SoS. Заражен вирусами и вредными программами в большом количестве

@dan24 · Регистрация: 19.01.2013

Author24 — интернет-сервис помощи студентам

Здравствуйте! После того как мне захотелось установить некоторые проги ( естественно погнался за кряками и их взломанными версиями) Итог:
1.Браузеры: Любой клик по странице - пере направление на рекламную. Также первый клик в строке поиск перекликивает меня на сторонний сайт с поиском поясняю: ввожу запрос в месте где адрес сайта пишется, перекликивает в место ниже , где поисковая строка и естественно эту поисковую систему лично я не устанавливал.( вроде удалось избавиться, просто проверил настройки, но программу всё-таки не удалил). Появилась вторая иконка Моззилы - менее яркая ( тусклая).
Проблема с Хромом ( не знаю относится ли к делу , но напишу) хром часто стал не отвечать , а именно во время загрузки файла или перенаправления или еще чего-то кроме как поиска, в Диспетчере задач пишется " Не отвечает".

Пока я вам это всё писал произошла установки примерно 5 программ ( узнал т.к они пытались в реестр прописаться, но программа 2ip выручает), установились такие программы как : Амиго , Вк, Одноклассники, а также что-то еще пыталось установиться, но я закрыл . Причем никаких действий не производил ( возможно что-то проверяет на установку этих приложений).А также на мгновение стало появляться командная строка!

Система: Для начало скажу , что при откате на начальные настройки (приходилось) комп уже заражен рекламными программами( причем появляются с 3-4 сторон в браузере) в их числе : Амиго. ( больше не помню но их больше 2-3, просто удалял и проходился Доктор Вебом).

Сейчас : Имеются установленные программы которые я не устанавливал. При удалении через Панель управления они устанавливаются заново.
Комп постоянно что-то грузит.

В общем прикрепляю лог. Сейчас начну сканировать опять и завтра скину ещё один.
Раньше получалось самому вылечить, сейчас слишком большое заражение . Проходился Доктор вебом ( удалил перед запуском AutoLogger) , также сейчас работает Malwarebytes Anti-Malware ( но мне кажется , что с ним что-то не так

, т.к походу дела он не может даже обновиться и запустить проверку).

Также хотелось бы сказать про запуск AutoLogger : фаервол отключил , всё сделал , но всё равно писал ошибку что не может обновиться , в итоге тыкал тыкал и ни как , потом забил и оставил , и когда вспомнил ( комп не перезагружал и не выключал ) он вдруг смог.
Помогите , пожалуйста.

@dan24 · 11.11.2015, 21:57 **[ТС]**

Это те программы которые видны в Панеле управления и установлены не мной.

@dan24 · 11.11.2015, 22:39 **[ТС]**

Появилась реклама внизу браузера.

@Sandor · 11.11.2015, 22:50

Здравствуйте!

Сообщение от dan24

галочка стояла напротив "Потенциально опасный файлы"

Галочек никаких ставить не нужно, если об этом специально не сказано.

Внимание! Рекомендации написаны специально для пользователя dan24. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

1. Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced PC Care
AnySend, Any file, Any size, Anywhere!
Cinema_Plus1.2V25.10

2. Подготовьте лог сканирования AdwCleaner.

@dan24 · 12.11.2015, 00:39 **[ТС]**

Обнаружил какой-то защитник Windows , раньше его не было. Программы AnySend вообще эта троица программ, после удаления снова устанавливается, до этого уже удалял.

@dan24 · 12.11.2015, 00:47 **[ТС]**

Сообщение от Sandor

Галочек никаких ставить не нужно, если об этом специально не сказано.

Она уже там стояла.

@Sandor · 12.11.2015, 09:52

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Затем:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@dan24 · 12.11.2015, 16:28 **[ТС]**

Сегодня запустил комп (вчера было плановое обновление вин, отменить не смог, т.к они уже были скачаны ранее), что-то снова пыталось прописаться в реестр- отклонил, во общем стала выдаваться ошибка "... Память не может быть read" . Выдавалась при попытке зайти в центр поддержки, Панель управления, открыть браузер.
Откатил систему на 10.11.15 (единственная точка восстановления была). Всё стало работать , НО Через минут 30 опять всё тоже самое повторилось.

