В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

ЕВГЕНИЙ: Плановая проверка

145791013

Комментарии

  • по 039:
    каких то проблем не вижу.

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    apply
    
    regt 27
    deltmp
    delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
    delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
    delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
    delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
    delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
    delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
    delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
    delref %SystemRoot%\SYSWOW64\UMPO.DLL
    delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
    delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
    delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
    delref %SystemRoot%\SYSWOW64\LSM.EXE
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref %SystemRoot%\SYSWOW64\WIN32K.SYS
    delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
    delref {087D4A97-18A9-4D99-C3DA-B4A1A723340B}\[CLSID]
    delref %SystemRoot%\SYSWOW64\BLANK.HTM
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
    delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
    delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
    delref %Sys32%\BLANK.HTM
    delref HELPSVC\[SERVICE]
    delref SACSVR\[SERVICE]
    delref VMMS\[SERVICE]
    delref MESSENGER\[SERVICE]
    delref RDSESSMGR\[SERVICE]
    delref %Sys32%\PSXSS.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 16.0.1\X64\MCOUAS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 17.0.0\X64\MCOUAS.DLL
    delref %Sys32%\SHAREMEDIACPL.CPL
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 16.0.0\X64\MCOUAS.DLL
    ;-------------------------------------------------------------
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    выполните сканирование (угроз) в Malwarebytes
  • отредактировано декабря 2017 PM
    по 040:
    каких то особых угроз, судя по образу, не обнаружено.

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    delref HTTP://G.UK.MSN.COM/HPALL/36
    delref HTTP://EU.ASK.COM/WEB?Q={SEARCHTERMS}&L=DIS&O=HPNTDF
    delref HTTP://RU.SEARCH.YAHOO.COM/SEARCH?P={SEARCHTERMS}&EI={INPUTENCODING}&FR=CHR-HP-PSG&TYPE=HPNTDF
    delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
    apply
    
    deltmp
    delref %SystemDrive%\USERS\9734~1\APPDATA\LOCAL\TEMP\CHROME_BITS_4904_13399\27.0.0.170_WIN64_PEPPERFLASHPLAYER.CRX2
    delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
    delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
    delref %SystemRoot%\SYSWOW64\UMPO.DLL
    delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
    delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
    delref %SystemRoot%\SYSWOW64\LSM.EXE
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref %SystemRoot%\SYSWOW64\WIN32K.SYS
    delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
    delref %SystemRoot%\SYSWOW64\BLANK.HTM
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
    delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
    delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
    delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
    delref %Sys32%\BLANK.HTM
    delref APPMGMT\[SERVICE]
    delref HELPSVC\[SERVICE]
    delref SACSVR\[SERVICE]
    delref VMMS\[SERVICE]
    delref MESSENGER\[SERVICE]
    delref RDSESSMGR\[SERVICE]
    delref %Sys32%\PSXSS.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\SAM CODEC PACK\FILTERS\G2MWMPPLUGIN64.DLL
    delref %Sys32%\IGFXCFG.EXE
    delref %Sys32%\SHAREMEDIACPL.CPL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\ATI TECHNOLOGIES\ATI.ACE\CORE-IMPLEMENTATION\64\WBOCX.OCX
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    ;-------------------------------------------------------------
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    выполните сканирование (угроз) в Malwarebytes
  • 041 ювс http://rgho.st/6fN2PZkM5
    http://rgho.st/7WV6GdRKZ вот такая гадость н акомпе появилась - просьба поубирать все, что китайские друзья нам понаставили )
  • отредактировано января 2018 PM
    по 041:
    пробуем вначале исключить эти штуки через виртуализацию скриптом в uVS:

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    v400c
    OFFSGNSAVE
    sreg
    
