll', '');
 QuarantineFile('C:\Users\Радийчук\AppData\Roaming\WindowsUpdater\Updater.exe', '');
 QuarantineFile('C:\Users\Радийчук\appdata\roaming\aspackage\aspackage.exe', '');
 DeleteFile('C:\Program Files\cmdidx\cmdidx.exe', '32');
 DeleteFile('C:\Users\D1FC~1\AppData\Local\Temp\0KrakenDevProps.dll', '32');
 DeleteFile('C:\Users\Радийчук\AppData\Local\Total Component\{71F63486-1021-D3F0-3FC5-4B722D11793C}\TotalComponent.dll', '32');
 DeleteFile('C:\ProgramData\Airtostrong\Airtostrong.exe', '32');
 DeleteFile('C:\ProgramData\ApplicationHosting\ApplicationHosting.exe', '32');
 DeleteFile('C:\ProgramData\caMyciloP\caMyciloP.exe', '32');
 DeleteFile('C:\Program Files (x86)\84E0CCC8-1452876550-11E3-B727-448A5BB7D86A\knsq73C0.tmp', '32');
 DeleteFile('C:\Users\Радийчук\AppData\Local\Toughcan.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\swsedrvr_vw_1_10_0_25.sys', '32');
 DeleteFile('C:\Program Files (x86)\ppt\Uninst.exe', '32');
 DeleteFile('C:\Users\Радийчук\AppData\Roaming\MyDesktop\qweeeCL.exe', '32');
 DeleteFile('C:\Users\Радийчук\AppData\Local\profitsaver\rft_sb.exe', '32');
 DeleteFile('C:\Users\Радийчук\AppData\Local\profitsaver\config.json', '32');
 DeleteFile('C:\Users\Радийчук\AppData\Local\Pokki\Engine\inspector', '32');
 DeleteFile('C:\Users\Радийчук\AppData\Local\Pokki\Engine\ServiceHostApp.exe', '32');
 DeleteFile('C:\Users\Радийчук\AppData\Local\SweetLabs App Platform\Engine\ServiceHostApp.exe', '32');
 DeleteFile('C:\ProgramData\caMyciloP\QvoCof.dll', '32');
 DeleteFile('C:\ProgramData\Tmp0x0x\P', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
 DeleteFile('C:\Program Files\Sound+\Sound+.exe', '32');
 DeleteFile('C:\ProgramData\caMyciloP\LatNambam.dll', '32');
 DeleteFile('C:\Users\Радийчук\AppData\Local\Total Component\{71F63486-1021-D3F0-3FC5-4B722D11793C}\xysa.dll', '32');
 DeleteFile('C:\Users\Радийчук\AppData\Roaming\WindowsUpdater\Updater.exe', '32');
 DeleteFile('C:\Users\Радийчук\appdata\roaming\aspackage\aspackage.exe', '32');
 DeleteService('cmdidx');
 DeleteService('Airtostrong');
 DeleteService('ApplicationHosting');
 DeleteService('caMyciloP');
 DeleteService('sywoderyzbt');
 DeleteService('urhductproauctpro');
 DeleteService('swsedrvr_vw_1_10_0_25');
 DeleteFileMask('C:\Program Files\cmdidx', '*', true);
 DeleteFileMask('C:\Users\Радийчук\AppData\Local\Total Component', '*', true);
 DeleteFileMask('C:\ProgramData\Airtostrong', '*', true);
 DeleteFileMask('C:\ProgramData\ApplicationHosting', '*', true);
 DeleteFileMask('C:\ProgramData\caMyciloP', '*', true);
 DeleteFileMask('C:\Program Files (x86)\ppt', '*', true);
 DeleteFileMask('C:\Users\Радийчук\AppData\Roaming\MyDesktop', '*', true);
 DeleteFileMask('C:\Users\Радийчук\AppData\Local\profitsaver', '*', true);
 DeleteFileMask('C:\Users\Радийчук\AppData\Local\Pokki', '*', true);
 DeleteFileMask('C:\Users\Радийчук\AppData\Local\SweetLabs App Platform', '*', true);
 DeleteFileMask('C:\ProgramData\Tmp0x0x', '*', true);
 DeleteFileMask('C:\Program Files\SpaceSoundPro', '*', true);
 DeleteFileMask('C:\Program Files\Sound+', '*', true);
 DeleteFileMask('C:\Users\Радийчук\AppData\Roaming\WindowsUpdater', '*', true);
 DeleteFileMask('C:\Users\Радийчук\appdata\roaming\aspackage', '*', true);
 DeleteDirectory('C:\Program Files\cmdidx');
 DeleteDirectory('C:\Users\Радийчук\AppData\Local\Total Component');
 DeleteDirectory('C:\ProgramData\Airtostrong');
 DeleteDirectory('C:\ProgramData\ApplicationHosting');
 DeleteDirectory('C:\ProgramData\caMyciloP');
 DeleteDirectory('C:\Program Files (x86)\ppt');
 DeleteDirectory('C:\Users\Радийчук\AppData\Roaming\MyDesktop');
 DeleteDirectory('C:\Users\Радийчук\AppData\Local\profitsaver');
 DeleteDirectory('C:\Users\Радийчук\AppData\Local\Pokki');
 DeleteDirectory('C:\Users\Радийчук\AppData\Local\SweetLabs App Platform');
 DeleteDirectory('C:\ProgramData\Tmp0x0x');
 DeleteDirectory('C:\Program Files\SpaceSoundPro');
 DeleteDirectory('C:\Program Files\Sound+');
 DeleteDirectory('C:\Users\Радийчук\AppData\Roaming\WindowsUpdater');
 DeleteDirectory('C:\Users\Радийчук\appdata\roaming\aspackage');
 ExecuteFile('schtasks.exe', '/delete /TN "Total Component" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Total Component2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'pcmgr');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MyDesktop');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'profitsaver');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #3');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SpaceSoundPro');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Sound+');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteRepair(23);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

