Трояны + подозрение на фишинг

@pingvvin94 · Регистрация: 25.01.2019

Студворк — интернет-сервис помощи студентам

Добрый вечер, уважаемые эксперты. По своей глупости, несколько дней назад пустил к себе в ноутбук несколько занимательных вирусов, после установки некачественного по. Как результат:активное сигнализирование виндоус дифендера о "гостях". Попробовал почистить вирусы утилитой cureit. После 6-7 запуска найденные подозрительные файлы пропали, но также не могу открыть Google Chrome и столкнулся с трудностями в его установке. Дополнительно, получил атаки на криптокошельки - подозреваю, это связано с вирусом. Постоянно нахожу неведомые процессы и файлы.

@thyrex · 25.01.2019, 23:52

WhiteClick
YoutubeAdBlock

удалите через Установку программ

Выполните скрипт в AVZ из папки Autologger

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\windefender.exe');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 TerminateProcessByName('c:\users\home\appdata\local\temp\csrss\cloudnet.exe');
 SetServiceStart('Winmon', 4);
 SetServiceStart('WinmonFS', 4);
 SetServiceStart('WinmonProcessMonitor', 4);
 SetServiceStart('WinDefender', 4);
 QuarantineFile('C:\Program Files (x86)\eWuDAKEgxIE\kwiM6Mnlq.dll',''); QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','');
 QuarantineFile('c:\windows\windefender.exe','');
 QuarantineFile('c:\windows\rss\csrss.exe','');
 QuarantineFile('c:\users\home\appdata\local\temp\csrss\cloudnet.exe','');
 DeleteFile('c:\users\home\appdata\local\temp\csrss\cloudnet.exe','32');
 DeleteFile('c:\windows\rss\csrss.exe','32');
 DeleteFile('c:\windows\windefender.exe','32');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64');
 DeleteFile('C:\Program Files (x86)\eWuDAKEgxIE\kwiM6Mnlq.dll','32');
 DeleteService('WinDefender');
DeleteService('WinmonProcessMonitor');
 DeleteService('WinmonFS');
 DeleteService('Winmon');
 DeleteSchedulerTask('csrss');
 DeleteSchedulerTask('LFgOsdPPciToq2');
 DeleteSchedulerTask('NVQvXnIpQfoDOKq2');
 DelBHO('{E81D3BD4-0E3E-4B58-BEC1-F3791DAA11A8}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','BlackLake','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','BlackLake','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Code
1
2
3
4
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Прикреплять карантин к сообщениям на форуме ЗАПРЕЩЕНО!!! .

Пофиксите в HiJack из папки Autologger (некоторых записей может не быть)

Code
1
2
3
4
5
O2 - HKLM\..\BHO: YoutubeAdBlock - {E81D3BD4-0E3E-4B58-BEC1-F3791DAA11A8} - C:\Program Files (x86)\eWuDAKEgxIE\torgDxQ8.dll (file missing)
O2-32 - HKLM\..\BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file)
O2-32 - HKLM\..\BHO: YoutubeAdBlock - {E81D3BD4-0E3E-4B58-BEC1-F3791DAA11A8} - C:\Program Files (x86)\eWuDAKEgxIE\kwiM6Mnlq.dll (file missing)
O4 - HKCU\..\StartupApproved\Run: [YoutubeDownloader] = C:\Users\Home\AppData\Roaming\YoutubeDownloader\python\pythonw.exe "start.pyc" ml3 (2019/01/23)
O4 - HKCU\..\StartupApproved\Run: [YoutubeDownloader_upd] = C:\Users\Home\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe "start.pyc" ml3 (2019/01/25)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

@pingvvin94 · 26.01.2019, 01:18 **[ТС]**

К сожалению, через удаление программ не удалось выполнить удаление указанных аддонов (youtube ad block - ошибка при запуске dll. whiteclick - установщик говорит, что указанный файл не найден). К сожалению, не удалось решить проблему с запуском Хром на данный момент

@thyrex · 26.01.2019, 10:13

Скачайте Farbar Recovery Scan Tool [img]https://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]https://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

