Установились непонятные программы

@micolka83 · Регистрация: 16.07.2015

Author24 — интернет-сервис помощи студентам

Всем привет.
Скачал один файлик и тут началось.
Программы не понятные ставятся, поисковик в хроме yamdex.
Все удаляю и чищу, через пару часов все назад устанавливается

@Sandor · 16.07.2015, 11:40

Здравствуйте!

Сообщение от micolka83

Скачал один файлик и тут началось

Откуда скачали и сохранился ли файл? (Если да, отправьте ссылку и упакованный с паролем файл мне в личку)

ProxyServer = proxy.vsw.ru:3128 - это Ваша настройка?

Внимание! Рекомендации написаны специально для пользователя micolka83. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

CiPlus-4.5vV15.07
globalupdate Helper

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Temp\klsc-BD2CF3E157CCF8BD\91938c1b-7835-4abc-966f-1416ea54d9fc\esm.cache\vlns3_engine.dll.000000000022a100-01d0af4d5dab0020-01d0af4dd3fed31d', '');
 QuarantineFile('C:\Program Files (x86)\7F4B3132-1436961256-54F8-4B5A-60A44CB46CC9\knsq597D.tmp', '');
 QuarantineFile('C:\Program Files (x86)\7F4B3132-1436956732-54F8-4B5A-60A44CB46CC9\knsnD344.tmpfs', '');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.bat', '');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
 QuarantineFile('C:\Program Files (x86)\Yandex\Punto Switcher\punto.bat', '');
 QuarantineFile('C:\Users\ivanov_nn\AppData\Roaming\Browsers\exe.resworbcu.bat', '');
 QuarantineFile('C:\Users\ivanov_nn\AppData\Roaming\hQK5QAKNefvRaOTmD4o.exe', '');
 QuarantineFile('C:\Users\ivanov_nn\AppData\Roaming\KvxqQpQMzHcS.exe', '');
 QuarantineFile('C:\Users\ivanov_nn\AppData\Roaming\WindowsUpdater\Updater.exe','');
 QuarantineFile('C:\Users\ivanov_nn\AppData\Local\Host installer\2795945771_installcube.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "hQK5QAKNefvRaOTmD4o.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KvxqQpQMzHcS.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "hQK5QAKNefvRaOTmD4o" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KvxqQpQMzHcS" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
 DeleteFile('C:\Users\ivanov_nn\AppData\Local\Host installer\2795945771_installcube.exe','32');
 DeleteFile('C:\Users\ivanov_nn\AppData\Roaming\WindowsUpdater\Updater.exe','32');
 DeleteFile('C:\Temp\klsc-BD2CF3E157CCF8BD\91938c1b-7835-4abc-966f-1416ea54d9fc\esm.cache\vlns3_engine.dll.000000000022a100-01d0af4d5dab0020-01d0af4dd3fed31d', '32');
 DeleteFile('C:\Program Files (x86)\7F4B3132-1436961256-54F8-4B5A-60A44CB46CC9\knsq597D.tmp', '32');
 DeleteFile('C:\Program Files (x86)\7F4B3132-1436956732-54F8-4B5A-60A44CB46CC9\knsnD344.tmpfs', '32');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.bat', '32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '32');
 DeleteFile('C:\Program Files (x86)\Yandex\Punto Switcher\punto.bat', '32');
 DeleteFile('C:\Users\ivanov_nn\AppData\Roaming\Browsers\exe.resworbcu.bat', '32');
 DeleteFile('C:\Users\ivanov_nn\AppData\Roaming\hQK5QAKNefvRaOTmD4o.exe', '32');
 DeleteFile('C:\Users\ivanov_nn\AppData\Roaming\KvxqQpQMzHcS.exe', '32');
 DeleteService('cucygyku');
 DeleteService('pebufyfu');
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@micolka83 · 16.07.2015, 11:56 **[ТС]**

ProxyServer = proxy.vsw.ru:3128 - это Ваша настройка? -- да моя настройка

@micolka83 · 16.07.2015, 11:57 **[ТС]**

Check Browsers LNK

@micolka83 · 16.07.2015, 11:58 **[ТС]**

лог чек браузера

@micolka83 · 16.07.2015, 12:02 **[ТС]**

сорь, не тот лог clearLNK скинул

@Sandor · 16.07.2015, 12:13

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").

