Подмена браузеров [not-a-virus:AdWare.Win32.ELEX.asu, not-a-virus:AdWare.Win32.ELEX.yj ]

[Анастасия Кузина]

Внезапно появились 3 ярлыка браузеров: хром, мазила и IE.
Пользуюсь хромом, ярлык тот что подменился на рабочем столе имеет путь "C:\Program Files\Eggness\Application\chrome.exe"
Производилось сканирование утилитой от dr.web circuit ничего не найдено, было решено обратиться к вам. Лог avz надеюсь приложен правильно.

[Info_bot]

Уважаемый(ая) Анастасия Кузина, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

отключите антивирусную программу

Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  TerminateProcessByName('c:\program files\elex-tech\yac\isafetray.exe');
  TerminateProcessByName('c:\program files\elex-tech\yac\isafesvc2.exe');
  TerminateProcessByName('c:\program files\firefox\bin\firefoxupdate.exe');
  TerminateProcessByName('c:\program files\elex-tech\yac\isafesvc.exe');
  StopService('iSafeNetFilter');
  StopService('iSafeKrnlR3');
  StopService('iSafeKrnlMon');
  StopService('iSafeKrnlKit');
  StopService('iSafeKrnl');
  StopService('iThemes5');
  StopService('iSafeService');
  StopService('FirefoxU');
  StopService('ed2kidle');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafesv.dll','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafetbv.dll','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafethlp.exe','');
  QuarantineFile('C:\Program Files\elex-tech\yac\istart.exe','');
  QuarantineFile('C:\Program Files\elex-tech\yac\uninstall.exe','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafesptv.dll','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafesmgr.dll','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafemsmv.dll','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafemoptv.dll','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafemgc.dll','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafemclv.dll','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafembp.dll','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafekrnlcall64.dll','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafekrnlboot.sys','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafe.exe','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafeclcv.dll','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafeclc.dll','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafechlp.dll','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafebugreport.exe','');
  QuarantineFile('C:\Program Files\elex-tech\yac\isafeadfv.dll','');
  QuarantineFile('C:\Program Files\elex-tech\yac\ipcdl.exe','');
  QuarantineFile('C:\Program Files\elex-tech\yac\idskdllpatch64.dll','');
  QuarantineFile('C:\Program Files\elex-tech\yac\idesk.exe','');
  QuarantineFile('C:\Program Files\elex-tech\yac\iddmgr.dll','');
  QuarantineFile('C:\Program Files\elex-tech\yac\bugreport.exe','');
  QuarantineFile('C:\ProgramData\wintools\WintoolUprI.exe','');
  QuarantineFile('C:\Program Files\Therwgereerk\DfpDebuger.dll','');
  QuarantineFile('C:\Program Files\WinArcher\Archer.dll','');
  QuarantineFile('C:\Users\Админ\AppData\Roaming\Phevcultcoerho\Zadeck.dll','');
  QuarantineFile('C:\Users\Админ\AppData\Roaming\Gabukjibsy\Lpechcoerru.dll','');
  QuarantineFile('C:\Windows\system32\DRIVERS\iSafeKrnlBoot.sys','');
  QuarantineFile('C:\Windows\system32\DRIVERS\iSafeNetFilter.sys','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys','');
  QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
  QuarantineFile('C:\Program Files\00000011-1480867571-0000-0000-3085A9D489EA\kns6B9F.tmp','');
  QuarantineFile('C:\Users\Админ\AppData\Roaming\ibfib\UvConverter.exe','');
  QuarantineFile('C:\Program Files\Gubed_WMI\Gubed_WMI.exe','');
  QuarantineFile('C:\Program Files\amuleC1\ed2k.exe','');
  QuarantineFile('c:\users\админ\appdata\roaming\winsnare\winsnare.dll','');
  QuarantineFile('c:\programdata\winsapsvc\winsap.dll','');
  QuarantineFile('c:\programdata\microsoft\phone tools\corecon\12.0\3082\nonsdkaddonlangver.dll','');
  QuarantineFile('c:\programdata\apple\apple application support\errorreport.dll','');
  QuarantineFile('c:\program files\gubed\gubedzl.dll','');
  QuarantineFile('c:\program files\gub\gubzl.dll','');
  QuarantineFile('C:\Program Files\Explorer\WINNSI.DLL','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\SSLEAY32.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\sqlite3.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\libpng.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\LIBEAY32.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\libcurl.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iTPPush.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iTPProtect.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iTPNodisturb.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iTPMsgCenter.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iTPFloaty.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iTPDesk.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iTPAutoClean.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iSvc2.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iSvc.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\isafeupbiz.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeSrvMon.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\isaferpt.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\isafepxy.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafenpf.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\isafemc.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMonCall.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlCall.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeDisp.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafebs.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeBase.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeAdless.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\ipcproxy.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iImportLib.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iDskDllPatch.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iCommu.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\iCommon.dll','');
  QuarantineFile('C:\Program Files\Elex-tech\YAC\curlpp.dll','');
  QuarantineFile('C:\Program Files\Eggness\Application\chrome_child.dll','');
  QuarantineFile('C:\Program Files\Eggness\Application\chrome.dll','');
  QuarantineFile('C:\Program Files\Common Files\Services\iThemes.dll','');
  QuarantineFile('c:\program files\elex-tech\yac\isafetray.exe','');