@pingvvin94 · 26.01.2019, 21:47 **[ТС]**

Сделано

@thyrex · 27.01.2019, 06:54

1. Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
FF Extension: (Ace Script) - C:\Users\Home\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi [2018-01-24]
C:\Users\Home\AppData\Local\Google\Chrome\User Data\Default\Extensions\honmgldinfkdoibjgmofiioodbclaomc
CHR HKU\S-1-5-21-101606146-3109497476-2771067470-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gndoicapfdaldiokbcdnllfhnapokcbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ikpcpgklmefncbfgbdifkaphbaapgafh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdhpacfhljhcombkalcmkahkhodpkbim] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
2019-01-23 22:30 - 2019-01-23 22:38 - 000000004 _____ C:\Users\Все пользователи\lock.dat
2019-01-23 22:30 - 2019-01-23 22:38 - 000000004 _____ C:\ProgramData\lock.dat
2019-01-23 22:30 - 2019-01-23 22:30 - 000000008 _____ C:\Users\Все пользователи\ts.dat
2019-01-23 22:30 - 2019-01-23 22:30 - 000000008 _____ C:\ProgramData\ts.dat
2019-01-23 22:30 - 2019-01-23 22:30 - 000000004 _____ C:\Users\Все пользователи\irw.atsd
2019-01-23 22:30 - 2019-01-23 22:30 - 000000004 _____ C:\ProgramData\irw.atsd
2019-01-23 22:24 - 2019-01-23 22:39 - 000000000 ____D C:\Users\Все пользователи\localNETService
2019-01-23 22:24 - 2019-01-23 22:39 - 000000000 ____D C:\ProgramData\localNETService
2019-01-23 22:20 - 2019-01-23 22:20 - 000000000 ____D C:\Users\Home\AppData\Roaming\EpicNet Inc
2019-01-23 22:15 - 2019-01-25 22:22 - 000000000 ___HD C:\Windows\rss
2019-01-23 22:15 - 2019-01-23 23:55 - 000000000 ____D C:\Users\Все пользователи\eJBlAwaaSdTwMIVB
2019-01-23 22:15 - 2019-01-23 23:55 - 000000000 ____D C:\ProgramData\eJBlAwaaSdTwMIVB
2019-01-23 22:15 - 2019-01-23 22:15 - 000000000 ____D C:\Users\Home\AppData\LocalLow\mZCuDWrzvCUOf
2019-01-23 22:14 - 2019-01-23 23:55 - 000000000 ____D C:\Users\Home\AppData\Roaming\YoutubeDownloader_upd
2019-01-23 22:14 - 2019-01-23 23:55 - 000000000 ____D C:\Users\Home\AppData\Local\WhiteClick
2019-01-23 22:14 - 2019-01-23 22:29 - 000000000 ____D C:\Users\Home\AppData\Roaming\YoutubeDownloader
2019-01-23 22:14 - 2019-01-23 22:19 - 000000000 ____D C:\Users\Home\AppData\Roaming\Kodobi
2019-01-23 22:14 - 2019-01-23 22:14 - 000000000 ____D C:\Users\Home\AppData\Roaming\Python
2019-01-23 22:13 - 2019-01-23 22:13 - 000000000 ____D C:\Users\Все пользователи\2JKMURC72Y9B7P
2019-01-23 22:13 - 2019-01-23 22:13 - 000000000 ____D C:\ProgramData\2JKMURC72Y9B7P
2019-01-23 23:54 - 2019-01-23 23:56 - 001527488 _____ (Microsoft Corporation) C:\Users\Home\AppData\Local\Temp\dbghelp.dll
2019-01-23 23:54 - 2019-01-23 23:56 - 000167616 _____ (Microsoft Corporation) C:\Users\Home\AppData\Local\Temp\symsrv.dll