По окончанию сканирования снимите галочки со следующих строк:

Код

***** [ Реестр ] *****

Данные Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyEnable] - 1
Данные Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - 192.168.*; 10.*; 172.16.2*; *.vsw.ru; *.chmz.umn.ru; sys00046*; 172.17.*; *omk.ru; *omk-lpk.ru; 11.0.0.3; *.pkitrans.ru; pkitrans.ru; 80.82.164.*; 11.0.0.9; *.umc.local; *.umn.local; easud.uc.omk-it.ru; *.omk-it.ru;hxxp://docs.omk.ru;hxxps://connect.omktube.com;*.chf-trubodetal.local;<local>
Данные Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyServer] - proxy.vsw.ru:3128
Значение Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [DefaultConnectionSettings]
Значение Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [SavedLegacySettings]

Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@micolka83 · 16.07.2015, 12:30 **[ТС]**

все, архивы сделал

@Sandor · 16.07.2015, 12:43

Сообщение от Sandor

Откуда скачали и сохранился ли файл?

Не ответили.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код

start
CreateRestorePoint:
HKLM-x32\...\Run: [mbot_ru_014010031] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010031] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010032] => [X]
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
HKU\S-1-5-21-1209986707-1960890614-2641544945-9100 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
HKU\S-1-5-21-1209986707-1960890614-2641544945-9100 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe <====== ATTENTION
HKU\S-1-5-21-1209986707-1960890614-2641544945-9100 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe <====== ATTENTION
HKU\S-1-5-21-1209986707-1960890614-2641544945-9100 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1209986707-1960890614-2641544945-9100\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1209986707-1960890614-2641544945-9100\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
URLSearchHook: HKU\S-1-5-21-1209986707-1960890614-2641544945-9100 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
FF Extension: CiPlus-4.5vV15.07 - C:\Users\ivanov_nn\AppData\Roaming\Mozilla\Firefox\Profiles\lvklxs53.default\Extensions\DXYYH4339170@JXVPYKS65865478.com [2015-07-16]
FF Extension: No Name - C:\Users\ivanov_nn\AppData\Roaming\Mozilla\Firefox\Profiles\lvklxs53.default\extensions\admin@netfilter.pro [not found]
CHR Extension: (CiPlus-4.5vV15.07) - C:\Users\ivanov_nn\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-07-16]
S1 wsafd_1_10_0_19; system32\drivers\wsafd_1_10_0_19.sys [X]
S1 wsfd_vt_1_10_0_20; system32\drivers\wsfd_vt_1_10_0_20.sys [X]
2015-07-16 12:23 - 2015-07-16 12:23 - 00000000 ____D C:\Program Files (x86)\globalUpdate
2015-07-16 12:05 - 2015-07-16 12:24 - 00000000 ____D C:\Program Files (x86)\CiPlus-4.5vV15.07
2015-07-15 14:58 - 2015-07-15 15:17 - 00000000 ___RD C:\RavBin
2015-07-15 14:58 - 2015-07-15 14:58 - 00000000 ____D C:\Users\Все пользователи\Rising
2015-07-15 14:58 - 2015-07-15 14:58 - 00000000 ____D C:\ProgramData\Rising
2015-07-15 14:58 - 2014-07-30 05:44 - 00091928 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\vpatch.dll
2015-07-15 14:57 - 2015-07-15 15:20 - 00000000 ____D C:\Program Files (x86)\Rising
2015-07-16 09:29 - 2015-07-16 09:29 - 0000042 _____ () C:\Users\ivanov_nn\AppData\Roaming\00000000000000000000
2015-04-19 15:20 - 2015-04-19 15:20 - 0005872 _____ () C:\Users\ivanov_nn\AppData\Roaming\8EpxQCjePIYxxiinqllofZ
2015-04-20 17:05 - 2015-04-20 17:05 - 1579520 _____ () C:\Users\ivanov_nn\AppData\Roaming\8EpxQCjePIYxxiinqllofZ.exe
2015-04-14 19:28 - 2015-04-14 19:28 - 0004387 _____ () C:\Users\ivanov_nn\AppData\Roaming\KvxqQpQMzHcS
2015-04-14 19:28 - 2015-04-14 19:28 - 0004387 _____ () C:\Users\ivanov_nn\AppData\Roaming\Pk6zuYQ8
2015-04-20 17:05 - 2015-04-20 17:05 - 1246720 _____ () C:\Users\ivanov_nn\AppData\Roaming\Pk6zuYQ8.exe
2015-07-15 15:16 - 2015-07-15 15:16 - 0613255 _____ (CMI Limited) C:\Users\ivanov_nn\AppData\Local\nsnCEC5.tmp
2015-07-16 07:43 - 2015-07-16 07:43 - 0613255 _____ (CMI Limited) C:\Users\ivanov_nn\AppData\Local\nsz63B4.tmp
