Дочь запустила экзешик из инета и началась чехарда [UDS:DangerousObject.Multi.Generic, not-a-virus:HEUR:WebToolbar.Win32.Linkury.gen ]

**Viggo** · 16.03.2017, 23:47

Дочь искала контурные карты. Скачала какой-то экзешник и запустила. Какая-то байда установилась в разные места, до кучи ещё пара приложений с иероглифами. Теперь постоянно запускаются страницы ИЕ с разными ссылками в адресной строке. При запуске хрома такая же история.

Пытался удалять все последние установленные программы в обычном и безопасном режиме. Не помогло.

Делал восстановление системы по двум точкам недельной давности. При завершении процесса пишет, что системе не удалось восстановить системные файлы из-за ошибки по такому то пути.

Файл сканирования прикладываю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.03.2017, 23:50

Уважаемый(ая) Viggo, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 18.03.2017, 07:58

Здравствуйте,

Удалите Advanced Care и Iobit через установку программ в панели управления.

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 DelBHO('{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}');
 DelBHO('{FFCB3198-32F3-4E8B-9539-4324694ED664}');
 TerminateProcessByName('C:\Program Files\COMODO\{134-9e-9e-7f417-9b655-ead8-ce029}\9lodmgx&OF.exe');
 TerminateProcessByName('c:\programdata\logic cramble\set.exe');
 TerminateProcessByName('c:\programdata\zaamla\zaamla.exe');
 StopService('backlh');
 StopService('surfshieldsrv');
 DeleteService('backlh');
 DeleteService('surfshieldsrv');
 DeleteService('wfpgameprotect');
 QuarantineFile('C:\PROGRA~2\IObit\ADVANC~1\SURFIN~1\BROWER~1\ASCPLU~1.DLL','');
 QuarantineFile('C:\Program Files (x86)\AIMP\AIMP.exe','');
 QuarantineFile('C:\Program Files (x86)\Anujither Monitor\local64spl.dll','');
 QuarantineFile('C:\Program Files (x86)\Bihulegroqecult\xqcik.exe','');
 QuarantineFile('C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\Adblock\Adblock.dll','');
 QuarantineFile('C:\Program Files (x86)\VK OK AdBlockU\tDJhOPL.dll','');
 QuarantineFile('C:\Program Files\COMODO\{134-9e-9e-7f417-9b655-ead8-ce029}\9lodmgx&OF.exe','');
 QuarantineFile('C:\Program Files\Common Files\Noobzo\GNUpdate\smu.exe','');
 QuarantineFile('C:\ProgramData\359E164E947q933\359E164E947q933.dll','');
 QuarantineFile('C:\ProgramData\Logic Cramble\set.exe','');
 QuarantineFile('C:\ProgramData\RegisterObject\RegisterObject.exe','');
 QuarantineFile('C:\ProgramData\SearchModule\smhe.js','');
 QuarantineFile('C:\ProgramData\Zaamla\Is-Lux.dll','');
 QuarantineFile('C:\ProgramData\Zaamla\Lahold.dll','');
 QuarantineFile('C:\Users\Полина\AppData\Local\Temp\toolbar.exe','');
 QuarantineFile('C:\Users\Полина\AppData\Local\sysasf.dll','');
 QuarantineFile('C:\Users\Полина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk','');
 QuarantineFile('C:\Users\Полина\AppData\Roaming\Vofer2\IQmanager\app.py','');
 QuarantineFile('C:\Users\Полина\AppData\Roaming\Vofer2\IQmanager\ml.py','');
 QuarantineFile('C:\Users\Полина\AppData\Roaming\Vofer2\ml.py','');
 QuarantineFile('C:\Users\Полина\AppData\Roaming\Vofer2\updater.py','');
 QuarantineFile('C:\Users\4880~1\AppData\Local\Temp\843E.tmp.sys','');
 QuarantineFile('C:\Users\4880~1\AppData\Local\Temp\AppHelper_v3.exe','');
 QuarantineFile('C:\Users\4880~1\AppData\Local\Temp\accelerator.exe','');
 QuarantineFile('C:\Windows\SysWOW64\SurfShield.exe','');
 QuarantineFile('C:\Windows\system32\drivers\flowhlp.dat','');
 QuarantineFile('C:\Windows\system32\drivers\kisknl.sys','');
 QuarantineFile('C:\Windows\system32\drivers\ksapi64.sys','');
 QuarantineFile('c:\programdata\logic cramble\set.exe','');
 QuarantineFile('c:\programdata\zaamla\zaamla.exe','');
