Рекламное ПО в браузере

@obdolb · Регистрация: 05.03.2015

Студворк — интернет-сервис помощи студентам

Поудалял всё подозрительное из диспетчера приложений, почистил всё с помощью AdwCleaner и Malwarebytes, но в поиске гугла до сих пор рекламные баннеры, которые пропускают даже malware и adblock, в ютубе у видео появилась кнопка "скачать", и от malware периодически всплывают оповещения о блокировке yellowads.men и других ресурсов с нечитаемыми названиями.
лог

@VexMD · 15.07.2017, 22:15

1) Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО Как временно выгрузить антивирусный продукт?
Выполните скрипт в AVZ (Файл - Выполнить скрипт) Как выполнить скрипт в AVZ

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\user\appdata\local\yc\application\yc.exe');
 TerminateProcessByName('C:\Windows\System32\AppFrameHost.exe');
 SetServiceStart('AppFrameHost', 4);
 StopService('AppFrameHost');
 QuarantineFile('C:\Users\user\appdata\roaming\system\libs\svchost.exe','');
 QuarantineFile('C:\WINDOWS\microsoft\svchost.exe.exe','');
 QuarantineFile('C:\Users\user\AppData\Local\yc\Application\yc.exe','');
 QuarantineFile('C:\Windows\System32\AppFrameHost.exe','');
 QuarantineFileF('c:\users\user\appdata\local\yc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\WINDOWS\microsoft', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\user\appdata\roaming\system', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 DeleteFile('C:\Windows\System32\AppFrameHost.exe','32');
 DeleteFile('C:\Users\user\AppData\Local\yc\Application\yc.exe','32');
 DeleteFile('C:\WINDOWS\microsoft\svchost.exe.exe','32');
 DeleteFile('C:\Users\user\appdata\roaming\system\libs\svchost.exe','32');
 DeleteService('AppFrameHost');
 DeleteFileMask('c:\users\user\appdata\local\yc','*', true);
 DeleteFileMask('C:\WINDOWS\microsoft','*', true);
 DeleteFileMask('C:\Users\user\appdata\roaming\system','*', true);
 DeleteDirectory('c:\users\user\appdata\local\yc');
 DeleteDirectory('C:\WINDOWS\microsoft');
 DeleteDirectory('C:\Users\user\appdata\roaming\system');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_87B41A820EE972244660D9B310E9350D');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(true);
end.

Компьютер перезагрузится.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы.
К сообщению прикреплять файл quarantine.zip не нужно !

2) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK http://safezone.cc/resources/c... lykov.102/
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

3) Подготовьте и приложите новый CollectionLog, повторно запустив Autologger.exe

4) Подготовьте и приложите лог сканирования AdwCleaner (FAQ по работе с утилитой AdwCleaner)

@obdolb · 16.07.2017, 11:56 **[ТС]**

Не могу отправить файл карантина, пишет "413 Request Entity Too Large"

@obdolb · 16.07.2017, 12:15 **[ТС]**

Вот остальные логи

@VexMD · 16.07.2017, 12:51

1) Файл карантина отправьте на этот почтовый ящик:
quarantine<at>safezone.cc (замените <at> на @),
в Теме сообщения укажите ссылку на данную тему лечения
в тексте письма укажите пароль: virus

2) Пофиксите в HiJackThis (Как "пофиксить" с помощью HijackThis) следующие строки:

Code
1
2
3
4
5
6
7
O9-32 - Extra button: (no name) - HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)
O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 81.171.10.42
O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 94.130.44.229
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 81.171.10.42
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 94.130.44.229

3) Скачайте Farbar Recovery Scan Tool (FRST64.exe) http://www.bleepingcomputer.co... scan-tool/ и сохраните на Рабочем столе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Упакуйте эти отчеты в один архив и приложите к своему следующему сообщению.
Подробнее читайте в этом руководстве FAQ по работе с утилитой Farbar Recovery Scan Tool

@obdolb · 16.07.2017, 15:54 **[ТС]**

Письмо отправил.

