ЕВГЕНИЙ: Плановая проверка

ukh255

039 ювс http://rgho.st/8Vc8rzfR2

safety

по 039:
каких то проблем не вижу.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

regt 27
deltmp
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {087D4A97-18A9-4D99-C3DA-B4A1A723340B}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 16.0.1\X64\MCOUAS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 17.0.0\X64\MCOUAS.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 16.0.0\X64\MCOUAS.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

---

далее,
выполните сканирование (угроз) в Malwarebytes

ukh255

040 ювс http://rgho.st/6LMK9FVJk

safety

по 040:
каких то особых угроз, судя по образу, не обнаружено.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://G.UK.MSN.COM/HPALL/36
delref HTTP://EU.ASK.COM/WEB?Q={SEARCHTERMS}&L=DIS&O=HPNTDF
delref HTTP://RU.SEARCH.YAHOO.COM/SEARCH?P={SEARCHTERMS}&EI={INPUTENCODING}&FR=CHR-HP-PSG&TYPE=HPNTDF
delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
apply

deltmp
delref %SystemDrive%\USERS\9734~1\APPDATA\LOCAL\TEMP\CHROME_BITS_4904_13399\27.0.0.170_WIN64_PEPPERFLASHPLAYER.CRX2
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %Sys32%\BLANK.HTM
delref APPMGMT\[SERVICE]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SAM CODEC PACK\FILTERS\G2MWMPPLUGIN64.DLL
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ATI TECHNOLOGIES\ATI.ACE\CORE-IMPLEMENTATION\64\WBOCX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

---

далее,
выполните сканирование (угроз) в Malwarebytes

ukh255

041 ювс http://rgho.st/6fN2PZkM5
http://rgho.st/7WV6GdRKZ вот такая гадость н акомпе появилась - просьба поубирать все, что китайские друзья нам понаставили )

safety

по 041:
пробуем вначале исключить эти штуки через виртуализацию скриптом в uVS:

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
sreg

;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PINYIN\5.0.1.6278\2345PINYINSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PCSAFE\3.3.0.8521\2345SAFESVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PCSAFE\3.3.0.8521\SOFTMGR\2345SOFTSVC.EXE
delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\HAOZIPSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345EXPLORER7Z\PROTECT\PROTECT_2345EXPLORER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PINYIN\5.0.1.6278\2345PINYINTOOL.EXE
delref %Sys32%\DRIVERS\2345BDPCSAFE.SYS
delref %Sys32%\DRIVERS\2345CPORT.SYS
delref %Sys32%\DRIVERS\2345DUMPBLOCK.SYS
delref %Sys32%\DRIVERS\2345FSMONITOR.SYS
delref %Sys32%\DRIVERS\2345NETFIREWALL.SYS
delref %Sys32%\DRIVERS\2345NSPROTECT.SYS
delref %Sys32%\DRIVERS\2345PORT.SYS
delref %Sys32%\DRIVERS\2345WEBPROTECTFRAME.SYS
delref %Sys32%\DRIVERS\2345WRATH.SYS
delref HTTP://WWW.2345.COM/?KHJFSY
apply

areg

перезагрузка, добавить новый образ автозапуска для контроля и дальнейшей очистки.

---

ukh255

новый образ http://rgho.st/7wCHn6v5M

safety

активных процессов, сервисов и драйверов теперь нет. зачищаем систему.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PINYIN\5.0.1.6278\2345PINYINTOOL.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PCSAFE\3.3.0.8521\2345SAFEBHO.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PCSAFE\3.3.0.8521\2345SAFEBHO64.DLL
delall %SystemDrive%\PROGRAM FILES\HAOZIP\HAOZIP.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
deltmp
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\23AE6D68F34C2CF9DEAC780B187D7E72\56816C5257A3FE942C70B10C96DA3CAA2A7AE1EB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\07AD479160400C1666DDF17EA79828DA\D706FAFD682221F168DEB7B8C3B6FAC538CA9E3D
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\{EFFF0171-B58A-47D8-B7D3-FC300FAE5ABE}\MPKSL3880642B.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\WPCCPL.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref E:\AUTORUN.EXE
;-------------------------------------------------------------

deldirex %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345EXPLORER7Z
deldirex %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PCSAFE\3.3.0.8521
deldirex %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PINYIN\5.0.1.6278
apply

restart

перезагрузка, пишем о старых и новых проблемах.