 QuarantineFile('c:\users\полина\appdata\local\sysasf.dll','');
  DeleteFile('C:\PROGRA~2\IObit\ADVANC~1\SURFIN~1\BROWER~1\ASCPLU~1.DLL','32');
 DeleteFile('C:\Program Files (x86)\AIMP\AIMP.exe','32');
 DeleteFile('C:\Program Files (x86)\Anujither Monitor\local64spl.dll','32');
 DeleteFile('C:\Program Files (x86)\Bihulegroqecult\xqcik.exe','32');
 DeleteFile('C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\Adblock\AdBExtFc.dll','32');
 DeleteFile('C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\Adblock\Adblock.dll','32');
 DeleteFile('C:\Program Files (x86)\VK OK AdBlockU\tDJhOPL.dll','32');
 DeleteFile('C:\Program Files\COMODO\{134-9e-9e-7f417-9b655-ead8-ce029}\9lodmgx&OF.exe','32');
 DeleteFile('C:\ProgramData\359E164E947q933\359E164E947q933.dll','32');
 DeleteFile('C:\ProgramData\Logic Cramble\set.exe','32');
 DeleteFile('C:\ProgramData\RegisterObject\RegisterObject.exe','32');
 DeleteFile('C:\ProgramData\SearchModule\smhe.js','32');
 DeleteFile('C:\ProgramData\Zaamla\Is-Lux.dll','32');
 DeleteFile('C:\ProgramData\Zaamla\Lahold.dll','32');
 DeleteFile('C:\Users\Полина\AppData\Local\Temp\toolbar.exe','32');
 DeleteFile('C:\Users\Полина\AppData\Local\sysasf.dll','32');
 DeleteFile('C:\Users\Полина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk','32');
 DeleteFile('C:\Users\Полина\AppData\Roaming\Vofer2\IQmanager\app.py','32');
 DeleteFile('C:\Users\Полина\AppData\Roaming\Vofer2\IQmanager\ml.py','32');
 DeleteFile('C:\Users\Полина\AppData\Roaming\Vofer2\ml.py','32');
 DeleteFile('C:\Users\Полина\AppData\Roaming\Vofer2\updater.py','32');
 DeleteFile('C:\Users\4880~1\AppData\Local\Temp\843E.tmp.sys','32');
 DeleteFile('C:\Users\4880~1\AppData\Local\Temp\AppHelper_v3.exe','32');
 DeleteFile('C:\Users\4880~1\AppData\Local\Temp\accelerator.exe','32');
 DeleteFile('C:\Windows\SysWOW64\SurfShield.exe','32');
 DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock.job','32');
 DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock2.job','32');
 ExecuteFile('schtasks.exe', '/delete /TN "359E164E947q933" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Anujither Monitor" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "IQmanager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "IQmanager2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Media Center\RegisterObject" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SMW_UpdateTask_Time_313731363737313138372d45372a5a506c41324a345741" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Vofer2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Vofer22" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "urlopener" /F', 0, 15000, true);
 DeleteFile('c:\programdata\logic cramble\set.exe','32');
 DeleteFile('c:\programdata\zaamla\zaamla.exe','32');
 DeleteFile('c:\users\полина\appdata\local\sysasf.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IQmanager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vofer2');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sysasf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**Viggo** · 18.03.2017, 23:28

архив карантина загрузил по отдельной ссылке, в сообщении отчёт о сканировании.

SQ · 19.03.2017, 01:09

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**Viggo** · 19.03.2017, 11:22

При визуальном осмотре осталась только папка с китайскими иероглифами и ярлыками такими же. По местоположению это kingsoft, но самой папки и файлов указанному пути в свойствах ярлыка теперь не обнаруживается. Вероятно, это остатки, которые не удалились? Их достаточно удалить вручную или лучше провести ещё какую-нибудь специальную манипуляцию?

