Junior Member (OID)
Вес репутации
30
Ежедневно запускается установка посторонних программ без каких-либо запросов [Trojan-Downloader.MSIL.Crypted.aul
]
Вечером запускается установка таких программ, как Wajam, Advanced PC Care, некая Asu, компоненты mail.ru и прочие нежелательные программы. Время от времени их список меняется, но перечисленное выше устанавливается всегда и в первую очередь. Как правило это происходит в фоновом режиме, когда я работаю за ПК, я не вижу никаких признаков установки, лишь позже на панели задач появляются окна инсталлеров. Уже долгое время пытаюсь удалить их и через Программы и компоненты, и через SpyHunter (который каждый раз обнаруживает угрозы, удаляет их, но это не решает проблему), вручную чищу папки Temp и т.д.; проверяла Планировщик заданий, Автозапуск - ничего подозрительного не заметила. Всегда стараюсь следить за тем, что устанавливаю, но вот теперь не знаю, как избавиться от этих программ, очень мешают работе. Надеюсь на вашу помощь!
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Anastasia Volkova , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ :
Код:
begin
QuarantineFile('C:\Users\Anastasia Volkova\AppData\Roaming\WindowsUpdater\Updater.exe', '');
DeleteFile('C:\ProgramData\caMyciloP\Mateco.dll', '32');
DeleteFile('C:\WINDOWS\Tasks\temp_edb10679-ada6-4862-84b4-29aaa7fe43b9-10_user.job', '32');
DeleteFile('C:\Users\Anastasia Volkova\AppData\Roaming\WindowsUpdater\Updater.exe', '32');
DeleteService('MPCKpt');
DeleteService('TS888x64');
DeleteService('QMUdisk');
DeleteService('zutuzuni');
DeleteService('zigipyro');
DeleteService('zejytose');
DeleteService('wucotusy');
DeleteService('visydyduzbt');
DeleteService('vicoqudu');
DeleteService('updntedown');
DeleteService('Updater.Mail.Ru');
DeleteService('SSFK');
DeleteService('pomifygyzbt');
DeleteService('noneqipyzbt');
DeleteService('mydoteqizbt');
DeleteService('Medlight');
DeleteService('lelugytizbt');
DeleteService('kyjiziwy');
DeleteService('jizyhicizbt');
DeleteService('hyhytuxyzbt');
DeleteService('caMyciloP');
DeleteFileMask('C:\Users\Anastasia Volkova\AppData\Roaming\WindowsUpdater', '*', true);
DeleteDirectory('C:\Users\Anastasia Volkova\AppData\Roaming\WindowsUpdater');
DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\WindowsUpdater" /F', 0, 15000, true);
DelCLSID('{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'IconRunner');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'LightGate');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'mbot_ru_014010240');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Update');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upmbot_ru_014010240.exe');
ClearHostsFile;
ExecuteSysClean;
ExecuteRepair(23);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode) .
Junior Member (OID)
Вес репутации
30
Удалите всё найденное в AdwCleaner , дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Junior Member (OID)
Вес репутации
30
Добавила [C1], а так же [C2] - тот же отчет, только после повторной процедуры (я еще раз сделала анализ и еще раз провела удаление). Записи браузера и некоторые службы, как можно заметить, даже после первой чистки и перезагрузки остались
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
() C:\ProgramData\caMyciloP\caMyciloP.exe
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [HomePageHelper] => c:\programdata\homepage.exe
AppInit_DLLs: C:\ProgramData\caMyciloP\Jaytech.dll => C:\ProgramData\caMyciloP\Jaytech.dll [805376 2016-02-23] ()
AppInit_DLLs-x32: C:\ProgramData\caMyciloP\Stim-Ex.dll => C:\ProgramData\caMyciloP\Stim-Ex.dll [257536 2016-02-23] ()
HKU\S-1-5-21-28071220-2894463185-2018477344-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQ1HYHaREdMfD8hktywnLSAwqFteJ4e8_P7gw6_IkUWtx99Ik2t9nQRCb7Eep_7ut_qWeOQx92k5w3jxhlcmNY1DhZT_mfOaphgNuNJxdJJf_lyXBlhFEmMOqWPCRimAuMYACj-bRWDrQ0OIEOlpTHFQBKJGlAM0,&q={searchTerms}