2015-07-16 07:43 - 2015-07-16 07:43 - 0613255 _____ (CMI Limited) C:\Users\ivanov_nn\AppData\Local\nszE310.tmp
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
Task: {119192AB-346C-46DD-83D3-30083054CC93} - System32\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-3 => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-3.exe [2015-07-16] (CiPlus-4.5vV15.07) <==== ATTENTION
Task: {162FBAA2-0585-4481-AF21-C7F414614672} - System32\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-6 => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-6.exe [2015-07-16] (CiPlus-4.5vV15.07) <==== ATTENTION
Task: {194C0DE3-5300-4B0C-A7EF-61B10A707801} - System32\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-6 => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-6.exe [2015-07-16] (CiPlus-4.5vV15.07) <==== ATTENTION
Task: {2928EBB5-7FA8-4983-8EB0-944F58715959} - System32\Tasks\224038CE-3FA2-4244-853B-F6A47E48A8E2 => C:\Users\ivanov_nn\AppData\Local\224038CE-3FA2-4244-853B-F6A47E48A8E2\224038CE-3FA2-4244-853B-F6A47E48A8E2.exe <==== ATTENTION
Task: {352C46DA-2982-4B1D-BD9B-927D6FDEA4D3} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-07-16] (globalUpdate) <==== ATTENTION
Task: {354FE4FD-73E4-4590-B491-F03D971C9FE0} - \WPD\SqmUpload_S-1-5-21-2924413772-2113083836-2178831309-500 No Task File <==== ATTENTION
Task: {37C8FC9F-0F9F-4218-8BE6-255DD52D173F} - System32\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5_user => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5.exe [2015-07-16] (CiPlus-4.5vV15.07) <==== ATTENTION
Task: {3D72156E-F28C-4DD1-BBA4-F3C3756E89C4} - System32\Tasks\Pk6zuYQ8 => C:\Users\ivanov_nn\AppData\Roaming\Pk6zuYQ8.exe [2015-04-20] () <==== ATTENTION
Task: {5E429945-92F3-4212-B5CC-006FCDB6721F} - System32\Tasks\8EpxQCjePIYxxiinqllofZ => C:\Users\ivanov_nn\AppData\Roaming\8EpxQCjePIYxxiinqllofZ.exe [2015-04-20] () <==== ATTENTION
Task: {90069300-8CD7-4B09-B1AC-22CE5C4A604F} - \WPD\SqmUpload_S-1-5-21-2924413772-2113083836-2178831309-1003 No Task File <==== ATTENTION
Task: {DAD9496C-FC29-4D6A-AEFC-940731681FA2} - \WPD\SqmUpload_S-1-5-21-2924413772-2113083836-2178831309-1000 No Task File <==== ATTENTION
Task: C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-6.job => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-6.exe <==== ATTENTION
Task: C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-7.job => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-7.exe <==== ATTENTION
Task: C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-10_user.job => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-10.exe <==== ATTENTION
Task: C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-3.job => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-3.exe <==== ATTENTION
Task: C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-4.job => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-4.exe <==== ATTENTION
Task: C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5.job => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5_user.job => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-6.job => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-6.exe <==== ATTENTION
Task: C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-7.job => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-7.exe <==== ATTENTION
Task: C:\Windows\Tasks\8EpxQCjePIYxxiinqllofZ.job => C:\Users\ivanov_nn\AppData\Roaming\8EpxQCjePIYxxiinqllofZ.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\Pk6zuYQ8.job => C:\Users\ivanov_nn\AppData\Roaming\Pk6zuYQ8.exe <==== ATTENTION
2015-07-16 12:23 - 2015-07-16 12:23 - 00195664 _____ () C:\Program Files (x86)\CiPlus-4.5vV15.07\eb8663ce-15ec-40cb-8c73-45db659448dc.dll
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@micolka83 · 16.07.2015, 12:49 **[ТС]**

файл скачал с облака mail
[ссылка]
данный архив уже удалил

@micolka83 · 16.07.2015, 12:54 **[ТС]**

лог после фикса

@micolka83 · 16.07.2015, 13:00 **[ТС]**

CiPlus-4.5vV15.07 после перезагрузки снова устанавливается

@Sandor · 16.07.2015, 13:07

Повторите лог сканирования AdwCleaner.