  QuarantineFile('c:\program files\elex-tech\yac\isafesvc2.exe','');
  QuarantineFile('c:\program files\firefox\bin\firefoxupdate.exe','');
  QuarantineFile('c:\program files\elex-tech\yac\isafesvc.exe','');
  DeleteFile('c:\program files\elex-tech\yac\isafesvc2.exe','32');
  DeleteFile('c:\program files\elex-tech\yac\isafetray.exe','32');
  DeleteFile('C:\Program Files\Common Files\Services\iThemes.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iCommon.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iCommu.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iImportLib.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeBase.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iSafebs.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeDisp.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlCall.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMonCall.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\isafemc.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iSafenpf.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\isafepxy.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\isaferpt.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeSrvMon.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\isafeupbiz.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iSvc2.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iTPAutoClean.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iTPDesk.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iTPFloaty.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iTPMsgCenter.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iTPNodisturb.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iTPProtect.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\iTPPush.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\libpng.dll','32');
  DeleteFile('C:\Program Files\Elex-tech\YAC\sqlite3.dll','32');
  DeleteFile('c:\users\админ\appdata\roaming\winsnare\winsnare.dll','32');
  DeleteFile('C:\Program Files\Gubed_WMI\Gubed_WMI.exe','32');
  DeleteFile('C:\Users\Админ\AppData\Roaming\ibfib\UvConverter.exe','32');
  DeleteFile('C:\Program Files\00000011-1480867571-0000-0000-3085A9D489EA\kns6B9F.tmp','32');
  DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
  DeleteFile('C:\Windows\system32\DRIVERS\iSafeNetFilter.sys','32');
  DeleteFile('C:\Windows\system32\drivers\qutmipc.sys','32');
  DeleteFile('C:\Program Files\Gubed\GubedZL.dll','32');
  DeleteFile('C:\ProgramData\Microsoft\Phone Tools\CoreCon\12.0\3082\NonSDKAddonLangVer.dll','32');
  DeleteFile('C:\ProgramData\Apple\Apple Application Support\ErrorReport.dll','32');
  DeleteFile('C:\ProgramData\WinSAPSvc\WinSAP.dll','32');
  DeleteFile('C:\Windows\system32\Tasks\Milimili','32');
  DeleteFile('C:\ProgramData\wintools\WintoolUprI.exe','32');
  DeleteFile('C:\Windows\system32\Tasks\WinTOOL','32');
  DeleteFile('C:\Windows\system32\Drivers\isafekrnlboot.sys','32');
  DeleteFile('C:\Program Files\amulec1\ed2k.exe','32');
  DeleteFile('C:\Program Files\elex-tech\yac\bugreport.exe','32');
  DeleteFile('C:\Program Files\elex-tech\yac\curlpp.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\iddmgr.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\idesk.exe','32');
  DeleteFile('C:\Program Files\elex-tech\yac\idskdllpatch.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\idskdllpatch64.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\ipcdl.exe','32');
  DeleteFile('C:\Program Files\elex-tech\yac\ipcproxy.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafeadfv.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafeadless.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafebugreport.exe','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafechlp.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafeclc.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafeclcv.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafe.exe','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafekrnlboot.sys','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafekrnlcall64.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafekrnlkit.sys','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafekrnlmon.sys','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafekrnlr3.sys','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafekrnl.sys','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafembp.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafemclv.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafemgc.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafemoptv.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafemsmv.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafesmgr.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafesptv.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafesvc.exe','32');
  DeleteFile('C:\Program Files\winarcher\archer.dll','32');
  DeleteFile('C:\Program Files\gub\gubzl.dll','32');
  DeleteFile('C:\Program Files\firefox\bin\firefoxupdate.exe','32');
  DeleteFile('C:\Program Files\elex-tech\yac\uninstall.exe','32');
  DeleteFile('C:\Program Files\elex-tech\yac\ssleay32.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\libeay32.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\libcurl.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isvc.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\istart.exe','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafethlp.exe','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafetbv.dll','32');
  DeleteFile('C:\Program Files\elex-tech\yac\isafesv.dll','32');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\GubedZL\Parameters','ServiceDll');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\GubZL\Parameters','ServiceDll');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MSLN\Parameters','ServiceDll');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MS_TASK_SVR\Parameters','ServiceDll');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll');
  DeleteService('qutmipc');
  DeleteService('iSafeKrnlBoot');
  DeleteService('iSafeNetFilter');
  DeleteService('iSafeKrnlR3');
  DeleteService('iSafeKrnlMon');
  DeleteService('iSafeKrnlKit');
  DeleteService('iSafeKrnl');
  DeleteService('ReimageRealTimeProtector');
  DeleteService('hunenoju');
  DeleteService('Convxxxx');
  DeleteService('Gubed_WMI');
  DeleteService('iThemes5');
  DeleteService('iSafeService');
  DeleteService('FirefoxU');
  DeleteService('ed2kidle');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Анастасия Кузина]