При установки Доктора веба выдал - ошибка в BFE (там побольше было написано, но суть такая).
Защитник Windows мешал исправить (пытался хотя бы настроить браузер, чтобы зайти сюда и скачать след программу)- отключил командной строкой.

Запустил утилиту Доктора Веба , которая была сохранена ранее, т.к в интернет не давало зайти. Он нашел 60 угроз 57 обезвредил.

Зашел на форум через планшет, прочитал действия выполнил действия с adwcleaner перезагрузил, смог зайти в браузер(всё вроде норм).
Вып. действия со след прогой, прикладываю.
Все ссылки браузеров побитые (там указано не то место, зашел через программ фалйс).
Архивировал, т.к превышают 20.

@Sandor · 12.11.2015, 17:42

Через Панель управления - Удаление программ - удалите нежелательное ПО:

GamesDesktop 033.005010142

groover - если не знакома, тоже удалите.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
HKLM-x32\...\Run: [gmsd_ru_005010142] => "C:\Program Files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe"
HKLM\...\Policies\Explorer\Run: [KRB Updater Utility] => C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3582863100-4189409156-2005475988-1002\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.oursurfing.com/?type=hp&ts=1446749234&z=de98a707ffedd129fe79b6fg9z3z7qdm6z7t1o8c3z&from=amt&uid=wdcxwd10jpvx-22jc3t0_wd-wxh1e33cdwvecdwve
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.oursurfing.com/?type=hp&ts=1446749234&z=de98a707ffedd129fe79b6fg9z3z7qdm6z7t1o8c3z&from=amt&uid=wdcxwd10jpvx-22jc3t0_wd-wxh1e33cdwvecdwve
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1446749234&z=de98a707ffedd129fe79b6fg9z3z7qdm6z7t1o8c3z&from=amt&uid=wdcxwd10jpvx-22jc3t0_wd-wxh1e33cdwvecdwve&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1446749234&z=de98a707ffedd129fe79b6fg9z3z7qdm6z7t1o8c3z&from=amt&uid=wdcxwd10jpvx-22jc3t0_wd-wxh1e33cdwvecdwve
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1446749234&z=de98a707ffedd129fe79b6fg9z3z7qdm6z7t1o8c3z&from=amt&uid=wdcxwd10jpvx-22jc3t0_wd-wxh1e33cdwvecdwve
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446749234&z=de98a707ffedd129fe79b6fg9z3z7qdm6z7t1o8c3z&from=amt&uid=wdcxwd10jpvx-22jc3t0_wd-wxh1e33cdwvecdwve&q={searchTerms}
HKU\S-1-5-21-3582863100-4189409156-2005475988-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1446749234&z=de98a707ffedd129fe79b6fg9z3z7qdm6z7t1o8c3z&from=amt&uid=wdcxwd10jpvx-22jc3t0_wd-wxh1e33cdwvecdwve&q={searchTerms}
HKU\S-1-5-21-3582863100-4189409156-2005475988-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446749234&z=de98a707ffedd129fe79b6fg9z3z7qdm6z7t1o8c3z&from=amt&uid=wdcxwd10jpvx-22jc3t0_wd-wxh1e33cdwvecdwve&q={searchTerms}
FF NewTab: hxxp://www.mystartsearch.com/newtab/?type=nt&ts=1447314388&z=e9fd90fd7b092c0ebcc6dc5gfz7z0mecdgbz5e9t0q&from=cmi&uid=WDCXWD10JPVX-22JC3T0_WD-WXH1E33CDWVECDWVE
CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1447309855&z=6840f87a30c68db95d3426egfz2zbm5c3e0t6w1q1o&from=cmi&uid=WDCXWD10JPVX-22JC3T0_WD-WXH1E33CDWVECDWVE"
CHR DefaultSearchURL: Default -> hxxp://www.mystartsearch.com/web/?type=ds&ts=1447309855&z=6840f87a30c68db95d3426egfz2zbm5c3e0t6w1q1o&from=cmi&uid=WDCXWD10JPVX-22JC3T0_WD-WXH1E33CDWVECDWVE&q={searchTerms}