---

далее,
выполните сканирование (угроз) в Malwarebytes

ukh255

мбам http://rgho.st/7hq8nCJ2J
http://rgho.st/6mr5Dfyw2

safety

тут два варианта:
или удаляем все найденное в мбам, если driverPack не нужен в системе
(есть риск, что через DriverPack в систему могут попасть непроверенные драйвера)
или удаляем только объекты PUP.Optional.Elex

---

перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

ukh255

фрст http://rgho.st/8pbkLJ5CF

safety

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
2018-01-11 14:03 - 2018-01-11 16:33 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\2345安全中心
2018-01-11 14:03 - 2018-01-11 14:18 - 000002519 _____ C:\Users\АКВАРИУМ\Desktop\软件管家.lnk
2018-01-11 14:03 - 2018-01-11 14:18 - 000002511 _____ C:\Users\АКВАРИУМ\AppData\Roaming\Microsoft\Windows\Start Menu\2345软件管家.lnk
2018-01-11 14:03 - 2018-01-11 14:18 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345SoftMgr
2018-01-11 14:05 - 2018-01-11 16:33 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\LocalLow\2345Pinyin
2018-01-11 14:05 - 2018-01-11 14:05 - 000000000 ____D C:\Users\Все пользователи\2345Pinyin
2018-01-11 14:05 - 2018-01-11 14:05 - 000000000 ____D C:\ProgramData\2345Pinyin
2018-01-11 14:05 - 2017-12-13 13:28 - 004248368 _____ (2345.com) C:\Windows\system32\2345PinyinTSF.dll
2018-01-11 14:05 - 2017-12-13 13:28 - 003655984 _____ (2345.com) C:\Windows\SysWOW64\2345PinyinTSF.dll
2018-01-11 14:03 - 2018-01-11 14:03 - 000436680 _____ (2345.com) C:\Windows\system32\Drivers\2345NsProtect.sys
2018-01-11 14:03 - 2018-01-11 14:03 - 000272328 _____ (2345.com) C:\Windows\system32\Drivers\2345BdPcSafe.sys
2018-01-11 14:03 - 2018-01-11 14:03 - 000165320 _____ (2345.com) C:\Windows\system32\Drivers\2345Wrath.sys
2018-01-11 14:03 - 2018-01-11 14:03 - 000104904 _____ (2345.com) C:\Windows\system32\Drivers\2345CPort.sys
2018-01-11 14:58 - 2018-01-11 14:58 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\Shield_2345Explorer
2018-01-11 14:03 - 2018-01-11 14:03 - 000099272 _____ (2345.com) C:\Windows\system32\Drivers\2345NetFirewall.sys
2018-01-11 14:03 - 2018-01-11 14:03 - 000062408 _____ (2345.com) C:\Windows\system32\Drivers\2345FsMonitor.sys
2018-01-11 14:03 - 2018-01-11 14:03 - 000047560 _____ (2345.com) C:\Windows\system32\Drivers\2345DumpBlock.sys
2018-01-11 14:03 - 2018-01-11 14:03 - 000022984 _____ (2345.com) C:\Windows\system32\Drivers\2345Port.sys
2018-01-11 14:03 - 2018-01-11 14:03 - 000002529 _____ C:\Users\АКВАРИУМ\AppData\Roaming\Microsoft\Windows\Start Menu\强力卸载电脑中的软件 .lnk
2018-01-11 14:03 - 2018-01-11 14:03 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345PCSafe
2018-01-11 14:03 - 2018-01-11 14:03 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345AvScan
2018-01-11 14:02 - 2018-01-11 14:05 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\2345王牌软件
2018-01-11 14:02 - 2018-01-11 14:02 - 000000000 ____D C:\2345下载
2018-01-11 14:01 - 2018-01-11 14:05 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345Pic
2018-01-11 14:01 - 2018-01-11 14:05 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345MiniPage
2018-01-11 14:01 - 2018-01-11 14:04 - 000000000 ____D C:\Program Files (x86)\2345Soft
2018-01-11 13:59 - 2018-01-11 15:59 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345DomainMon
2018-01-11 13:59 - 2018-01-11 13:59 - 000001787 _____ C:\Users\АКВАРИУМ\Desktop\网址导航.lnk
2018-01-11 13:58 - 2018-01-11 13:58 - 000002020 _____ C:\Users\АКВАРИУМ\AppData\Roaming\Microsoft\Windows\Start Menu\好压.lnk
2018-01-11 13:58 - 2018-01-11 13:58 - 000001996 _____ C:\Users\АКВАРИУМ\Desktop\好压.lnk
2018-01-11 13:58 - 2018-01-11 13:58 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\好压
2018-01-11 13:58 - 2018-01-11 13:58 - 000000000 ____D C:\Program Files\2345Soft
ContextMenuHandlers1: [HaoZip] -> {5FED836A-C96C-4d88-A91E-F63F07726585} => C:\Program Files\2345Soft\HaoZip\HaoZipExt.dll [2017-12-19] (2345.com)
ContextMenuHandlers2: [2345PCSafe] -> {C4F75DB1-B9F4-425A-9F5B-778911BCF176} =>  -> No File
ContextMenuHandlers2: [HaoZip] -> {5FED836A-C96C-4d88-A91E-F63F07726585} => C:\Program Files\2345Soft\HaoZip\HaoZipExt.dll [2017-12-19] (2345.com)
ContextMenuHandlers4: [HaoZip] -> {5FED836A-C96C-4d88-A91E-F63F07726585} => C:\Program Files\2345Soft\HaoZip\HaoZipExt.dll [2017-12-19] (2345.com)
ContextMenuHandlers6: [HaoZip] -> {5FED836A-C96C-4d88-A91E-F63F07726585} => C:\Program Files\2345Soft\HaoZip\HaoZipExt.dll [2017-12-19] (2345.com)
EmptyTemp:
Reboot:

ukh255

ювс http://rgho.st/78tt77TST

safety

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
delall %SystemDrive%\USERS\АКВАРИУМ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\强力卸载电脑中的软件 .LNK
delall %SystemDrive%\USERS\АКВАРИУМ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\2345安全中心\2345软件管家.LNK
delall %SystemDrive%\USERS\АКВАРИУМ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\2345软件管家.LNK
delall %SystemRoot%\SYSWOW64\2345PINYINTSF.DLL
delall %Sys32%\2345PINYINTSF.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PCSAFE\3.3.0.8521\SOFTMGR\2345SOFTMGR.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PCSAFE\3.3.0.8521\SOFTMGR\2345SOFTNOTIFY.EXE
deldir %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP
deldir %SystemDrive%\PROGRAM FILES\HAOZIP
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\HAOZIPEXT32.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\HAOZIP.EXE
delref %SystemDrive%\PROGRAM FILES\ORACLE\VIRTUALBOX GUEST ADDITIONS\UNINST.EXE
delref %SystemDrive%\PROGRAM FILES\ORACLE\VIRTUALBOX GUEST ADDITIONS\ORACLE VM VIRTUALBOX GUEST ADDITIONS.URL
delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\HAOZIPUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\HAOZIPMD5.EXE
delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\HAOZIPREPLACE.EXE
delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\HAOZIPRENAME.EXE
delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\HAOZIPCD.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

ukh255

http://rgho.st/8T79GvFtx

safety

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

2018-01-11 14:58 - 2018-01-11 14:58 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\Shield_2345Explorer
2018-01-11 14:05 - 2018-01-11 17:24 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\LocalLow\2345Pinyin
2018-01-11 14:03 - 2018-01-11 14:18 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345SoftMgr
2018-01-11 14:03 - 2018-01-11 14:03 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345PCSafe
2018-01-11 14:03 - 2018-01-11 14:03 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345AvScan
2018-01-11 14:01 - 2018-01-11 14:05 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345Pic
2018-01-11 14:01 - 2018-01-11 14:05 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345MiniPage
2018-01-11 13:59 - 2018-01-11 15:59 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345DomainMon
Task: {FAD53971-9B5D-403A-B0E7-DCA8F38E9202} - \Execute 2345Pinyin MiniPage Task -> No File <==== ATTENTION
EmptyTemp:
Reboot:

safety

Женя, напиши, в каком состоянии сейчас система.

ukh255

042 файлвый... реально удаленно вылечить?
если что то есть возможность привезти его в офис
http://rgho.st/7ClSJnTZg это то что каспер выдает
ювс http://rgho.st/7WLjYKsMY

safety

по имени папки создается исполняемый файл, возможно это активный червь, сейчас гляну образ автозапуска.