adwcleaner нашел угрозы, отчет adwcleaner и повторный отчет AutoLogger приложила.

[mrak74]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

+
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Анастасия Кузина]

После запуска Farbar recove...программа запускалась впервые, было создано 2 отчета additional и first оба прикрепила, а так же от первой программы отчет есть, все что было предложены очистила.

[mrak74]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-1251109594-1945545174-156415591-1000\...\MountPoints2: F - F:\AutoRun.exe
  HKU\S-1-5-21-1251109594-1945545174-156415591-1000\...\MountPoints2: {2d1ac329-e618-11e5-856e-3085a9d489ea} - F:\AutoRun.exe
  HKU\S-1-5-21-1251109594-1945545174-156415591-1000\...\MountPoints2: {46251ea9-cd9f-11e5-8731-3085a9d489ea} - F:\AutoRun.exe
  HKU\S-1-5-21-1251109594-1945545174-156415591-1000\...\MountPoints2: {5b58b8c1-b7d0-11e6-9079-3085a9d489ea} - H:\Autorun.exe
  HKU\S-1-5-21-1251109594-1945545174-156415591-1000\...\MountPoints2: {9fe3143e-cdb2-11e5-83c7-3085a9d489ea} - F:\AutoRun.exe
  HKU\S-1-5-21-1251109594-1945545174-156415591-1000\...\MountPoints2: {9fe3144c-cdb2-11e5-83c7-3085a9d489ea} - F:\AutoRun.exe
  IFEO\MRT.exe: [Debugger] c:\programdata\winsapsvc\winsap_update\Gubed.exe -Yrrehs
  ShellExecuteHooks: No Name - {8D0D5A52-AB35-11E6-8696-64006A5CFC23} - C:\Users\Админ\AppData\Roaming\Gabukjibsy\Lpechcoerru.dll -> No File
  ShellExecuteHooks: No Name - {FD3FFD5A-AA10-11E6-ACE5-64006A5CFC23} - C:\Users\Админ\AppData\Roaming\Phevcultcoerho\Zadeck.dll -> No File
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  GroupPolicy\User: Restriction - Chrome <======= ATTENTION
  CHR HKU\S-1-5-21-1251109594-1945545174-156415591-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  FF Homepage: Firefox\Firefox\Profiles\7uuhbrr1.default -> hxxp://www.searchinme.com/?
  S4 Atuzwardjaroy; C:\Program Files\Therwgereerk\DfpDebuger.dll [X]
  amuleC (HKLM\...\{B2EFFD4E-D098-4845-9D56-DE75BEB35913}) (Version: 1.0.1 - amuleC) <==== ATTENTION
  WinSnare (HKLM\...\{54A54A73-D8CF-4EBF-BEA7-AD6507ACE4C5}) (Version: 4.1.0 - WinSnare) <==== ATTENTION
  HKU\S-1-5-21-1251109594-1945545174-156415591-1000\...\ChromeHTML: -> C:\Program Files\Eggness\Application\chrome.exe (Google Inc.) <==== ATTENTION
  2017-02-09 18:12 - 2017-02-09 18:12 - 00000000 ____D C:\Program Files\Eggness
  Shortcut: C:\Users\Админ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Eggness\Application\chrome.exe (Google Inc.)
  Shortcut: C:\Users\Админ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Eggness\Application\chrome.exe (Google Inc.)
  Shortcut: C:\Users\Админ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files\Eggness\Application\chrome.exe (Google Inc.)
  Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Eggness\Application\chrome.exe (Google Inc.)
  Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Eggness\Application\chrome.exe (Google Inc.)
  ShortcutWithArgument: C:\Users\Админ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk -> C:\Program Files\Eggness\Application\chrome.exe (Google Inc.) -> --profile-directory=Default
  2017-01-18 22:14 - 2017-01-18 09:42 - 00064184 _____ () C:\Program Files\Explorer\iedvutils.exe
  2017-01-18 22:14 - 2017-01-18 09:42 - 01731768 _____ () C:\Program Files\Explorer\iedvtoolex.dll
  2017-01-18 22:14 - 2017-01-18 09:42 - 02148536 _____ () C:\Program Files\Explorer\WINNSI.DLL
  2017-02-09 18:12 - 2016-12-01 04:29 - 01834600 _____ () C:\Program Files\Eggness\Application\libglesv2.dll
  2017-02-09 18:12 - 2016-12-01 04:29 - 00091240 _____ () C:\Program Files\Eggness\Application\libegl.dll
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Анастасия Кузина]