[Антон Юрьевич]

[Vvvyg]

Установите в пункте меню "Настройки" (Settings) галочку "Сброс политик Chrome" .
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[Антон Юрьевич]

Установите в пункте меню "Настройки" (Settings) галочку "Сброс политик Chrome"

Этот пункт я понял как сброс настроек браузера Chrome: открыл меню Chrome в правом верхнем углу окна, выбрал "Настройки", нажал "Показать дополнительные настройки" в нижней части страницы, нажал кнопку "Сброс настроек" в соответствующем разделе, в открывшемся окне выбрал "Сбросить".

Проблем не наблюдается с момента первых процедур.

[Vvvyg]

Надо было не понимать по своему, а просто галочку поставить. Политики !# Настройки. Теперь ещё проверку надо сделать.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Антон Юрьевич]

а просто галочку поставить. Политики !# Настройки.

До меня не дошло, что это нужно делать в AdwCleaner.

Отчеты от Farbar Recovery Scan Tool прикрепляю. А к политикам Chrome не возвращаемся, так?

[Vvvyg]

Ничего с политиками не нужно делпть.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]2016-01-15 20:56 - 2016-01-15 20:56 - 00000000 ____D C:\Users\Радийчук\AppData\Roaming\ProductData
2016-01-15 20:55 - 2016-02-03 20:09 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-01-15 20:55 - 2016-02-03 20:09 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-01-15 20:55 - 2016-02-03 20:09 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
HKU\S-1-5-21-502138861-4141185858-4289939444-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQwNwdMMq3VnppwU-piDO6vTM3PO4-DfPo6jOW5sgYMQWY9CCX0e333HrVAu7XU1CUA49LrmxN-jos7AsMDBNgy1Cxuq0XytqOIfAea99OhyQ4ffnyH9CtwdgrVHdFx-H2HUw8ccMje4jVeVBLh7_MsasaK-_zvY,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-502138861-4141185858-4289939444-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BF20AD9A2-850A-4D33-832F-EE95457C73C3%7D&gp=820338
FF NewTab: C:\\ProgramData\\caMyciloPs\\ff.NT
FF DefaultSearchEngine: Поиск@Mail.Ru
FF SelectedSearchEngine: Поиск@Mail.Ru
FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7BA517C93B-8DF4-448F-8658-1EDE51DE1079%7D&gp=820338
FF Extension: Поиск@Mail.Ru - C:\Users\Радийчук\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-01-15]
CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQwNwdMMq3VnppwU-piDO6vTM3PO4-DfPo6jOW5sgYMQWY9CCX0e333HrVAu7XU1CUA4mzP8GgVM-yec_Pl-bTCpLPkJrMQ8t9icuAsAxjNjXDqiwZ9-poXIpzJ8vDRHbwtiQEtxciYq59krwVHqekouyrmcPiuo,
CHR StartupUrls: Default -> "hxxp://search.conduit.com/?ctid=CT3281675&SearchSource=48&CUI=UN23169536322639676&UM=2","hxxp://www.mysites123.com/?type=hp&ts=1452876961&z=451423a64899c7220a2cb58g7z8wcobb8m0qatdqfg&from=amt&uid=wdcxwd10ezex-21m2na0_wcc3f3800496f3800496","hxxp://www.yoursearching.com/?type=hp&ts=1453056260&z=790b6d1ca6fd134d197c778gezbw7c8e2waq8o5w8g&from=face&uid=WDCXWD10EZEX-21M2NA0_WCC3F3800496F3800496","search.mpc.am","hxxp://www.yoursearching.com/?type=hp&ts=1453647123&z=bcaa17f3eef5f1742076ac9gdzewdceqbz7mag4g7g&from=face&uid=WDCXWD10EZEX-21M2NA0_WCC3F3800496F3800496","hxxp://www.yoursearching.com/?type=hp&ts=1453819947&z=a6b2f53e09af3a6f3eda27fgfzfwfc0b4gct1t7z6m&from=face&uid=WDCXWD10EZEX-21M2NA0_WCC3F3800496F3800496","hxxp://www.yoursearching.com/?type=hp&ts=1454251949&z=cb9bc4706a55ab7b729ea6dg6z8w1z3ofwfg9t0w9g&from=face&uid=WDCXWD10EZEX-21M2NA0_WCC3F3800496F3800496"