HKU\S-1-5-21-28071220-2894463185-2018477344-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQ1HYHaREdMfD8hktywnLSAwqFteJ4e8_P7gw6_IkUWtx99Ik2t9nQRCb7Eep_7ut_qlKZGy5EAOsgcLPGepdbzIZfzmigmGjsTRXsiuGB0Wx9oywbJY4s_8wqFPHpLOcYpvj2TriBcaSl60COob3Uveou91u2eA,
HKU\S-1-5-21-28071220-2894463185-2018477344-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQ1HYHaREdMfD8hktywnLSAwqFteJ4e8_P7gw6_IkUWtx99Ik2t9nQRCb7Eep_7ut_qWeOQx92k5w3jxhlcmNY1DhZT_mfOaphgNuNJxdJJf_lyXBlhFEmMOqWPCRimAuMYACj-bRWDrQ0OIEOlpTHFQBKJGlAM0,&q={searchTerms}
HKU\S-1-5-21-28071220-2894463185-2018477344-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQ1HYHaREdMfD8hktywnLSAwqFteJ4e8_P7gw6_IkUWtx99Ik2t9nQRCb7Eep_7ut_qWeOQx92k5w3jxhlcmNY1DhZT_mfOaphgNuNJxdJJf_lyXBlhFEmMOqWPCRimAuMYACj-bRWDrQ0OIEOlpTHFQBKJGlAM0,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQ1HYHaREdMfD8hktywnLSAwqFteJ4e8_P7gw6_IkUWtx99Ik2t9nQRCb7Eep_7ut_qWeOQx92k5w3jxhlcmNY1DhZT_mfOaphgNuNJxdJJf_lyXBlhFEmMOqWPCRimAuMYACj-bRWDrQ0OIEOlpTHFQBKJGlAM0,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28071220-2894463185-2018477344-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQ1HYHaREdMfD8hktywnLSAwqFteJ4e8_P7gw6_IkUWtx99Ik2t9nQRCb7Eep_7ut_qWeOQx92k5w3jxhlcmNY1DhZT_mfOaphgNuNJxdJJf_lyXBlhFEmMOqWPCRimAuMYACj-bRWDrQ0OIEOlpTHFQBKJGlAM0,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28071220-2894463185-2018477344-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B2A30685B-8E5D-46E2-ACAE-C43413787B90%7D&gp=789235
SearchScopes: HKU\S-1-5-21-28071220-2894463185-2018477344-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQ1HYHaREdMfD8hktywnLSAwqFteJ4e8_P7gw6_IkUWtx99Ik2t9nQRCb7Eep_7ut_qWeOQx92k5w3jxhlcmNY1DhZT_mfOaphgNuNJxdJJf_lyXBlhFEmMOqWPCRimAuMYACj-bRWDrQ0OIEOlpTHFQBKJGlAM0,&q={searchTerms}
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HomePage: Default -> mail.ru/cnt/11956636
CHR StartupUrls: Default -> "hxxp://www.google.ru/","hxxp://mail.ru/cnt/10445?gp=newcustom14","hxxp://vremenu.ru/?utm_content=42020c23a14b2c037c968835832a4987&utm_source=startpm&utm_term=0D33D2DEFFACF1392FA53C2DF551D598","hxxp://www.google.com/","hxxp://mail.ru/cnt/10445?gp=789185"
CHR HKLM\...\Chrome\Extension: [fcgnigmofekcllgbiejhmigggmgehkip] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fcimjkehglmijlhnpbmjbpoiamjiegod] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
R2 caMyciloP; C:\ProgramData\\caMyciloP\\caMyciloP.exe [528384 2016-02-23] () [File not signed]
S2 GoogleChromeUpService; C:\ProgramData\service.exe /s GoogleChromeUpService /uid:51477 /local:br [X]
2016-02-23 13:52 - 2016-02-23 13:52 - 00002397 _____ C:\WINDOWS\SysWOW64\findit.xml
2016-02-23 13:52 - 2016-02-23 13:52 - 00000000 ____D C:\Users\Все пользователи\caMyciloPs
2016-02-23 13:51 - 2016-02-23 13:56 - 00000000 ____D C:\ProgramData\caMyciloP
2016-02-23 13:55 - 2015-07-26 21:08 - 00000790 _____ C:\WINDOWS\system32\Drivers\etc\hosts.ics
ShortcutWithArgument: C:\Users\Anastasia Volkova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Anastasia Volkova\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Anastasia Volkova\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Anastasia Volkova\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\SpaceSoundPro" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\WinCheck" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\ QQPCTray" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\gmsd_ru_005010001" /f
Reg: reg delete "HKU\S-1-5-21-28071220-2894463185-2018477344-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\kometaup" /f
Reg: reg delete "HKU\S-1-5-21-28071220-2894463185-2018477344-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\amigo" /f
Reg: reg delete "HKU\S-1-5-21-28071220-2894463185-2018477344-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\mailruhomesearchvbm" /f
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры , запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.