Добавлено через 31 секунду
Письмо отправил.
Прошу прощения, можно объяснить, как фиксить строки в HiJackThis?

@VexMD · 16.07.2017, 17:16

Сообщение от obdolb

можно объяснить, как фиксить строки в HiJackThis?

вы по ссылке Как "пофиксить" с помощью HijackThis смотрели ?
Что именно там не понятно ?

@obdolb · 25.07.2017, 15:18 **[ТС]**

Пофиксил строки, сделал отчёты

@VexMD · 25.07.2017, 18:39

1) Создайте текстовый файл fixlist.txt в той же папке, где расположен FRST64.exe.
Cкопируйте в него нижеследующий текст и сохраните:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
Start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2605055683-1508232814-3397307059-1000\...\MountPoints2: {9ed8fe15-0ae8-11e6-9569-806e6f6e6963} - "E:\AutoRun.exe" 
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\2fkb7pob.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\2fkb7pob.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\2fkb7pob.default -> hxxp://mail.ru/cnt/10445?gp=811040
FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\2fkb7pob.default\extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [not found]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (No Name) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-07-15]
OPR Extension: (Teddy Protection Lite) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\nojkagbjbhgnilkopgljfkhddmdjcjfn [2017-02-16]
2017-07-15 17:49 - 2017-07-15 17:49 - 00000000 ____D C:\Users\user\AppData\Local\Войны престолов
2017-07-15 17:45 - 2017-07-15 17:45 - 00920784 _____ C:\WINDOWS\system32\AppFrameHost.exe
2017-07-15 17:41 - 2017-07-15 19:23 - 00000000 ____D C:\Users\user\AppData\Local\wmipr
2017-07-15 17:35 - 2017-07-15 17:35 - 00000000 ____D C:\Users\user\AppData\Roaming\curl
C:\WINDOWS\Microsoft
ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
ContextMenuHandlers04: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
ContextMenuHandlers05: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> No File
ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
Task: {06A498B3-630B-432E-A0F1-0CF0E05B2CA1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {27E45FC7-988E-41C7-BCE6-2F78D104BB1F} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {4EF2415F-904F-49D2-9FF6-702349460E67} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {52BD7721-83C0-44DC-A91E-0474470A5ADC} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {7FC37502-302F-4AA4-91AA-557D613872F9} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {885BA7ED-C373-402F-AB8E-135180C6B9AC} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {8AF3F348-7266-4BAA-A9F8-ADD5DD4887CA} - \Lenovo\Lenovo Service Bridge\S-1-5-21-2605055683-1508232814-3397307059-1000 -> No File <==== ATTENTION
Task: {8C87CA5D-4C6C-485F-9743-26DAA0A777E7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {8D99CF43-DD75-4301-8864-66C311B8BBF2} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {A227D8D1-A2F9-40EB-8C01-4D7B62E56892} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {A272D8F4-3D6B-4126-920E-01436BCE57CD} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {B3BBE27B-CF1E-4467-8849-4FA2B4FA02C3} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {D4653703-B86B-4C6A-BA82-88220B0600BA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {DB913C4D-77D7-4C33-A99E-6F11160106A4} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {E7E31048-D01B-4135-A943-3F4F97AA2388} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
FirewallRules: [{7E6E62D9-0507-4E96-9E1B-B9FCD33C47D3}] => (Allow) C:\Program Files\UBar\ubar.exe
FirewallRules: [{2BF63D41-C01B-4024-A7D7-707235BCA287}] => (Allow) C:\Users\user\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{69BEDC3A-0F7D-4536-BB78-C9490E0C3C9C}] => (Allow) C:\Users\user\AppData\Local\yc\Application\yc.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST64, нажмите Fix и подождите.
Компьютер будет перезагружен автоматически.
(Имейте ввиду, что из браузеров будет удалена вся история посещений и содержимое панели быстрого доступа)
Прикрепите к следующему сообщению созданный отчет Fixlog.txt.
Подробнее читайте в этом руководстве https://www.cyberforum.ru/post7151389.html

2) Сделайте еще Полное сканирование в Malwarebytes Anti-malware FAQ по работе с Malwarebytes Anti-Malware v.3
После сканирования ничего не удаляйте.
Приложите лог, созданный при сканировании.

