Помогите, дали практику

**Delphilove** · 09.01.2017, 16:26

Брат принес системный блок. Говорит пк убитый. Ну посмотрел, не такой уж и убитый. Но переодически касперский орет на разорванное соединение. Логи прилагаю, скриншот есть.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.01.2017, 16:27

Уважаемый(ая) Delphilove, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 09.01.2017, 17:35

Здравствуйте,

HiJackThis (из каталога автологгера) профиксить

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://slightsearch.ru/?ri=1&uid=f129c246537caf8a7b09bf583d5ebd95&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://slightsearch.ru/?ri=1&uid=f129c246537caf8a7b09bf583d5ebd95&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://slightsearch.ru/?ri=1&uid=f129c246537caf8a7b09bf583d5ebd95&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://slightsearch.ru/?ri=1&uid=f129c246537caf8a7b09bf583d5ebd95&q={searchTerms}
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8090
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O3 - Toolbar: Searchgo - {2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC} - C:\Users\User\AppData\LocalLow\SearchGo\searchgo.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [35119575-B43C-485E-A585-2D91BB062B44] "C:\Users\User\AppData\Local\Adobe\PPAPI\35119575-B43C-485E-A585-2D91BB062B44\F571F301-9D19-4514-93C9-5D583B9BC2A6.exe" --getinstall-ppapi-plugin
O4 - HKLM\..\Policies\Explorer\Run: [AppDownloads] "C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75\29CCACA9-C618-4AF9-8E4D-3305ABECB3C2.exe" /S
O22 - ScheduledTask: (Ready) A35119575-B43C-485E-A585-2D91BB062B44 - \Microsoft\Windows - "C:\Users\User\AppData\Local\Adobe\PPAPI\35119575-B43C-485E-A585-2D91BB062B44\F571F301-9D19-4514-93C9-5D583B9BC2A6.exe" --getinstall-ppapi-plugin (file missing)
O22 - ScheduledTask: (Ready) KRB Updater Utility Service - \Microsoft\KRBUUS - "C:\ProgramData\KRB Updater Utility\krbupdater.exe" /S (file missing)
O22 - ScheduledTask: (Ready) KRBLNKRUN - \Microsoft\KRBUUS - "C:\Program Files\Kinoroom Browser\krbrowser.exe" (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 QuarantineFile('C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75\29CCACA9-C618-4AF9-8E4D-3305ABECB3C2.exe','');
 QuarantineFileF('C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','');
 QuarantineFile('C:\Users\User\AppData\LocalLow\SearchGo\searchgo.dll','');
 QuarantineFile('C:\Users\User\AppData\Local\Adobe\PPAPI\35119575-B43C-485E-A585-2D91BB062B44\F571F301-9D19-4514-93C9-5D583B9BC2A6.exe',''); 
 DeleteFile('C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75\29CCACA9-C618-4AF9-8E4D-3305ABECB3C2.exe','32');
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','32');
 DeleteFile('C:\Users\User\AppData\LocalLow\SearchGo\searchgo.dll','32');
 DeleteFile('C:\Users\User\AppData\Local\Adobe\PPAPI\35119575-B43C-485E-A585-2D91BB062B44\F571F301-9D19-4514-93C9-5D583B9BC2A6.exe','32');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A35119575-B43C-485E-A585-2D91BB062B44','32');
 DeleteFileMask('C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75', '*', true, ' ');
 DeleteDirectory('C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','35119575-B43C-485E-A585-2D91BB062B44');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

После выполнения скрипта перезагрузите сервер вручную.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**Delphilove** · 09.01.2017, 18:24