Task: {6EA2E694-9B48-4081-88F0-86E7BC60847F} - \ScheduledUpdate -> No File <==== ATTENTION
Task: {6FBC75F9-4CF3-4362-8025-822369CA98F8} - System32\Tasks\YoutubeDownloader => C:\Users\Home\AppData\Roaming\YoutubeDownloader\python\pythonw.exe <==== ATTENTION
HKU\S-1-5-21-101606146-3109497476-2771067470-1001\...\StartupApproved\Run: => "CloudNet"
HKU\S-1-5-21-101606146-3109497476-2771067470-1001\...\StartupApproved\Run: => "BlackLake"
FirewallRules: [{81F08378-C864-49F2-8925-AE5291FA75CA}] => (Allow) C:\Users\Home\AppData\Local\Microsoft\Windows\1033\ColorScheme.exe No File
FirewallRules: [{D6D477BB-8949-4959-A0A8-9B1838AD3DA5}] => (Allow) C:\Users\Home\AppData\Local\Microsoft\Windows\1033\ColorScheme.exe No File
FirewallRules: [{895157B1-BB32-4D85-B6EE-C0D8862C9242}] => (Allow) C:\Users\Home\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{B385AA38-25A0-4C7F-83F5-518F16373DC6}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{312ABEB7-4B44-43F3-B56E-709EEC706302}] => (Allow) C:\Users\Home\AppData\Local\Microsoft\Windows\1033\ColorScheme.exe No File
FirewallRules: [{C0187163-65F7-489E-B860-638A8F3A53ED}] => (Allow) C:\Users\Home\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{9DF99532-9B28-445E-A517-2F45B77CCA28}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{5D7A0C4C-3682-4903-8FC5-9F3121BFD97F}] => (Allow) C:\Users\Home\AppData\Local\Microsoft\Windows\1033\ColorScheme.exe No File
FirewallRules: [{18C6AB4D-361C-4D7D-AF49-DE5F20C67A87}] => (Allow) C:\Users\Home\AppData\Local\Microsoft\Windows\1033\ColorScheme.exe No File
FirewallRules: [{7A76B1A8-71FA-4684-8FF3-A1592DC2E53F}] => (Allow) C:\Users\Home\AppData\Local\Microsoft\Windows\1033\ColorScheme.exe No File
FirewallRules: [{3F69E811-7C30-4579-9307-C211265F07E8}] => (Allow) C:\Users\Home\AppData\Local\Microsoft\Windows\1033\ColorScheme.exe No File
FirewallRules: [{39F09ADC-2480-4A83-9AF4-40E9787E6D92}] => (Allow) C:\Users\Home\AppData\Local\Microsoft\Windows\1033\ColorScheme.exe No File
FirewallRules: [{3D7FF2A9-2CD4-4F4A-8E61-28E379A9168B}] => (Allow) C:\Users\Home\AppData\Local\Microsoft\Windows\1033\ColorScheme.exe No File
FirewallRules: [{F0212007-E258-4222-9944-8B11F65CCE10}] => (Allow) E:\Games\Grand Theft Auto V\GTA5.exe No File
FirewallRules: [{FFFA2D44-E7ED-4956-8D22-551B894DE373}] => (Allow) E:\Games\Grand Theft Auto V\GTA5.exe No File
FirewallRules: [{9CFF39F7-3916-4C59-BD83-137BB22142B6}] => (Allow) E:\Games\Simcity\SimCity\SimCity.exe No File
FirewallRules: [{2069403E-5D6B-4825-9D9B-F1B600326B95}] => (Allow) E:\Games\Simcity\SimCity\SimCity.exe No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@pingvvin94 · 27.01.2019, 11:05 **[ТС]**