CHR DefaultSearchKeyword: Default -> mystartsearch
CHR Extension: (Quick Searcher) - C:\Users\Карборунд\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbepggeogbaibhgnhhndojpepiihcmeb [2015-11-03]
S2 kiqidetu; C:\Program Files (x86)\1059E200-1447264746-815C-2B2B-0C54A50A3D7B\jnsv8F3F.tmp [X]
S2 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe --s [X]
S3 Vuutledd; C:\Program Files\groover121120150758\Vuutledd.exe [X]
S2 zetixyfe; C:\Program Files (x86)\1059E200-1447264746-815C-2B2B-0C54A50A3D7B\knsw6A0E.tmpfs [X]
2015-11-12 10:47 - 2015-11-12 10:47 - 00002226 _____ C:\Users\Карборунд\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
2015-11-12 10:47 - 2015-11-12 10:47 - 00002201 _____ C:\Users\Карборунд\Desktop\Амиго.lnk
2015-11-12 10:46 - 2015-11-12 10:46 - 00000098 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-11-12 10:46 - 2015-11-12 10:46 - 00000098 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-11-03 20:04 - 2015-11-03 20:04 - 00000000 ____D C:\Users\Карборунд\AppData\Roaming\Microsoft\Windows\Start Menu\Боковая панель - Комета
Task: {117B6090-244D-4702-88EF-F7C3C53CB55E} - System32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service => C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe
Task: {217A2CA6-E09B-482A-8760-E93CE6D4D61C} - System32\Tasks\Builder Diner => Rundll32.exe "C:\Users\Карборунд\AppData\Local\Builder Diner\xBin\BuilderDiner.dll",#3 <==== ATTENTION
Task: {3FE808CA-D1FA-4ED5-BEA2-F8F7F764A8A6} - \chrome5_logon -> No File <==== ATTENTION
Task: {4FF24246-64E3-47D7-AF85-7789C9DFF546} - System32\Tasks\Nacnel => C:\PROGRA~1\GROOVE~1\Quhkielc.bat
Task: {5FBC2358-8071-4588-98B1-1CFA9692AA0D} - \chrome5 -> No File <==== ATTENTION
Task: {6B4EB308-01AC-44E7-87B7-34C008CD6A2C} - \824732e2-45ec-40a5-9b93-639e791911fc-6 -> No File <==== ATTENTION
Task: {BB335591-8707-4176-A59E-8379B0F1EF31} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Карборунд\AppData\Local\SmartWeb\SmartWebHelper.exe <==== ATTENTION
Task: {E33A4C64-A7B6-4EF4-9529-341E26751B7F} - System32\Tasks\Soft installer => C:\Users\Карборунд\AppData\Local\Host installer\3531495031_installcube.exe
Task: C:\Windows\Tasks\824732e2-45ec-40a5-9b93-639e791911fc-10_user.job => C:\Program Files (x86)\Cinema_Plus1.2V25.10\824732e2-45ec-40a5-9b93-639e791911fc-10.exe <==== ATTENTION
Task: C:\Windows\Tasks\824732e2-45ec-40a5-9b93-639e791911fc-5_user.job => C:\Program Files (x86)\Cinema_Plus1.2V25.10\824732e2-45ec-40a5-9b93-639e791911fc-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\824732e2-45ec-40a5-9b93-639e791911fc-6.job => C:\Program Files (x86)\Cinema_Plus1.2V25.10\824732e2-45ec-40a5-9b93-639e791911fc-6.exe <==== ATTENTION
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Подготовьте новый CollectionLog. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@dan24 · 12.11.2015, 23:00 **[ТС]**

Проверял сегодня Malwarebytes Anti-Malware Премиум послед обновление вирусных баз ( 12.11.15), нашёл 275 угроз , бОльшую часть переместил в карантин (точно не помню, но удалено 3-5 программ. Соответственно 270-272 - в карантин).
После перезагрузки, через некоторое время опять установились Маил и Note-Up.
После выполнил Ваши действия.