Не заметила что temp грохается, еле пароль вспомнила, но не суть.
После установки чистого хрома и перезагрузки его путь меняется
C:\Users\Админ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu
В меню пуск такой же ярлык, с таким же путем.
В папке
C:\Program Files\Yeahfire\Application так же есть какой то chrome.exe
так же файлы со странным названием
C:\Program Files\238DSNCKNW\238DSNCKN.exe
C:\Program Files\VYT8XC48DK\VYT8XC48D.exe
папка C:\Program Files\Explorer не удалилась, а вернее была создана ‎18 ‎января ‎2017 ‎г., ‏‎22:14:32

[mrak74]

Сделайте новые логи FRST.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 254
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\amulec1\ed2k.exe - Trojan-Downloader.Win32.Eroyee.a
  2. c:\program files\common files\services\ithemes.dll - not-a-virus:AdWare.Win32.ELEX.apd
  3. c:\program files\elex-tech\yac\bugreport.exe - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  4. c:\program files\elex-tech\yac\curlpp.dll - not-a-virus:HEUR:Downloader.Win32.Elex.gen
  5. c:\program files\elex-tech\yac\icommon.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  6. c:\program files\elex-tech\yac\icommu.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  7. c:\program files\elex-tech\yac\iddmgr.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.525 )
  8. c:\program files\elex-tech\yac\idesk.exe - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.519 )
  9. c:\program files\elex-tech\yac\idskdllpatch.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.544 )
  10. c:\program files\elex-tech\yac\idskdllpatch64.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.486 )
  11. c:\program files\elex-tech\yac\iimportlib.dll - not-a-virus:HEUR:AdWare.Win32.Elex.gen
  12. c:\program files\elex-tech\yac\ipcdl.exe - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.557 )
  13. c:\program files\elex-tech\yac\ipcproxy.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  14. c:\program files\elex-tech\yac\isafeadfv.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  15. c:\program files\elex-tech\yac\isafeadless.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  16. c:\program files\elex-tech\yac\isafebase.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  17. c:\program files\elex-tech\yac\isafebs.dll - not-a-virus:HEUR:AdWare.Win32.Elex.gen
  18. c:\program files\elex-tech\yac\isafebugreport.exe - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.407 )
  19. c:\program files\elex-tech\yac\isafeclc.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  20. c:\program files\elex-tech\yac\isafeclcv.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  21. c:\program files\elex-tech\yac\isafedisp.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  22. c:\program files\elex-tech\yac\isafe.exe - not-a-virus:AdWare.Win32.Elex.afg
  23. c:\program files\elex-tech\yac\isafekrnlboot.sys - not-a-virus:AdWare.Win32.ELEX.yj ( DrWEB: Adware.Mutabaha.462 )
  24. c:\program files\elex-tech\yac\isafekrnlcall.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  25. c:\program files\elex-tech\yac\isafekrnlkit.sys - not-a-virus:NetTool.Win32.NetFilter.p ( DrWEB: Adware.Mutabaha.502 )
  26. c:\program files\elex-tech\yac\isafekrnlmoncall.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.494 )
  27. c:\program files\elex-tech\yac\isafekrnlmon.sys - not-a-virus:NetTool.Win32.NetFilter.o ( DrWEB: Adware.Mutabaha.521 )
  28. c:\program files\elex-tech\yac\isafekrnlr3.sys - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.481 )
  29. c:\program files\elex-tech\yac\isafekrnl.sys - not-a-virus:AdWare.Win32.ELEX.afy ( DrWEB: Adware.Mutabaha.503 )