3) Сообщите, какие остаются проблемы.

@obdolb · 26.07.2017, 17:24 **[ТС]**

Вот логи, проблемы остались.
Малваре постоянно что-то блокирует (чаще всего yellowads.men), на ютубе всё та же кнопка "скачать". Если малвар отключить, на ютубе в рекомендованных будут левые видосы, в гугле справа от результатов баннеры, и при заходе на любой сайт убираемый только через 7 секунд баннер казино на весь экран.

@VexMD · 27.07.2017, 16:43

1) Выполните повторное Полное сканирование в MBAM и удалите все найденное.

2) Поработайте в Edge - появляются ли там эти проблемы ?
Если проблемы только в Chrome, то отключите в Chrome все расширения (в том числе стандартные и знакомые) и проверьте наличие проблемы.
Если проблема пропадет, то включайте расширения по-одному, пока не найдете виновника.

Если при отключении всех расширений реклама не пропадет, то отключите синхронизацию аккаунта (если включена).
Далее сохраните нужные закладки и удалите Chrome https://support.google.com/chr... 5319?hl=ru
Убедитесь, что удалена папка: C:\Users\user\AppData\Local\Google\Chrom e\
Скачайте и установите Chrome заново.

Сообщите результат.

@obdolb · 28.07.2017, 14:09 **[ТС]**

Вау, действительно, проблемы были только в хроме, и нехорошими оказались 2 расширения - "Google таблицы" и "Google документы офлайн".
Неожиданно, спасибо, проблема, вроде как, решена.

@VexMD · 28.07.2017, 17:08

Проблема была в вирусах, которые подменяли легальные расширения.

Для завершения темы выполните следующие действия:

Загрузите SecurityCheck by glax24 & Severnyj http://tools.safezone.cc/glax2... yCheck.exe и сохраните утилиту на Рабочем столе.
Запустите правой кнопкой мыши от имени администратора.
Если увидите предупреждение от вашего фаерволла относительно программы SecurityCheck - не блокируйте ее работу.
После окончания сканирования в блокноте откроется лог SecurityCheck.txt.
Прикрепите файл C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.

@obdolb · 28.07.2017, 23:13 **[ТС]**

Воть

@VexMD · 30.07.2017, 09:42

1) Выполните рекомендуемые обновления:

7-Zip 15.12 (x64) v.15.12 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 4.20.0 (64-разрядная) v.4.20.0 Внимание! Скачать обновления

Skype™ 7.35 v.7.35.103 Внимание! Скачать обновления

Java 8 Update 131 v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u144-windows-i586.exe)^

Adobe Flash Player 11 Plugin v.11.5.502.135 Внимание! Скачать обновления

Google Chrome v.59.0.3071.115 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

2) Деинсталлируйте использованные при лечении утилиты (при повторных заражениях скачаете заново)
а) запустите AdwCleaner, выберите в меню Файл - Деинсталлировать, подтвердите удаление, нажав кнопку: Да
Убедитесь, что удалена папка C:\AdwCleaner.
б) удалите утилиты FRST.exe, AutoLogger.exe, SecurityCheck.exe и созданные этими утилитами папки C:\FRST, ...\AutoLogger, C:\SecurityCheck

3) читайте и выполняйте рекомендации - Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
Уведомление о неверно выбранном значении справочника Maks 06.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "НарядПутевка", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если в документе выбран неверный склад. . .	Установка Qt Creator для C и C++: ставим среду, CMake и MinGW без фреймворка Qt 8Observer8 05.04.2026 Среду разработки Qt Creator можно установить без фреймворка Qt. Есть отдельный репозиторий для этой среды: https:/ / github. com/ qt-creator/ qt-creator, где можно скачать установщик, на вкладке Releases:. . .	AkelPad-скрипты, структуры, и немного лирики.. testuser2 05.04.2026 Такая программа, как AkelPad существует уже давно, и также давно существуют скрипты под нее. Тем не менее, прога живет, периодически что-то не спеша дополняется, улучшается. Что меня в первую очередь. . .	Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .
Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .	Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .	Программный контроль заполнения реквизитов табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: 1. Реализовать контроль заполнения реквизита. . .	wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/