@micolka83 · 16.07.2015, 13:10 **[ТС]**

извиняюсь что выложил ссылку, не нашел как написать в личку

@micolka83 · 16.07.2015, 14:18 **[ТС]**

все, только через переустановку винды?

@Sandor · 16.07.2015, 14:23

Не спешите.

Еще раз:

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Затем еще раз логи FRST.

@micolka83 · 16.07.2015, 14:40 **[ТС]**

сделано

@Sandor · 16.07.2015, 14:53

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Удалить).
Подтвердите удаление, нажав кнопку: Да.

Далее, в безопасном режиме:
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код

start
CreateRestorePoint:
HKLM-x32\...\Run: [mbot_ru_014010031] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010031] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010032] => [X]
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
HKU\S-1-5-21-1209986707-1960890614-2641544945-9100 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
HKU\S-1-5-21-1209986707-1960890614-2641544945-9100 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe <====== ATTENTION
HKU\S-1-5-21-1209986707-1960890614-2641544945-9100 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe <====== ATTENTION
HKU\S-1-5-21-1209986707-1960890614-2641544945-9100 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <===== ATTENTION
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1209986707-1960890614-2641544945-9100\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1209986707-1960890614-2641544945-9100\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
URLSearchHook: HKU\S-1-5-21-1209986707-1960890614-2641544945-9100 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
FF Extension: No Name - C:\Users\ivanov_nn\AppData\Roaming\Mozilla\Firefox\Profiles\lvklxs53.default\extensions\DXYYH4339170@JXVPYKS65865478.com [not found]
FF Extension: No Name - C:\Users\ivanov_nn\AppData\Roaming\Mozilla\Firefox\Profiles\lvklxs53.default\extensions\admin@netfilter.pro [not found]
CHR Extension: (CiPlus-4.5vV15.07) - C:\Users\ivanov_nn\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-07-16]
S1 wsfd_vt_1_10_0_20; system32\drivers\wsfd_vt_1_10_0_20.sys [X]
2015-07-16 14:34 - 2015-07-16 14:36 - 00001032 _____ C:\Windows\Tasks\myzKUaNYxrktlxmE8aCHEc.job
2015-07-16 14:34 - 2015-07-16 14:36 - 00001022 _____ C:\Windows\Tasks\Z21PXF5tizI3zUZCU.job
2015-07-16 14:34 - 2015-07-16 14:35 - 00003474 _____ C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-7.job
2015-07-16 14:34 - 2015-07-16 14:35 - 00003138 _____ C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-6.job
2015-07-16 14:34 - 2015-07-16 14:35 - 00002446 _____ C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5_user.job
2015-07-16 14:34 - 2015-07-16 14:35 - 00002446 _____ C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5.job
2015-07-16 14:34 - 2015-07-16 14:34 - 00006504 _____ C:\Windows\System32\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-7
2015-07-16 14:34 - 2015-07-16 14:34 - 00006166 _____ C:\Windows\System32\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-6
2015-07-16 14:34 - 2015-07-16 14:34 - 00005476 _____ C:\Windows\System32\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5
2015-07-16 14:34 - 2015-07-16 14:34 - 00004054 _____ C:\Windows\System32\Tasks\myzKUaNYxrktlxmE8aCHEc
2015-07-16 14:34 - 2015-07-16 14:34 - 00004044 _____ C:\Windows\System32\Tasks\Z21PXF5tizI3zUZCU
2015-07-16 14:33 - 2015-07-16 14:34 - 00000000 ____D C:\Program Files (x86)\77240edb-47ea-48d8-995b-4c5bcc34f48d
2015-07-15 14:58 - 2015-07-15 15:17 - 00000000 ___RD C:\RavBin
2015-07-15 14:58 - 2015-07-15 14:58 - 00000000 ____D C:\Users\Все пользователи\Rising
2015-07-15 14:58 - 2015-07-15 14:58 - 00000000 ____D C:\ProgramData\Rising
2015-07-15 14:58 - 2014-07-30 05:44 - 00091928 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\vpatch.dll
2015-07-15 14:57 - 2015-07-15 15:20 - 00000000 ____D C:\Program Files (x86)\Rising
2015-07-16 09:29 - 2015-07-16 09:29 - 0000042 _____ () C:\Users\ivanov_nn\AppData\Roaming\00000000000000000000
Task: {5FE7942D-BD4C-465F-A27B-47A617E6CA12} - System32\Tasks\Z21PXF5tizI3zUZCU => C:\Users\ivanov_nn\AppData\Roaming\Z21PXF5tizI3zUZCU.exe [2015-04-20] () <==== ATTENTION
Task: {8C846E10-7B43-4745-AB9F-1A65475521D7} - System32\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5 => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5.exe <==== ATTENTION
Task: {A4F48D20-CBB5-4291-A272-3871BB699E0D} - System32\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-6 => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-6.exe <==== ATTENTION
Task: {C154E55B-1475-431A-BA72-51D79FBB9B54} - System32\Tasks\410F8EB6-6771-40F0-91DB-C3F36678FF87 => C:\Users\ivanov_nn\AppData\Local\410F8EB6-6771-40F0-91DB-C3F36678FF87\410F8EB6-6771-40F0-91DB-C3F36678FF87.exe <==== ATTENTION
Task: {E6F1BEC3-FA44-45CF-B827-72698734E39E} - System32\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5_user => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5.exe <==== ATTENTION
Task: {E75208ED-3A28-4C5F-88F4-DDE69F833C4A} - System32\Tasks\myzKUaNYxrktlxmE8aCHEc => C:\Users\ivanov_nn\AppData\Roaming\myzKUaNYxrktlxmE8aCHEc.exe [2015-04-20] () <==== ATTENTION
Task: {EA7D21F7-360E-4B3C-9047-A25462C21564} - System32\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-7 => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-7.exe <==== ATTENTION
ask: C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-6.job => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-6.exe <==== ATTENTION
Task: C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-7.job => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-1-7.exe <==== ATTENTION
Task: C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5.job => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5_user.job => C:\Program Files (x86)\CiPlus-4.5vV15.07\8b408616-dc51-45d9-b2e8-eb1cf5ee6de9-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\myzKUaNYxrktlxmE8aCHEc.job => C:\Users\ivanov_nn\AppData\Roaming\myzKUaNYxrktlxmE8aCHEc.exe <==== ATTENTION
Task: C:\Windows\Tasks\Z21PXF5tizI3zUZCU.job => C:\Users\ivanov_nn\AppData\Roaming\Z21PXF5tizI3zUZCU.exe <==== ATTENTION
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@micolka83 · 16.07.2015, 14:59 **[ТС]**