Заметил ещё одну странность. В хроме при открытии новой вкладки не открывается пустая страница со скринами часто посещаемых сайтов. Белая страница, вкладка имеет заголовок Яндекс, и в левом верхнем углу поле для ввода текста кнопка "найти" и текст с гиперссылками:

Быстрая ссылка удалена.ОтменаВосстановить все
Не показывать на этой странице

Удалял хром и ставил заново, новая вкладка ведёт себя также. Яндекс выбран в настройках поисковой системой по умолчанию. Обычно открывается страница с часто посещаемыми сайтами и нормальной строкой поиска от яндекса.
Как можно исправить ситуацию?

SQ · 19.03.2017, 23:45

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Viggo** · 20.03.2017, 11:39

файлы отчётов прикрепил

SQ · 20.03.2017, 13:49

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM\...\Providers\m5jq7gzl: C:\Program Files (x86)\Anujither Monitor\local64spl.dll
C:\Program Files (x86)\Anujither Monitor
ShellExecuteHooks: No Name - {7685CEDA-0399-11E7-AB34-64006A5CFC23} - C:\Users\Полина\AppData\Roaming\Ruwedomstazph\Phawpyphozech.dll [145408 2017-03-16] ()
C:\Users\Полина\AppData\Roaming\Ruwedomstazph
GroupPolicy: Restriction - Chrome <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2017-03-16 21:11 - 2017-03-16 20:51 - 00797672 _____ (深圳市史宾赛科技有限公司) C:\Users\Полина\AppData\Local\FlowSprit.dll
2017-03-16 21:11 - 2017-03-16 20:51 - 00516072 _____ (深圳市史宾赛科技有限公司) C:\Users\Полина\AppData\Local\uninst.tmp
2017-03-16 20:55 - 2017-03-16 20:55 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\金山毒霸
2017-03-16 20:52 - 2017-03-16 20:52 - 01895382 _____ C:\Users\Полина\AppData\Roaming\Medsunstring.bin
2017-03-16 20:52 - 2017-03-16 20:52 - 01894033 _____ C:\Users\Полина\AppData\Roaming\Latreddom.tst
2017-03-16 20:52 - 2017-03-16 20:48 - 01125376 _____ C:\Users\Полина\AppData\Roaming\Latreddom.exe
File: C:\Windows\system32\Drivers\flowhlp.dat
2017-03-16 20:50 - 2017-03-18 23:14 - 00000000 ____D C:\Program Files (x86)\Anujither Monitor
2017-03-16 20:50 - 2017-03-16 21:00 - 00000000 ____D C:\Users\Полина\AppData\Roaming\Ruwedomstazph
2017-03-16 20:50 - 2017-03-16 20:54 - 00000000 ____D C:\Users\ￏ￮￫￨￭￠\AppData\Local\Berserentaromecult
2017-03-16 20:49 - 2017-03-18 23:13 - 00000000 ____D C:\Users\Полина\AppData\Roaming\Vofer2
2017-03-16 20:49 - 2017-03-16 20:49 - 05810036 _____ C:\Users\Полина\AppData\Roaming\Vofer2.exe
2017-03-16 20:49 - 2017-03-16 20:49 - 05252780 _____ C:\Users\Полина\AppData\Roaming\CDManager.exe
2017-03-16 20:49 - 2017-03-16 20:49 - 04175224 _____ C:\Users\Полина\AppData\Roaming\vof.exe
2017-03-16 20:49 - 2017-03-16 20:49 - 00000040 _____ C:\Users\Полина\AppData\Roaming\Vofer2.exe.sha1