@Sandor · 12.11.2015, 23:28

А ведь в правилах написано:

Сообщение от akok

Не запускайте самостоятельно утилиты лечения без рекомендации Консультанта - это может привести к негативным последствиям, вплоть до утраты работоспособности операционной системы и потере пользовательских данных!

Сообщение от dan24

Проверял сегодня Malwarebytes Anti-Malware

Покажите отчет.

@dan24 · 13.11.2015, 10:09 **[ТС]**

Опять установились YellowSend, Note-up 2шт ( 1. Издатель Note-up 2. У второго издатель QUAHOG LIMITED), и Маил. Сейчас опять запущу проверку, я так понял Вас интересует вчерашний отчёт.
Извините, боялся что опять накроется и не смогу зайти на форум, чтобы выполнить лечение.

@dan24 · 13.11.2015, 15:30 **[ТС]**

Сегодняшнее сканирование. Сделал по правилам. Не знаю почему , но когда я жму сохранить он мне предлагает куда сохранить и файл без имени, я сам его пишу ( это если сохранять как текстовый файл).

@dan24 · 13.11.2015, 15:47 **[ТС]**

Сообщение от dan24

Сегодняшнее сканирование.

Никаких действий по завершению сканирования не делал.

@Sandor · 13.11.2015, 17:58

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Затем:
Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите все, кроме:

Файлы:
Trojan.Upatre, C:\Users\Карборунд\Downloads\Программы\Guitar Pro 6.0.7 b2 r8924 (T)\Fix64.exe, , [572e116c27646bcbc4530d39a95bc13f],
Trojan.Upatre, C:\Users\Карборунд\Downloads\Программы\Guitar Pro 6.0.7 b2 r8924 (T)\Fix86.exe, , [cdb8aad3eba0e3538196ea5c8381e51b],
Trojan.Upatre, C:\Users\Карборунд\Downloads\Программы\Guitar Pro 6.0.7 b2 r8924 (T)\Guitar Pro 6.exe, , [d0b549341f6ca78fe43384c224e0a35d],
Trojan.Upatre, C:\Users\Карборунд\Downloads\Программы\Guitar Pro 6.0.7 b2 r8924 (T)\UnReg.exe, , [c9bc27565f2cae88c156b3937a8ab14f],
RiskWare.MPR, C:\Users\Карборунд\Downloads\Multi Password Recovery v1.2.9 Final Ml_Rus\mpr_portable_original\block_reader.sys, , [b4d17607206b5adc53f5041af01457a9],
Spyware.PasswordStealer.HL, C:\Users\Карборунд\Downloads\Multi Password Recovery v1.2.9 Final Ml_Rus\mpr_portable_original\HookLib.dll, , [127366176c1fd0665dabde278280ce32],
RiskWare.MPR, C:\Users\Карборунд\Downloads\Multi Password Recovery v1.2.9 Final Ml_Rus\mpr_portable_original\UpdateChecker.exe, , [97eee19c5f2c3ff700570417867b847c],
RiskWare.MPR, C:\Users\Карборунд\Downloads\Multi Password Recovery v1.2.9 Final Ml_Rus\Multi Password Recovery 1.2.9 RePack by KpoJIuK\Multi Password Recovery\block_reader.sys, , [0481abd2cebdb97d2d1bb36be81c32ce],
Spyware.PasswordStealer.HL, C:\Users\Карборунд\Downloads\Multi Password Recovery v1.2.9 Final Ml_Rus\Multi Password Recovery 1.2.9 RePack by KpoJIuK\Multi Password Recovery\HookLib.dll, , [8401aecfe6a51323d434b74e61a1c53b],
RiskWare.MPR, C:\Users\Карборунд\Downloads\Multi Password Recovery v1.2.9 Final Ml_Rus\Multi Password Recovery 1.2.9 RePack by KpoJIuK\Multi Password Recovery\UpdateChecker.exe, , [1372dca10d7e1a1c362153c8867b41bf],

Повторите проверку MBAM, на этот раз сделайте полную.