    ;---------command-block---------
    delref %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PINYIN\5.0.1.6278\2345PINYINSVC.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PCSAFE\3.3.0.8521\2345SAFESVC.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PCSAFE\3.3.0.8521\SOFTMGR\2345SOFTSVC.EXE
    delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\HAOZIPSVC.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345EXPLORER7Z\PROTECT\PROTECT_2345EXPLORER.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PINYIN\5.0.1.6278\2345PINYINTOOL.EXE
    delref %Sys32%\DRIVERS\2345BDPCSAFE.SYS
    delref %Sys32%\DRIVERS\2345CPORT.SYS
    delref %Sys32%\DRIVERS\2345DUMPBLOCK.SYS
    delref %Sys32%\DRIVERS\2345FSMONITOR.SYS
    delref %Sys32%\DRIVERS\2345NETFIREWALL.SYS
    delref %Sys32%\DRIVERS\2345NSPROTECT.SYS
    delref %Sys32%\DRIVERS\2345PORT.SYS
    delref %Sys32%\DRIVERS\2345WEBPROTECTFRAME.SYS
    delref %Sys32%\DRIVERS\2345WRATH.SYS
    delref HTTP://WWW.2345.COM/?KHJFSY
    apply
    
    areg
    
    
    перезагрузка, добавить новый образ автозапуска для контроля и дальнейшей очистки.
  • активных процессов, сервисов и драйверов теперь нет. зачищаем систему.

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    v400c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    delall %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PINYIN\5.0.1.6278\2345PINYINTOOL.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PCSAFE\3.3.0.8521\2345SAFEBHO.DLL
    delall %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PCSAFE\3.3.0.8521\2345SAFEBHO64.DLL
    delall %SystemDrive%\PROGRAM FILES\HAOZIP\HAOZIP.EXE
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
    apply
    
    regt 27
    deltmp
    delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
    delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\23AE6D68F34C2CF9DEAC780B187D7E72\56816C5257A3FE942C70B10C96DA3CAA2A7AE1EB
    delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\07AD479160400C1666DDF17EA79828DA\D706FAFD682221F168DEB7B8C3B6FAC538CA9E3D
    delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
    delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
    delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
    delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
    delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
    delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
    delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
    delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
    delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
    delref %SystemRoot%\SYSWOW64\LSM.DLL
    delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
    delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
    delref %SystemRoot%\SYSWOW64\BLANK.HTM
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
    delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
    delref %Sys32%\BLANK.HTM
    delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
    delref HELPSVC\[SERVICE]
    delref SACSVR\[SERVICE]
    delref TBS\[SERVICE]
    delref VMMS\[SERVICE]
    delref MESSENGER\[SERVICE]
    delref RDSESSMGR\[SERVICE]
    delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\{EFFF0171-B58A-47D8-B7D3-FC300FAE5ABE}\MPKSL3880642B.SYS
    delref %Sys32%\PSXSS.EXE
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
    delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
    delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
    delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
    delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
    delref %SystemRoot%\SYSWOW64\WPCCPL.DLL
    delref %SystemRoot%\SYSWOW64\GPSVC.DLL
    delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
    delref E:\AUTORUN.EXE
    ;-------------------------------------------------------------
    
    deldirex %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345EXPLORER7Z
    deldirex %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PCSAFE\3.3.0.8521
    deldirex %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PINYIN\5.0.1.6278
    apply
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    выполните сканирование (угроз) в Malwarebytes
  • отредактировано января 2018 PM
  • отредактировано января 2018 PM
    тут два варианта:
    или удаляем все найденное в мбам, если driverPack не нужен в системе
    (есть риск, что через DriverPack в систему могут попасть непроверенные драйвера)
    или удаляем только объекты PUP.Optional.Elex
    перегрузите систему
    далее,
    3.сделайте проверку в АдвКлинере
    http://forum.esetnod32.ru/forum9/topic7084/

    *****
    4.в АдвКлинере, после завершения проверки,
    в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
    остальное удалите по кнопке Очистить
    далее,