Junior Member (OID)
Вес репутации
30
Пожалуйста.
Поисковая система Хрома по-прежнему после перезагрузки меняется.
Повторные логи FRST сделайте, без галочки "Shortcut.txt".
Junior Member (OID)
Вес репутации
30
Торрент-клиент µTorrent левый. Удалите, потом меняйте домашнюю страницу и поисковую систему.
Junior Member (OID)
Вес репутации
30
Ситуация не изменилась. В настройках браузера изменение поисковой системы ничего не меняет - Websearch все равно остается. Сайт поиска: http://search.sidecubes.com/
Junior Member (OID)
Вес репутации
30
Вложения
Удалите SpyHunter, это бесполезная программа. Обзаведитесь потом каким-либо нормальным антивирусом.
Подцепили новое уже после последнего лога FRST
Выполните скрипт в uVS:
Код:
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
delref %SystemDrive%\PROGRAMDATA\\CAMYCILOP\CAMYCILOP.EXE
delref %SystemDrive%\PROGRAMDATA\\CAMYCILOP\\CAMYCILOP.EXE
; C:\PROGRAMDATA\SERFEV\SERFEV.EXE
addsgn 1AEB489A5583338CF42BFB3A8837075145CBFC9C8859FB8FC4C32D4B13D671B3561F2BDB7D559DCA166473DE461610A308D78273BD07F32C2D2ECC26C306E29B 8 PUP.Optional.Linkury.ShrtCln [MBAM]
zoo %SystemDrive%\PROGRAMDATA\SERFEV\SERFEV.EXE
chklst
delvir
deldir %SystemDrive%\PROGRAMDATA\SERFEV
delref HTTP://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRYEQQAO2TXTGPTBOXPBNEFYXTYM6MATBQ1HYHAREDMFD8HKTYWNLSAWQFTEJ4E8_P7GW6_IKUWTX99IK2T9NQRCB7EEP_7UT_QWEOQX92K5W3JXHLCMNY1DHZT_MFOAPHGNUNJXDJJF_LYXBLHFEMMOQWPCRIMAUMYACJ-BRWDRQ0OIEOLP
delref HTTP:\\54.148.148.252\ICON\TDS.PHP
zoo C:\PROGRAM FILES\BITTORRENT\BIN\C1D8B066-0A59-4964-B0C5-E02AD4A9C877\XTC.EXE
delall C:\PROGRAM FILES\BITTORRENT\BIN\C1D8B066-0A59-4964-B0C5-E02AD4A9C877\XTC.EXE
deldir %SystemDrive%\PROGRAM FILES\BITTORRENT\BIN\C1D8B066-0A59-4964-B0C5-E02AD4A9C877
del %SystemDrive%\USERS\ANASTASIA VOLKOVA\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\µTORRENT (2).LNK
delref %SystemDrive%\USERS\ANASTASIA VOLKOVA\APPDATA\ROAMING\UTORRENT\UPDATES\3.4.3_40760.EXE
deltmp
czoo
restart
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Java 8 обновите до Java 8 Update 73 .
Сообщите, что с проблемой.
Junior Member (OID)
Вес репутации
30
Все сделала
Проблема осталась...
Вложения
Ещё раз лог FRST сделайте.
Junior Member (OID)
Вес репутации
30
Вложения
Так и не выполнили просьбу удалить Торрент-клиент µTorrent: вот это что .
Иначе опять - на колу мочало, начинай сначала...