CHR HKLM\...\Chrome\Extension: [fcgnigmofekcllgbiejhmigggmgehkip] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
2016-01-31 19:53 - 2016-02-02 20:53 - 00000000 ____D C:\ProgramData\2WdM2
2016-01-26 20:53 - 2016-01-26 20:53 - 00000000 ____D C:\Users\朽滂轺箨
2016-01-26 19:51 - 2016-02-03 20:17 - 00000000 ____D C:\ProgramData\kingsoft
2016-01-22 09:48 - 2016-01-22 10:04 - 00000000 __SHD C:\ProgramData\360Quarant
2016-01-22 09:48 - 2016-01-22 10:04 - 00000000 __SHD C:\$360Section
2016-01-22 00:33 - 2016-02-02 20:57 - 00000000 ____D C:\Program Files (x86)\360
2016-01-15 23:15 - 2016-01-15 23:15 - 00000000 ____D C:\Users\Радийчук\AppData\Local\kYrYHR.ctp
2016-01-15 22:55 - 2016-01-15 22:55 - 00000000 ____D C:\ProgramData\Airtostrongs
2016-01-15 22:55 - 2016-01-15 22:55 - 00000000 ____D C:\Program Files\Common Files\magvgr3m
2016-01-15 22:24 - 2016-01-15 22:24 - 00000000 ____D C:\Users\Радийчук\AppData\Local\Rush Virtual
2016-01-15 22:21 - 2016-01-18 23:56 - 00000000 ____D C:\Users\Все пользователи\MaNuWutmTBE
2016-01-15 22:21 - 2016-01-18 23:56 - 00000000 ____D C:\Users\Все пользователи\gdeRuFHh
2016-01-15 21:55 - 2016-01-15 21:55 - 00041472 _____ C:\Users\Радийчук\AppData\Local\Toughcan.dat
2016-01-15 21:55 - 2016-01-15 21:55 - 00000187 _____ C:\Users\Радийчук\AppData\Local\Toughcan.exe.config
2016-01-15 21:49 - 2016-01-15 21:48 - 00000967 _____ C:\Windows\system32\Drivers\etc\hp.bak
2016-01-15 20:55 - 2016-01-15 23:13 - 00000000 ____D C:\Program Files (x86)\IObit
2016-01-15 20:55 - 2016-01-15 20:55 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2016-01-15 20:55 - 2016-01-15 20:55 - 00000000 ____D C:\Users\Радийчук\AppData\Roaming\IObit
2016-01-15 20:55 - 2016-01-15 20:55 - 00000000 ____D C:\Users\Радийчук\AppData\LocalLow\IObit
2016-01-15 20:45 - 2016-01-18 23:56 - 00000000 ____D C:\Users\Радийчук\AppData\Local\Hostinstaller
2016-01-15 20:45 - 2016-01-15 20:45 - 00000000 ____D C:\Users\Радийчук\AppData\Roaming\MailProducts
2016-01-15 20:45 - 2016-01-15 20:45 - 00000000 ____D C:\Users\Public\Documents\GenieSoft
2016-01-15 20:44 - 2016-01-18 23:56 - 00000000 ____D C:\Users\Все пользователи\xIcAFRUUWoWnMUJ
2016-01-15 20:44 - 2016-01-18 23:56 - 00000000 ____D C:\Users\Все пользователи\viyvZGXhMsmhL
2016-01-15 20:44 - 2016-01-18 23:56 - 00000000 ____D C:\Users\Все пользователи\JkOusonmWijZ
FirewallRules: [{524CD395-03D4-4FC7-9473-D90A70B5A801}] => (Allow) C:\Users\Радийчук\AppData\Local\Temp\is-EQCO6.tmp\setup452.tmp
FirewallRules: [{D1C30792-A4CB-4B41-8389-3450159F5CEE}] => (Allow) C:\Users\Радийчук\AppData\Local\Temp\is-EQCO6.tmp\setup452.tmp
FirewallRules: [{541EEEE4-C676-4878-98D5-928490F91AD1}] => (Allow) C:\Users\Радийчук\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{0ECF833F-DC86-4151-9A2C-8D6FFC501C1F}] => (Allow) C:\Users\Радийчук\AppData\Local\Temp\setup_774.exe
FirewallRules: [{09FD1BC9-1887-4707-9F99-EDEBEEC78100}] => (Allow) C:\Users\Радийчук\AppData\Local\Temp\setup_774.exe
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделайте лог Check Browsers' LNK.