2017-03-16 20:49 - 2017-03-16 20:49 - 00000040 _____ C:\Users\Полина\AppData\Roaming\vof.exe.sha1
2017-03-16 20:49 - 2017-03-16 20:49 - 00000040 _____ C:\Users\Полина\AppData\Roaming\CDManager.exe.sha1
2017-03-16 20:49 - 2017-03-16 20:49 - 00000000 ____D C:\Users\Полина\AppData\Local\Berserentaromecult
2017-03-16 20:48 - 2017-03-16 20:48 - 00000039 _____ C:\Users\Полина\AppData\Local\expand.ini
2017-03-16 20:46 - 2017-03-16 22:16 - 00000000 ____D C:\Program Files (x86)\638ab9f0-b0d8-4e37-b195-53e7fce8baf61489686405
2017-03-16 20:44 - 2017-03-18 23:14 - 00016708 _____ C:\Windows\System32\Tasks\359E164E947q933
2017-03-16 20:44 - 2017-03-18 23:14 - 00000000 ___HD C:\Users\Все пользователи\359E164E947q933
2017-03-16 20:44 - 2017-03-18 23:14 - 00000000 ___HD C:\ProgramData\359E164E947q933
2017-03-16 20:44 - 2017-03-18 23:13 - 00000000 ____D C:\Users\Все пользователи\RegisterObject
2017-03-16 20:44 - 2017-03-18 23:13 - 00000000 ____D C:\ProgramData\RegisterObject
2017-03-18 23:03 - 2017-01-17 11:30 - 00000000 ____D C:\Users\Все пользователи\ProductData
2017-03-18 23:03 - 2017-01-17 11:30 - 00000000 ____D C:\ProgramData\ProductData
2017-03-18 23:03 - 2017-01-17 11:29 - 00000000 ____D C:\Program Files (x86)\IObit
2017-03-18 22:57 - 2017-01-17 11:29 - 00002890 _____ C:\Windows\System32\Tasks\Driver Booster SkipUAC (Полина)
2017-03-16 22:14 - 2010-11-18 05:57 - 00000000 ____D C:\Users\Все пользователи\{8D274659-3D84-4410-A197-C170D180BC76}
2017-03-16 22:14 - 2010-11-18 05:57 - 00000000 ____D C:\ProgramData\{8D274659-3D84-4410-A197-C170D180BC76}
2017-03-16 20:49 - 2017-03-16 20:49 - 5252780 _____ () C:\Users\Полина\AppData\Roaming\CDManager.exe
2017-03-16 20:49 - 2017-03-16 20:49 - 0000040 _____ () C:\Users\Полина\AppData\Roaming\CDManager.exe.sha1
2017-03-16 20:52 - 2017-03-16 20:48 - 1125376 _____ () C:\Users\Полина\AppData\Roaming\Latreddom.exe
2017-03-16 20:52 - 2017-03-16 20:52 - 1894033 _____ () C:\Users\Полина\AppData\Roaming\Latreddom.tst
2017-03-16 20:52 - 2017-03-16 20:52 - 1895382 _____ () C:\Users\Полина\AppData\Roaming\Medsunstring.bin
2017-03-16 20:56 - 2017-03-16 20:56 - 1894033 _____ () C:\Users\Полина\AppData\Roaming\Run-Fan.tst
2017-03-16 20:49 - 2017-03-16 20:49 - 4175224 _____ () C:\Users\Полина\AppData\Roaming\vof.exe
2017-03-16 20:49 - 2017-03-16 20:49 - 0000040 _____ () C:\Users\Полина\AppData\Roaming\vof.exe.sha1
2017-03-16 20:49 - 2017-03-16 20:49 - 5810036 _____ () C:\Users\Полина\AppData\Roaming\Vofer2.exe
2017-03-16 20:49 - 2017-03-16 20:49 - 0000040 _____ () C:\Users\Полина\AppData\Roaming\Vofer2.exe.sha1
2017-03-16 20:48 - 2017-03-16 20:48 - 0000039 _____ () C:\Users\Полина\AppData\Local\expand.ini
2017-03-16 21:11 - 2017-03-16 20:51 - 0797672 _____ (深圳市史宾赛科技有限公司) C:\Users\Полина\AppData\Local\FlowSprit.dll