После этого примените в FRST такой fixlist.txt:
Код:
CreateRestorePoint:
AppInit_DLLs: C:\ProgramData\serfev\Tipdox.dll => No File
AppInit_DLLs-x32: C:\ProgramData\serfev\SpanSoft.dll => No File
HKU\S-1-5-21-28071220-2894463185-2018477344-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQ1HYHaREdMfD8hktywnLSAwqFteJ4e8_P7gw6_IkUWtx99Ik2t9nQRCb7Eep_7ut_qWeOQx92k5w3jxhlcmNY1DhZT_mfOaphgNuNJxdJJf_lyXBlhFEmMOqWPCRimAuMYACj-bRWDrQ0OIEOlpTHFQBKJGlAM0,&q={searchTerms}
HKU\S-1-5-21-28071220-2894463185-2018477344-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQ1HYHaREdMfD8hktywnLSAwqFteJ4e8_P7gw6_IkUWtx99Ik2t9nQRCb7Eep_7ut_qWeOQx92k5w3jxhlcmNY1DhZT_mfOaphgNuNJxdJJf_lyXBlhFEmMOqWPCRimAuMYACj-bRWDrQ0OIEOlpTHFQBKJGlAM0,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQ1HYHaREdMfD8hktywnLSAwqFteJ4e8_P7gw6_IkUWtx99Ik2t9nQRCb7Eep_7ut_qWeOQx92k5w3jxhlcmNY1DhZT_mfOaphgNuNJxdJJf_lyXBlhFEmMOqWPCRimAuMYACj-bRWDrQ0OIEOlpTHFQBKJGlAM0,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28071220-2894463185-2018477344-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQ1HYHaREdMfD8hktywnLSAwqFteJ4e8_P7gw6_IkUWtx99Ik2t9nQRCb7Eep_7ut_qWeOQx92k5w3jxhlcmNY1DhZT_mfOaphgNuNJxdJJf_lyXBlhFEmMOqWPCRimAuMYACj-bRWDrQ0OIEOlpTHFQBKJGlAM0,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28071220-2894463185-2018477344-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQ1HYHaREdMfD8hktywnLSAwqFteJ4e8_P7gw6_IkUWtx99Ik2t9nQRCb7Eep_7ut_qWeOQx92k5w3jxhlcmNY1DhZT_mfOaphgNuNJxdJJf_lyXBlhFEmMOqWPCRimAuMYACj-bRWDrQ0OIEOlpTHFQBKJGlAM0,&q={searchTerms}
CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQ1HYHaREdMfD8hktywnLSAwqFteJ4e8_P7gw6_IkUWtx99Ik2t9nQRCb7Eep_7ut_qWFm0uT7vXvuHSbg9RXwnjiHFX6JEgGGwlPM16epiiaAwaAa2fSnGX5NNrPnnQsoQ0ZzNPrGWPHJjPvsh8kPZiXQeqcoEw,
CHR StartupUrls: Default -> "hxxp://www.google.ru/","hxxp://www.google.com/"
CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeFYXtYM6MATBQ1HYHaREdMfD8hktywnLSAwqFteJ4e8_P7gw6_IkUWtx99Ik2t9nQRCb7Eep_7ut_qWJgptzdQWhqbg088c2qcvJnAPCL8jOYwtN9m4ebbrz8--590XdqxztUZA3Cgiw6SMGNh538AvqpDKfKSD0gI8Qwe_PjzY,&q={searchTerms}
CHR DefaultSearchKeyword: Default -> feed.sonic-search.com
CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms}
S2 serfev; C:\ProgramData\\serfev\\serfev.exe -f "C:\ProgramData\\serfev\\serfev.dat" -l -a
S3 esgiguard; no ImagePath
2016-02-23 20:02 - 2016-02-26 21:44 - 00002397 _____ C:\WINDOWS\SysWOW64\findit.xml
2016-02-23 17:02 - 2016-02-28 12:31 - 00000582 _____ C:\WINDOWS\system32\Drivers\etc\hosts.ics
R2 BitTorrent; C:\Program Files\BitTorrent\BitTorrent.exe [383488 2016-02-13] () [File not signed]
2016-02-13 21:46 - 2016-02-14 15:15 - 00000000 ____D C:\Program Files\BitTorrent
EmptyTemp:
Reboot:
После перезагрузки прикрепите Fixlog.txt, сообщите результат.
Junior Member (OID)
Вес репутации
30
Все равно, после перезагрузки, предлагается добавить Визуальные Закладки от Майл.ру...
Вложения