Тип проверки: Выборочная проверка

Добавлено через 30 секунд
И покажите отчет о проверке.

@dan24 · 13.11.2015, 21:51 **[ТС]**

Опять в реестр прописаться хотели. И опять в Удалении программ появились

. Отчёт будет позже.

@dan24 · 15.11.2015, 23:49 **[ТС]**

В общем не знаю что с компом , у меня никогда такого не было. Хотел отправить сегодня Отчёт , который был сделан в День когда Вы меня попросили, но решил перепроверить. При Быстрой проверке обнаружено 618 угроз ! Далее запустил ещё раз Быструю проверку обнаружил , точно не помню 29. Запустил Полную проверку сразу после окончания Быстрой , обнаружил 79. Переместил в карантин. Да, да помню , что нельзя, но комп важнее, поймите и извините.

Прилагаю все логи которые собрал за 10,12,13,14,15. Защита в реальном времени включена и постоянно блокирует какие-то сайты (в браузере ни каких действий не провожу, высвечивается IP сайта, домен) . В их числе - [tr553_com] , пока заметил только 2 ( уведомления показываются).
Опять установились программы. А также забыл упомянуть вылез Апдейт Виндус ( Точно вирус, подделка. Уже такая была.)
Я так понял, что где-то установщик всё этой хштуки стоит, т.к пришлось отключить защиту в реальном времени и через минут 30 началось.
Жду ваших указаний.

@Sandor · 16.11.2015, 10:50

Подготовьте новый CollectionLog.

@dan24 · 18.11.2015, 22:41 **[ТС]**

Сделал.

@Sandor · 18.11.2015, 23:25

- выполните такой скрипт в AVZ

Код

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Карборунд\Desktop\Tor Browser\Stаrt Тоr Вrоwsеr.lnk','');
 QuarantineFile('C:\Users\Карборунд\Desktop\firefox.bat','');
 DeleteFile('C:\Users\Карборунд\Desktop\firefox.bat','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять карантин не нужно!

Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

http://dragokas.com/tools/move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Удалите папку Автологера вместе с содержимым. Скачайте свежую версию и повторите лог.

@dan24 167 / 106 / 30 Регистрация: 19.01.2013 Сообщений: 842
	11.11.2015, 22:39 [ТС]	3
	Появилась реклама внизу браузера. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	11.11.2015, 22:50	4
	Здравствуйте! Сообщение от dan24 галочка стояла напротив "Потенциально опасный файлы" Галочек никаких ставить не нужно, если об этом специально не сказано. Внимание! Рекомендации написаны специально для пользователя dan24. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ____________________________________________ 1. Через Панель управления - Удаление программ - удалите нежелательное ПО: Advanced PC Care AnySend, Any file, Any size, Anywhere! Cinema_Plus1.2V25.10 2. Подготовьте лог сканирования AdwCleaner. 1

@dan24 167 / 106 / 30 Регистрация: 19.01.2013 Сообщений: 842
	12.11.2015, 00:47 [ТС]	6
	Сообщение от Sandor Галочек никаких ставить не нужно, если об этом специально не сказано. Она уже там стояла. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	12.11.2015, 09:52	7
	Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Затем: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	12.11.2015, 23:28	11
	А ведь в правилах написано: Сообщение от akok Не запускайте самостоятельно утилиты лечения без рекомендации Консультанта - это может привести к негативным последствиям, вплоть до утраты работоспособности операционной системы и потере пользовательских данных! Сообщение от dan24 Проверял сегодня Malwarebytes Anti-Malware Покажите отчет. 1