2017-03-16 21:11 - 2017-03-16 20:51 - 0516072 _____ (深圳市史宾赛科技有限公司) C:\Users\Полина\AppData\Local\uninst.tmp
2010-09-16 02:05 - 2010-09-16 02:05 - 0000032 _____ () C:\ProgramData\{051B9612-4D82-42AC-8C63-CD2DCEDC1CB3}.log
2010-11-18 04:59 - 2010-11-18 04:59 - 0000109 _____ () C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
2010-09-16 02:04 - 2010-09-16 02:04 - 0000032 _____ () C:\ProgramData\{23F3DA62-2D9E-4A69-B8D5-BE8E9E148092}.log
2010-11-18 04:54 - 2010-11-18 04:55 - 0000105 _____ () C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
2010-09-16 02:04 - 2010-09-16 02:04 - 0000032 _____ () C:\ProgramData\{4FC670EB-5F02-4B07-90DB-022B86BFEFD0}.log
2010-09-16 02:05 - 2010-09-16 02:05 - 0000032 _____ () C:\ProgramData\{9867824A-C86D-4A83-8F3C-E7A86BE0AFD3}.log
2010-11-18 04:54 - 2010-11-18 04:54 - 0000107 _____ () C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
2010-11-18 04:55 - 2010-11-18 04:59 - 0000110 _____ () C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log
2010-09-16 02:05 - 2010-09-16 02:05 - 0000105 _____ () C:\ProgramData\{d36dd326-7280-11d8-97c8-000129760cbe}.log
CustomCLSID: HKU\S-1-5-21-3344358924-1574314754-3673161082-1000_Classes\CLSID\{64A9418A-B6B1-4112-B75C-E61633C9A31F}\InprocServer32 -> C:\Users\4880~1\AppData\Local\Temp\mcse64_00.dll => No File
CustomCLSID: HKU\S-1-5-21-3344358924-1574314754-3673161082-1000_Classes\CLSID\{6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6}\InprocServer32 -> C:\Users\4880~1\AppData\Local\Temp\mcse64_00.dll => No File
CustomCLSID: HKU\S-1-5-21-3344358924-1574314754-3673161082-1000_Classes\CLSID\{6A2E142B-EA63-433A-AC05-5223CBD26E65}\InprocServer32 -> C:\Users\4880~1\AppData\Local\Temp\mcse64_00.dll => No File
CustomCLSID: HKU\S-1-5-21-3344358924-1574314754-3673161082-1000_Classes\CLSID\{6AFCC535-2F12-4F50-9F0A-1CF856CFC95D}\InprocServer32 -> C:\Users\4880~1\AppData\Local\Temp\mcse64_00.dll => No File
Task: {5F6FD482-6B4D-4A10-B835-CB18CA838D5A} - System32\Tasks\359E164E947q933 => Rundll32.exe "C:\ProgramData\359E164E947q933\359E164E947q933.dll",EqQfHE <==== ATTENTION
Task: {BD342D9C-326B-4525-9019-7C887BE01010} - System32\Tasks\Driver Booster SkipUAC (Полина) => C:\Program Files (x86)\IObit\Driver Booster\4.2.0\DriverBooster.exe 
Task: C:\Windows\Tasks\359E164E947q933.job => rundll32.exe  C:\ProgramData\359E164E947q933\359E164E947q933.dll <==== ATTENTION
MSCONFIG\startupreg: accelerator => 
MSCONFIG\startupreg: AppHelper_v3.exe => 
FirewallRules: [{7C22D8C7-33A7-44D1-A396-667404910071}] => (Allow) C:\Windows\SysWOW64\SurfShield.exe
Hosts:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Viggo** · 20.03.2017, 14:04