19.01.2018 12.45.06 Объект (файл) не обработан C:\Users\Public\Public.exe Программа: Microsoft Windows Search Protocol Host Файл: C:\Users\Public\Public.exe Время: 19.01.2018 12:45 Название объекта: Trojan.Win32.Agentb.adkr Причина: Ошибка
19.01.2018 12.45.06 Объект (файл) не обработан C:\Users\Public\Public.exe Программа: Microsoft Windows Search Protocol Host Файл: C:\Users\Public\Public.exe Время: 19.01.2018 12:45 Название объекта: Trojan.Win32.Agentb.adkr Причина: Ошибка
19.01.2018 12.43.48 Объект (файл) не обработан C:\Users\Public\Public.exe Программа: System Файл: C:\Users\Public\Public.exe Время: 19.01.2018 12:43 Название объекта: Trojan.Win32.Agentb.adkr Причина: Ошибка
19.01.2018 12.43.48 Объект (файл) не обработан C:\Users\Public\Public.exe Программа: System Файл: C:\Users\Public\Public.exe Время: 19.01.2018 12:43 Название объекта: Trojan.Win32.Agentb.adkr Причина: Ошибка

safety

Женя,
файл образа в архиве пустой. надо переделать образ.

PROGRESS_2018-01-19_12-58-00.TXT 0 байт

попробуйте еще раз сделать образ, если есть такая возможность, сделайте из безопасного режима системы.

ukh255

новый http://rgho.st/8N9qNFmbG

safety

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\PUBLIC\FOXIT SOFTWARE\SOFTWARE.EXE
addsgn 988C1FEA242A4C9A74D7AEB1DB5C120525013B1E0AEA1F780CA62D37A45F4F1ADC02B7277E5516073B09895FB55049713BDB4BBEA69CB0A77B7F2D3A17F56473 8 tr 7

zoo %SystemDrive%\USERS\PUBLIC\FOXIT SOFTWARE\FOXIT READER\READER.PIF
zoo %SystemDrive%\USERS\PUBLIC\DOWNLOADS\DOWNLOADS.EXE
zoo %SystemDrive%\USERS\PUBLIC\DOCUMENTS\DOCUMENTS.EXE
zoo %SystemDrive%\USERS\PUBLIC\FAVORITES\FAVORITES.BAT
chklst
delvir

apply

deltmp
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\ASECARDCRYPTOCSP.DLL
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {041CA328-918A-4EB9-BBC0-525BB3E5B535}\[CLSID]
delref {2A5D2C17-4836-4BBE-897F-64167A9101EB}\[CLSID]
delref {5FAB84B8-F777-45C0-A23A-A7074432A2B9}\[CLSID]
delref {6220FB26-353D-4F22-9E8B-2CAA1B1A5211}\[CLSID]
delref {77E65655-CE52-4AA0-B431-1ABED0D9A59C}\[CLSID]
delref {8E39EBE3-185C-40DC-88D7-D3285CFF07B2}\[CLSID]
delref {9B162141-8C4B-47B8-B0A4-678026ADB884}\[CLSID]
delref {AAF93162-F338-41CB-BB5F-4115BDA972FB}\[CLSID]
delref {B5B27B9D-BDFC-4645-9AA5-33A8008E3860}\[CLSID]
delref {B738032D-77A3-443B-B7FB-BAD755CBB314}\[CLSID]
delref {C8804369-9983-48B4-ACED-DB6C44418EA4}\[CLSID]
delref {FE341F2F-1296-4C20-82C0-E6EC54F4D8B7}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %Sys32%\ASECARDCRYPTOCSP.DLL
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\WEBREP\FF
delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\SAFEPRICE\FF
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref {45194E79-300B-4768-A59B-2F81DD345F4A}\[CLSID]
delref {6C4F64E2-D7CE-4748-EB70-C911BABCED46}\[CLSID]
delref %SystemDrive%\USERS\USER\DESKTOP\TEAMVIEWER_SETUP.EXE
;-------------------------------------------------------------
czoo

restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z) отправить в почту [email protected]