  30. c:\program files\elex-tech\yac\isafembp.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  31. c:\program files\elex-tech\yac\isafemc.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  32. c:\program files\elex-tech\yac\isafemclv.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  33. c:\program files\elex-tech\yac\isafemgc.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  34. c:\program files\elex-tech\yac\isafemoptv.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  35. c:\program files\elex-tech\yac\isafemsmv.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.492 )
  36. c:\program files\elex-tech\yac\isafenpf.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.525 )
  37. c:\program files\elex-tech\yac\isafepxy.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  38. c:\program files\elex-tech\yac\isaferpt.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  39. c:\program files\elex-tech\yac\isafesmgr.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  40. c:\program files\elex-tech\yac\isafesptv.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  41. c:\program files\elex-tech\yac\isafesrvmon.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.384 )
  42. c:\program files\elex-tech\yac\isafesvc.exe - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  43. c:\program files\elex-tech\yac\isafesvc2.exe - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  44. c:\program files\elex-tech\yac\isafesv.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  45. c:\program files\elex-tech\yac\isafetbv.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  46. c:\program files\elex-tech\yac\isafethlp.exe - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.583 )
  47. c:\program files\elex-tech\yac\isafetray.exe - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  48. c:\program files\elex-tech\yac\isafeupbiz.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  49. c:\program files\elex-tech\yac\istart.exe - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  50. c:\program files\elex-tech\yac\isvc.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  51. c:\program files\elex-tech\yac\isvc2.dll - not-a-virus:HEUR:AdWare.Win32.Elex.gen
  52. c:\program files\elex-tech\yac\itpautoclean.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  53. c:\program files\elex-tech\yac\itpdesk.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  54. c:\program files\elex-tech\yac\itpfloaty.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  55. c:\program files\elex-tech\yac\itpmsgcenter.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  56. c:\program files\elex-tech\yac\itpnodisturb.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  57. c:\program files\elex-tech\yac\itpprotect.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  58. c:\program files\elex-tech\yac\itppush.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  59. c:\program files\elex-tech\yac\libcurl.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  60. c:\program files\elex-tech\yac\libeay32.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  61. c:\program files\elex-tech\yac\ssleay32.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  62. c:\program files\elex-tech\yac\uninstall.exe - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
  63. c:\program files\gubed\gubedzl.dll - not-a-virus:AdWare.Win32.Agent.xxdduk
  64. c:\program files\gub\gubzl.dll - Trojan.Win32.Eroyee.c
  65. c:\program files\winarcher\archer.dll - not-a-virus:AdWare.Win32.ELEX.apz ( BitDefender: Gen:Trojan.Heur2.LP.Su4@aGznPioj )
  66. c:\programdata\winsapsvc\winsap.dll - not-a-virus:AdWare.Win32.ELEX.asu
  67. c:\windows\system32\drivers\isafekrnlboot.sys - not-a-virus:AdWare.Win32.ELEX.yj ( DrWEB: Adware.Mutabaha.462 )
  68. c:\windows\system32\drivers\isafenetfilter.sys - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.481 )