Сообщение от SQ

Здравствуйте,

HiJackThis (из каталога автологгера) профиксить

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://slightsearch.ru/?ri=1&uid=f129c246537caf8a7b09bf583d5ebd95&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://slightsearch.ru/?ri=1&uid=f129c246537caf8a7b09bf583d5ebd95&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://slightsearch.ru/?ri=1&uid=f129c246537caf8a7b09bf583d5ebd95&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://slightsearch.ru/?ri=1&uid=f129c246537caf8a7b09bf583d5ebd95&q={searchTerms}
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8090
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O3 - Toolbar: Searchgo - {2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC} - C:\Users\User\AppData\LocalLow\SearchGo\searchgo.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [35119575-B43C-485E-A585-2D91BB062B44] "C:\Users\User\AppData\Local\Adobe\PPAPI\35119575-B43C-485E-A585-2D91BB062B44\F571F301-9D19-4514-93C9-5D583B9BC2A6.exe" --getinstall-ppapi-plugin
O4 - HKLM\..\Policies\Explorer\Run: [AppDownloads] "C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75\29CCACA9-C618-4AF9-8E4D-3305ABECB3C2.exe" /S
O22 - ScheduledTask: (Ready) A35119575-B43C-485E-A585-2D91BB062B44 - \Microsoft\Windows - "C:\Users\User\AppData\Local\Adobe\PPAPI\35119575-B43C-485E-A585-2D91BB062B44\F571F301-9D19-4514-93C9-5D583B9BC2A6.exe" --getinstall-ppapi-plugin (file missing)
O22 - ScheduledTask: (Ready) KRB Updater Utility Service - \Microsoft\KRBUUS - "C:\ProgramData\KRB Updater Utility\krbupdater.exe" /S (file missing)
O22 - ScheduledTask: (Ready) KRBLNKRUN - \Microsoft\KRBUUS - "C:\Program Files\Kinoroom Browser\krbrowser.exe" (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 QuarantineFile('C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75\29CCACA9-C618-4AF9-8E4D-3305ABECB3C2.exe','');
 QuarantineFileF('C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','');
 QuarantineFile('C:\Users\User\AppData\LocalLow\SearchGo\searchgo.dll','');
 QuarantineFile('C:\Users\User\AppData\Local\Adobe\PPAPI\35119575-B43C-485E-A585-2D91BB062B44\F571F301-9D19-4514-93C9-5D583B9BC2A6.exe',''); 
 DeleteFile('C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75\29CCACA9-C618-4AF9-8E4D-3305ABECB3C2.exe','32');
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','32');
 DeleteFile('C:\Users\User\AppData\LocalLow\SearchGo\searchgo.dll','32');
 DeleteFile('C:\Users\User\AppData\Local\Adobe\PPAPI\35119575-B43C-485E-A585-2D91BB062B44\F571F301-9D19-4514-93C9-5D583B9BC2A6.exe','32');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A35119575-B43C-485E-A585-2D91BB062B44','32');
 DeleteFileMask('C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75', '*', true, ' ');
 DeleteDirectory('C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','35119575-B43C-485E-A585-2D91BB062B44');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

После выполнения скрипта перезагрузите сервер вручную.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

adwcleaner нашел где то 82 угрозы. Прилагаю отчет:
Результат загрузки

Файл сохранён как 170109_180337_quarantine_5873a649c9e3a.zip
Размер файла 3190
MD5 a43507f347fd45f7e52e0e2d9b7663cb
Файл закачан, спасибо!

- - - - -Добавлено - - - - -

Посмотрел лог AdWcleane, удалять все что он нашел?

**mrak74** · 09.01.2017, 18:46

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

+
Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

**Delphilove** · 09.01.2017, 19:13

Сообщение от mrak74

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

+
Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

логи готовы

SQ · 09.01.2017, 19:30

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
CHR Extension: (New Tab - Winter Animation) - C:\Users\User\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\leenkjhmbcgekojlkimcbodmniopgfnp [2017-01-09]
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\leenkjhmbcgekojlkimcbodmniopgfnp [2016-05-30]
2016-09-07 20:32 - 2016-09-07 20:32 - 0000001 _RHOT () C:\ProgramData\KRB Updater Utility
C:\Users\User\AppData\Local\Temp\downloader.exe
C:\Users\User\AppData\Local\Temp\msxml6-KB927977-enu-x86.exe
C:\Users\User\AppData\Local\Temp\Setup-punto.exe
C:\Users\User\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\User\AppData\Local\Temp\SkypeSetup.exe
C:\Users\User\AppData\Local\Temp\yupdate-exec-punto.exe
C:\Users\User\AppData\Local\Temp\yupdate-exec-yabrowser.exe
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.25.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.27.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.1\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.13\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.29.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.24.15\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.26.9\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.29.1\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.25.11\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.15\psuser.dll => No File
Task: {9B07C6DE-26DF-4131-876C-8B426B317370} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [124]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [124]
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Delphilove** · 12.01.2017, 15:51

Сообщение от SQ

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
CHR Extension: (New Tab - Winter Animation) - C:\Users\User\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\leenkjhmbcgekojlkimcbodmniopgfnp [2017-01-09]
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\leenkjhmbcgekojlkimcbodmniopgfnp [2016-05-30]
2016-09-07 20:32 - 2016-09-07 20:32 - 0000001 _RHOT () C:\ProgramData\KRB Updater Utility
C:\Users\User\AppData\Local\Temp\downloader.exe
C:\Users\User\AppData\Local\Temp\msxml6-KB927977-enu-x86.exe
C:\Users\User\AppData\Local\Temp\Setup-punto.exe
C:\Users\User\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\User\AppData\Local\Temp\SkypeSetup.exe
C:\Users\User\AppData\Local\Temp\yupdate-exec-punto.exe
C:\Users\User\AppData\Local\Temp\yupdate-exec-yabrowser.exe
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.25.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.27.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.1\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.13\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.29.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.24.15\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.26.9\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.29.1\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.25.11\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.15\psuser.dll => No File
Task: {9B07C6DE-26DF-4131-876C-8B426B317370} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [124]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [124]
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Извините за ожидание, по уважительной причине не мог написать.
Фкс лог готов.

**Delphilove** · 12.01.2017, 17:30

логи модерируются

**thyrex** · 12.01.2017, 18:32

Потому что ответить можно и без нажатия кнопки Ответить с цитированием

**mrak74** · 12.01.2017, 19:16

Что с проблемой ?

**Delphilove** · 12.01.2017, 20:30

Пока случаев не наблюдалось. Спасибо за помощь, очень приятно, что есть люди которые помогают избавиться от вирусов.

- - - - -Добавлено - - - - -

Тем более на не своих компах