---

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

ukh255

http://rgho.st/6hwlDwWbb

safety

судя по свежему образу, новых вирусных тел не появилось.
Можно обновить базы Каспера, просканировать с очисткой диски, затем еще сделать проверку в малваребайт, и хорошо бы еще сделать логи в FRST

ukh255

Malwarebytes
www.malwarebytes.com

-Данные журнала-
Дата проверки: 19.01.18
Время проверки: 15:43
Файл журнала: a0677e80-fcdb-11e7-8230-00ffb62168a1.json
Администратор: Да

-Информация о ПО-
Версия: 3.3.1.2183
Версия компонентов: 1.0.262
Версия пакета обновления: 1.0.3728
Лицензия: Ознакомительная версия

-Информация о системе-
ОС: Windows 7 Service Pack 1
Процессор: x64
Файловая система: NTFS
Пользователь: PROGRESS\USER

-Отчет о проверке-
Тип проверки: Полная проверка
Результат: Завершено
Проверено объектов: 232959
Обнаружено угроз: 5
Помещено в карантин: 0
(Вредоносные программы не обнаружены)
Затраченное время: 3 мин, 56 с

-Настройки проверки-
Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Выключено
Эвристика: Включено
PUP: Обнаружение
PUM: Обнаружение

-Данные проверки-
Процесс: 1
RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [226], [133383],1.0.3728

Модуль: 1
RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [226], [133383],1.0.3728

Раздел реестра: 0
(Вредоносные программы не обнаружены)

Значение реестра: 0
(Вредоносные программы не обнаружены)

Данные реестра: 0
(Вредоносные программы не обнаружены)

Поток данных: 0
(Вредоносные программы не обнаружены)

Папка: 0
(Вредоносные программы не обнаружены)

Файл: 3
RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [226], [133383],1.0.3728
PUP.Optional.JumpyApps, C:\USERS\USER\DOCUMENTS\ZIPEXTRACTORSETUP.EXE, Проигнорировано пользователем, [2747], [278244],1.0.3728
PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, [611], [454830],1.0.3728

Физический сектор: 0
(Вредоносные программы не обнаружены)


(end)

safety

это можно удалить в mbam:

PUP.Optional.JumpyApps, C:\USERS\USER\DOCUMENTS\ZIPEXTRACTORSETUP.EXE, Проигнорировано пользователем, [2747], [278244],1.0.3728
PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, [611], [454830],1.0.3728

+
сделать еще проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

ukh255

http://rgho.st/88wWj6nBF

safety

при сканировании Касперским что-то еще было найдено?
+
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
EmptyTemp:
Reboot:

ukh255

Fix result of Farbar Recovery Scan Tool (x64) Version: 17.01.2018 01
Ran by USER (19-01-2018 16:19:39) Run:1
Running from C:\Users\USER\Desktop
Loaded Profiles: USER (Available Profiles: USER)
Boot Mode: Normal
==============================================

fixlist content:
*****************
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
EmptyTemp:
Reboot:
*****************

"HKLM\SOFTWARE\Google\Chrome\Extensions\mchjnmdbdlkdbfliogedbnpnanfjnolk" => removed successfully
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mchjnmdbdlkdbfliogedbnpnanfjnolk" => removed successfully

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 8742701 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 1657371 B
Edge => 0 B
Chrome => 181902252 B
Firefox => 5659548 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 120149 B
systemprofile32 => 82757 B
LocalService => 66228 B
NetworkService => 66228 B
USER => 1986165 B

RecycleBin => 93156479 B
EmptyTemp: => 287.8 MB temporary data Removed.

================================


The system needed a reboot.

safety

Сканирование диска Касперским выполнено? если да, тогда что-то он еще нашел из тел этого червя?