@obdolb 0 / 0 / 0 Регистрация: 05.03.2015 Сообщений: 53
	16.07.2017, 11:56 [ТС]
	Не могу отправить файл карантина, пишет "413 Request Entity Too Large" 0

@obdolb 0 / 0 / 0 Регистрация: 05.03.2015 Сообщений: 53
	16.07.2017, 15:54 [ТС]
	Письмо отправил. Добавлено через 31 секунду Письмо отправил. Прошу прощения, можно объяснить, как фиксить строки в HiJackThis? 0

@VexMD 1063 / 667 / 75 Регистрация: 15.07.2012 Сообщений: 2,281
	27.07.2017, 16:43
	1) Выполните повторное Полное сканирование в MBAM и удалите все найденное. 2) Поработайте в Edge - появляются ли там эти проблемы ? Если проблемы только в Chrome, то отключите в Chrome все расширения (в том числе стандартные и знакомые) и проверьте наличие проблемы. Если проблема пропадет, то включайте расширения по-одному, пока не найдете виновника. Если при отключении всех расширений реклама не пропадет, то отключите синхронизацию аккаунта (если включена). Далее сохраните нужные закладки и удалите Chrome https://support.google.com/chr... 5319?hl=ru Убедитесь, что удалена папка: C:\Users\user\AppData\Local\Google\Chrom e\ Скачайте и установите Chrome заново. Сообщите результат. 0

@obdolb 0 / 0 / 0 Регистрация: 05.03.2015 Сообщений: 53
	28.07.2017, 14:09 [ТС]
	Вау, действительно, проблемы были только в хроме, и нехорошими оказались 2 расширения - "Google таблицы" и "Google документы офлайн". Неожиданно, спасибо, проблема, вроде как, решена. 0

@VexMD 1063 / 667 / 75 Регистрация: 15.07.2012 Сообщений: 2,281
	28.07.2017, 17:08
	Проблема была в вирусах, которые подменяли легальные расширения. Для завершения темы выполните следующие действия: Загрузите SecurityCheck by glax24 & Severnyj http://tools.safezone.cc/glax2... yCheck.exe и сохраните утилиту на Рабочем столе. Запустите правой кнопкой мыши от имени администратора. Если увидите предупреждение от вашего фаерволла относительно программы SecurityCheck - не блокируйте ее работу. После окончания сканирования в блокноте откроется лог SecurityCheck.txt. Прикрепите файл C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению. 0

@VexMD 1063 / 667 / 75 Регистрация: 15.07.2012 Сообщений: 2,281
	30.07.2017, 09:42
	1) Выполните рекомендуемые обновления: 7-Zip 15.12 (x64) v.15.12 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ WinRAR 4.20.0 (64-разрядная) v.4.20.0 Внимание! Скачать обновления Skype™ 7.35 v.7.35.103 Внимание! Скачать обновления Java 8 Update 131 v.8.0.1310.11 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u144-windows-i586.exe)^ Adobe Flash Player 11 Plugin v.11.5.502.135 Внимание! Скачать обновления Google Chrome v.59.0.3071.115 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. 2) Деинсталлируйте использованные при лечении утилиты (при повторных заражениях скачаете заново) а) запустите AdwCleaner, выберите в меню Файл - Деинсталлировать, подтвердите удаление, нажав кнопку: Да Убедитесь, что удалена папка C:\AdwCleaner. б) удалите утилиты FRST.exe, AutoLogger.exe, SecurityCheck.exe и созданные этими утилитами папки C:\FRST, ...\AutoLogger, C:\SecurityCheck 3) читайте и выполняйте рекомендации - Рекомендации после удаления вредоносного ПО 0