лог после Fixa

@micolka83 · 16.07.2015, 15:05 **[ТС]**

5 минут полет нормальный!
При много Вам благодарен!
Спасибо за оказанную помощь!

@micolka83 0 / 0 / 0 Регистрация: 16.07.2015 Сообщений: 16
	16.07.2015, 11:57 [ТС]	4
	Check Browsers LNK 0

@Sandor 21562 / 15512 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	16.07.2015, 12:13	7
	Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"). По окончанию сканирования снимите галочки со следующих строк: Код *** [ Реестр ] *** Данные Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyEnable] - 1 Данные Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - 192.168.; 10.; 172.16.2; .vsw.ru; .chmz.umn.ru; sys00046; 172.17.; omk.ru; omk-lpk.ru; 11.0.0.3; .pkitrans.ru; pkitrans.ru; 80.82.164.; 11.0.0.9; .umc.local; .umn.local; easud.uc.omk-it.ru; .omk-it.ru;hxxp://docs.omk.ru;hxxps://connect.omktube.com;.chf-trubodetal.local;<local> Данные Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyServer] - proxy.vsw.ru:3128 Значение Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [DefaultConnectionSettings] Значение Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [SavedLegacySettings] Нажмите кнопку "Clean"* ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@micolka83 0 / 0 / 0 Регистрация: 16.07.2015 Сообщений: 16
	16.07.2015, 12:49 [ТС]	10
	файл скачал с облака mail [ссылка] данный архив уже удалил 0

@micolka83 0 / 0 / 0 Регистрация: 16.07.2015 Сообщений: 16
	16.07.2015, 13:00 [ТС]	12
	CiPlus-4.5vV15.07 после перезагрузки снова устанавливается 0

@Sandor 21562 / 15512 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	16.07.2015, 13:07	13
	Повторите лог сканирования AdwCleaner. 0

@micolka83 0 / 0 / 0 Регистрация: 16.07.2015 Сообщений: 16
	16.07.2015, 14:18 [ТС]	15
	все, только через переустановку винды? 0

@Sandor 21562 / 15512 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	16.07.2015, 14:23	16
	Не спешите. Еще раз: Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!. Затем еще раз логи FRST. 0

@micolka83 0 / 0 / 0 Регистрация: 16.07.2015 Сообщений: 16
	16.07.2015, 15:05 [ТС]	20
	5 минут полет нормальный! При много Вам благодарен! Спасибо за оказанную помощь! 0