[Антон Юрьевич]

[Vvvyg]

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Радийчук\Desktop\Grand Theft Auto V.lnk"      -> ["C:\ProgramData\JkOusonmWijZ\kkgUPHsO3.bat"]
>>>  "C:\Users\Public\Desktop\City Car Driving. Домашняя версия.lnk"   -> ["C:\ProgramData\JkOusonmWijZ\kkgUPHsO3.bat"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Forward Development\City Car Driving. Домашняя версия\ Деактивация ключа City Car Driving. Домашняя версия.lnk"           -> ["C:\ProgramData\JkOusonmWijZ\kkgUPHsO3.bat"  =>> -deactivation]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Forward Development\City Car Driving. Домашняя версия\City Car Driving. Домашняя версия.lnk"          -> ["C:\ProgramData\JkOusonmWijZ\kkgUPHsO3.bat"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sid Meiers Civilization V Brave New World\Civilization V Launcher.lnk"  -> ["C:\ProgramData\JkOusonmWijZ\kkgUPHsO3.bat"]

Отчёт о работе прикрепите.

[Антон Юрьевич]

[Vvvyg]

Не удалось автоматически восстановить ярлыки на:
Grand Theft Auto V
City Car Driving. Домашняя версия
Forward Development\City Car Driving. Домашняя версия
Sid Meiers Civilization V Brave New World

Если нужны - вручную сделайте.

[Антон Юрьевич]

Нет проблем. Дальнейшие указания будут? Нужно ли деинсталлировать AdwCleaner?

[Vvvyg]

Желательно, чтобы потом с логами не путаться. Да и новая версия раз-два в месяц выходит.