@dan24 167 / 106 / 30 Регистрация: 19.01.2013 Сообщений: 842
	13.11.2015, 15:47 [ТС]	14
	Сообщение от dan24 Сегодняшнее сканирование. Никаких действий по завершению сканирования не делал. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	13.11.2015, 17:58	15
	Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Затем: Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите все, кроме: Файлы: Trojan.Upatre, C:\Users\Карборунд\Downloads\Программы\Guitar Pro 6.0.7 b2 r8924 (T)\Fix64.exe, , [572e116c27646bcbc4530d39a95bc13f], Trojan.Upatre, C:\Users\Карборунд\Downloads\Программы\Guitar Pro 6.0.7 b2 r8924 (T)\Fix86.exe, , [cdb8aad3eba0e3538196ea5c8381e51b], Trojan.Upatre, C:\Users\Карборунд\Downloads\Программы\Guitar Pro 6.0.7 b2 r8924 (T)\Guitar Pro 6.exe, , [d0b549341f6ca78fe43384c224e0a35d], Trojan.Upatre, C:\Users\Карборунд\Downloads\Программы\Guitar Pro 6.0.7 b2 r8924 (T)\UnReg.exe, , [c9bc27565f2cae88c156b3937a8ab14f], RiskWare.MPR, C:\Users\Карборунд\Downloads\Multi Password Recovery v1.2.9 Final Ml_Rus\mpr_portable_original\block_reader.sys, , [b4d17607206b5adc53f5041af01457a9], Spyware.PasswordStealer.HL, C:\Users\Карборунд\Downloads\Multi Password Recovery v1.2.9 Final Ml_Rus\mpr_portable_original\HookLib.dll, , [127366176c1fd0665dabde278280ce32], RiskWare.MPR, C:\Users\Карборунд\Downloads\Multi Password Recovery v1.2.9 Final Ml_Rus\mpr_portable_original\UpdateChecker.exe, , [97eee19c5f2c3ff700570417867b847c], RiskWare.MPR, C:\Users\Карборунд\Downloads\Multi Password Recovery v1.2.9 Final Ml_Rus\Multi Password Recovery 1.2.9 RePack by KpoJIuK\Multi Password Recovery\block_reader.sys, , [0481abd2cebdb97d2d1bb36be81c32ce], Spyware.PasswordStealer.HL, C:\Users\Карборунд\Downloads\Multi Password Recovery v1.2.9 Final Ml_Rus\Multi Password Recovery 1.2.9 RePack by KpoJIuK\Multi Password Recovery\HookLib.dll, , [8401aecfe6a51323d434b74e61a1c53b], RiskWare.MPR, C:\Users\Карборунд\Downloads\Multi Password Recovery v1.2.9 Final Ml_Rus\Multi Password Recovery 1.2.9 RePack by KpoJIuK\Multi Password Recovery\UpdateChecker.exe, , [1372dca10d7e1a1c362153c8867b41bf], Повторите проверку MBAM, на этот раз сделайте полную. Тип проверки: Выборочная проверка Добавлено через 30 секунд И покажите отчет о проверке. 1

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	16.11.2015, 10:50	18
	Подготовьте новый CollectionLog. 1

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	18.11.2015, 23:25	20
	- выполните такой скрипт в AVZ Код begin ClearQuarantine; QuarantineFile('C:\Users\Карборунд\Desktop\Tor Browser\Stаrt Тоr Вrоwsеr.lnk',''); QuarantineFile('C:\Users\Карборунд\Desktop\firefox.bat',''); DeleteFile('C:\Users\Карборунд\Desktop\firefox.bat',''); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы. К сообщению прикреплять карантин не нужно! Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. http://dragokas.com/tools/move.gif Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Удалите папку Автологера вместе с содержимым. Скачайте свежую версию и повторите лог. 1