Выполнено

@thyrex · 27.01.2019, 12:00

Сделайте лог AdwCleaner

@pingvvin94 · 27.01.2019, 12:11 **[ТС]**

Сделано

@thyrex · 27.01.2019, 12:14

Все найденное удалите в AdwCleaner

@pingvvin94 · 27.01.2019, 12:22 **[ТС]**

Удалилось все, кроме пульса.

@thyrex · 27.01.2019, 12:59

После удаления должен быть другой лог с буквой C

@pingvvin94 · 27.01.2019, 13:02 **[ТС]**

Прошу прощения - этот должен быть корректен

@thyrex · 27.01.2019, 13:09

Что с проблемой?

@pingvvin94 · 27.01.2019, 13:32 **[ТС]**

Chrome открывается - спасибо. Нагрузка на ноут тоже снизилась. Только вот в процессах в автозапуске еще осталась такая штука...

@thyrex · 27.01.2019, 13:41

C:\Users\Home\AppData\Roaming\Microsoft\ Windows\Start Menu\Programs\Startup\Shortcut to Primary output from Start (Active).lnk удалите вручную.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Процитируйте содержимое файла в своем следующем сообщении.

@pingvvin94 · 27.01.2019, 14:04 **[ТС]**

Сделано

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 27.01.2019 11:48:51
Path starting: C:\Users\Home\AppData\Local\Temp\Securit yCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Home
VersionXML: 5.85is-24.01.2019
________________________________________ ___________________________________

Windows 10(6.3.17134) (x64) Professional Версия: 1803 Lang: Russian(0419)
Дата установки ОС: 23.01.2019 22:35:38
Статус лицензии: Windows(R), Professional edition Срок истечения многопользовательской активации: 79890 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.e xe
Системный диск: C: ФС: [NTFS] Емкость: [51.3 Гб] Занято: [38 Гб] Свободно: [13.3 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.112.17134.0 Внимание! Скачать обновления
Контроль учётных записей пользователя включен (Уровень 3)
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Восстановление системы отключено
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (отключен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (отключен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Emsisoft Anti-Malware v.2018.12
-------------------------- [ SecurityUtilities ] --------------------------
Emsisoft Anti-Malware v.2018.12
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.60 (64-разрядная) v.5.60.0 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.14.1.48 v.3.14.1.48 Внимание! Скачать обновления
Steam v.2.10.91.91
--------------------------------- [ IM ] ----------------------------------
Discord v.0.0.304
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.44994 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.114
------------------------------- [ Browser ] -------------------------------
Google Chrome v.71.0.3578.98
------------------ [ AntivirusFirewallProcessServices ] -------------------
Emsisoft Protection Service (a2AntiMalware) - Служба остановлена
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.1812.3-0\MsMpEng.exe v.4.18.1812.3
C:\Program Files\Windows Defender\MSASCuiL.exe v.4.13.17134.1
Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
WhiteClick v.4.1.6 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------

@thyrex · 27.01.2019, 14:20

Исправляйте указанное + Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .	Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .

@thyrex 14449 / 7488 / 1582 Регистрация: 06.09.2009 Сообщений: 27,132
	26.01.2019, 10:13
	Скачайте Farbar Recovery Scan Tool [img]https://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]https://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив**) и прикрепите к сообщению. 0

@thyrex 14449 / 7488 / 1582 Регистрация: 06.09.2009 Сообщений: 27,132
	27.01.2019, 12:00
	Сделайте лог AdwCleaner 0

@thyrex 14449 / 7488 / 1582 Регистрация: 06.09.2009 Сообщений: 27,132
	27.01.2019, 12:14
	Все найденное удалите в AdwCleaner 0

@thyrex 14449 / 7488 / 1582 Регистрация: 06.09.2009 Сообщений: 27,132
	27.01.2019, 12:59
	После удаления должен быть другой лог с буквой C 0

@thyrex 14449 / 7488 / 1582 Регистрация: 06.09.2009 Сообщений: 27,132
	27.01.2019, 13:09
	Что с проблемой? 0

@pingvvin94 0 / 0 / 0 Регистрация: 25.01.2019 Сообщений: 13
	27.01.2019, 13:32 [ТС]
	Chrome открывается - спасибо. Нагрузка на ноут тоже снизилась. Только вот в процессах в автозапуске еще осталась такая штука... Миниатюры 0

@thyrex 14449 / 7488 / 1582 Регистрация: 06.09.2009 Сообщений: 27,132
	27.01.2019, 13:41
	C:\Users\Home\AppData\Roaming\Microsoft\ Windows\Start Menu\Programs\Startup\Shortcut to Primary output from Start (Active).lnk удалите вручную. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. 0

@thyrex 14449 / 7488 / 1582 Регистрация: 06.09.2009 Сообщений: 27,132
	27.01.2019, 14:20
	Сообщение было отмечено pingvvin94 как решение Решение Исправляйте указанное + Рекомендации после удаления вредоносного ПО 1

Трояны + подозрение на фишинг

Решение