файл отчёта загрузил. Мельком глянул по старым местам. Новая вкладка в хроме теперь открывается нормально. Папка с китайскими иероглифами из меню "Пуск" исчезла.

Однако обнаружил в скрытой папке програмдата эту папку кингсофт с другими папками и файлами. Исполняемых файлов нет, только с расширениями dat, log, ich, che, ksg, ini.

Не сразу обратил внимание. При запуске системы не запускается аудио-служба - иконка динамика с красным крестиком. При клике на неё запускается исправление проблемы и звук появляется.

SQ · 20.03.2017, 17:47

Kingsoft не сами ставили?

**Viggo** · 20.03.2017, 19:19

дочь точно не ставила. Я смотрю сейчас в инете и нахожу, что есть кингсофт офис. Но этого я не ставил. А вот на одном сайте пишут про китайский антивирусник кингсофт, и это ближе к теме - видать, вместе с барахлом поставился. В меню "Пуск" были китайские иероглифы в названии папок и файлов, и в свойствах этих элементов были указаны пути к папке кинсофт. Из этого делаю вывод - что кингсофт на ноуте это остатки от китайского софта.

SQ · 21.03.2017, 10:19

Приложите новые логи FRST (FRST.txt и Addition.txt)

**Viggo** · 21.03.2017, 11:37

готово

SQ · 21.03.2017, 23:10

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3344358924-1574314754-3673161082-1000\...\Run: [9lodmgx&OF.exe] => C:\Program Files\COMODO\{134-9e-9e-7f417-9b655-ead8-ce029}\9lodmgx&OF.exe -r1_1 -r2_1
C:\Program Files\COMODO\{134-9e-9e-7f417-9b655-ead8-ce029}
S2 kxescore; "c:\program files (x86)\kingsoft\kingsoft antivirus\kxescore.exe" /service kxescore [X]
S1 kisnetm; \??\c:\program files (x86)\kingsoft\kingsoft antivirus\security\ksnetm\kisnetm64.sys [X]
c:\program files (x86)\kingsoft
2017-03-16 20:55 - 2017-03-16 20:58 - 00000000 ____D C:\Users\Все пользователи\Kingsoft
2017-03-16 20:55 - 2017-03-16 20:58 - 00000000 ____D C:\ProgramData\Kingsoft
2017-03-16 20:55 - 2017-03-16 20:55 - 00309840 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisknl.sys
2017-03-16 20:55 - 2017-03-16 20:55 - 00114776 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksapi.sys
2017-03-16 20:55 - 2017-03-16 20:55 - 00114488 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetmxp.sys
2017-03-16 20:55 - 2017-03-16 20:55 - 00113464 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetm.sys
2017-03-16 20:55 - 2017-03-16 20:55 - 00109880 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetm64.sys
2017-03-16 20:55 - 2017-03-16 20:55 - 00071256 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksapi64.sys
2017-03-16 20:55 - 2017-03-16 20:55 - 00019352 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksskrpr.sys
2017-03-16 20:55 - 2017-03-16 20:55 - 00000000 ____D C:\Users\Полина\AppData\Roaming\Kingsoft
2017-03-16 20:55 - 2017-03-16 20:55 - 00000000 ____D C:\Users\Все пользователи\kdesk
2017-03-16 20:55 - 2017-03-16 20:55 - 00000000 ____D C:\ProgramData\kdesk
MSCONFIG\startupreg: kxesc => "c:\program files (x86)\kingsoft\kingsoft antivirus\kxetray.exe" -autorun
MSCONFIG\startupreg: accelerator => 
MSCONFIG\startupreg: AppHelper_v3.exe => 
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Viggo** · 22.03.2017, 11:01

После получения фикслога и перезагрузки ещё раз провёл сканирование фрст, логи добавляю.

SQ · 23.03.2017, 12:00

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [kxesc] => "c:\program files (x86)\kingsoft\kingsoft antivirus\kxetray.exe" -autorun
S2 kisknl; \??\C:\Windows\system32\drivers\kisknl.sys [X]
S2 ksapi64; \??\C:\Windows\system32\drivers\ksapi64.sys [X]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\accelerator]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AppHelper_v3.exe]
FirewallRules: [{27B91A4F-B246-4352-8511-E813D015FDF8}] => (Allow) svchost.exe
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Viggo** · 23.03.2017, 14:09

готово

SQ · 24.03.2017, 12:14

Сообщите, что с проблемой?

**Viggo** · 24.03.2017, 14:04

На первый взгляд, ничего подозрительного нет. Бурное поведение вкладок в ИЕ прекратилось ещё на середине пути. Китайские иероглифы не наблюдаю. В браузерах окна открываются корректно. Есть разные пустые папки, но по названию их нельзя чётко идентифицировать как спам.

Единственный минус - служба виндоуз аудио не запускается при старте системы (иконка громкоговорителя с красным крестиков в системном трее). В панели администрирования служб перезапускал эту службу, останавливал и заново запускал, выставлен автозапуск. Однако после перезагрузки компьютера служба аудио так и показывается с этим крестиком. Может быть напрямую это не связано с вирусной активностью, но раньше такого не наблюдалось.