    5.сделайте проверку в FRST
    http://forum.esetnod32.ru/forum9/topic2798/
  • 6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
    2018-01-11 14:03 - 2018-01-11 16:33 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\2345安全中心
    2018-01-11 14:03 - 2018-01-11 14:18 - 000002519 _____ C:\Users\АКВАРИУМ\Desktop\软件管家.lnk
    2018-01-11 14:03 - 2018-01-11 14:18 - 000002511 _____ C:\Users\АКВАРИУМ\AppData\Roaming\Microsoft\Windows\Start Menu\2345软件管家.lnk
    2018-01-11 14:03 - 2018-01-11 14:18 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345SoftMgr
    2018-01-11 14:05 - 2018-01-11 16:33 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\LocalLow\2345Pinyin
    2018-01-11 14:05 - 2018-01-11 14:05 - 000000000 ____D C:\Users\Все пользователи\2345Pinyin
    2018-01-11 14:05 - 2018-01-11 14:05 - 000000000 ____D C:\ProgramData\2345Pinyin
    2018-01-11 14:05 - 2017-12-13 13:28 - 004248368 _____ (2345.com) C:\Windows\system32\2345PinyinTSF.dll
    2018-01-11 14:05 - 2017-12-13 13:28 - 003655984 _____ (2345.com) C:\Windows\SysWOW64\2345PinyinTSF.dll
    2018-01-11 14:03 - 2018-01-11 14:03 - 000436680 _____ (2345.com) C:\Windows\system32\Drivers\2345NsProtect.sys
    2018-01-11 14:03 - 2018-01-11 14:03 - 000272328 _____ (2345.com) C:\Windows\system32\Drivers\2345BdPcSafe.sys
    2018-01-11 14:03 - 2018-01-11 14:03 - 000165320 _____ (2345.com) C:\Windows\system32\Drivers\2345Wrath.sys
    2018-01-11 14:03 - 2018-01-11 14:03 - 000104904 _____ (2345.com) C:\Windows\system32\Drivers\2345CPort.sys
    2018-01-11 14:58 - 2018-01-11 14:58 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\Shield_2345Explorer
    2018-01-11 14:03 - 2018-01-11 14:03 - 000099272 _____ (2345.com) C:\Windows\system32\Drivers\2345NetFirewall.sys
    2018-01-11 14:03 - 2018-01-11 14:03 - 000062408 _____ (2345.com) C:\Windows\system32\Drivers\2345FsMonitor.sys
    2018-01-11 14:03 - 2018-01-11 14:03 - 000047560 _____ (2345.com) C:\Windows\system32\Drivers\2345DumpBlock.sys
    2018-01-11 14:03 - 2018-01-11 14:03 - 000022984 _____ (2345.com) C:\Windows\system32\Drivers\2345Port.sys
    2018-01-11 14:03 - 2018-01-11 14:03 - 000002529 _____ C:\Users\АКВАРИУМ\AppData\Roaming\Microsoft\Windows\Start Menu\强力卸载电脑中的软件 .lnk
    2018-01-11 14:03 - 2018-01-11 14:03 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345PCSafe
    2018-01-11 14:03 - 2018-01-11 14:03 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345AvScan
    2018-01-11 14:02 - 2018-01-11 14:05 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\2345王牌软件
    2018-01-11 14:02 - 2018-01-11 14:02 - 000000000 ____D C:\2345下载
    2018-01-11 14:01 - 2018-01-11 14:05 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345Pic
    2018-01-11 14:01 - 2018-01-11 14:05 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345MiniPage
    2018-01-11 14:01 - 2018-01-11 14:04 - 000000000 ____D C:\Program Files (x86)\2345Soft
    2018-01-11 13:59 - 2018-01-11 15:59 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345DomainMon
    2018-01-11 13:59 - 2018-01-11 13:59 - 000001787 _____ C:\Users\АКВАРИУМ\Desktop\网址导航.lnk
    2018-01-11 13:58 - 2018-01-11 13:58 - 000002020 _____ C:\Users\АКВАРИУМ\AppData\Roaming\Microsoft\Windows\Start Menu\好压.lnk
    2018-01-11 13:58 - 2018-01-11 13:58 - 000001996 _____ C:\Users\АКВАРИУМ\Desktop\好压.lnk
    2018-01-11 13:58 - 2018-01-11 13:58 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\好压
    2018-01-11 13:58 - 2018-01-11 13:58 - 000000000 ____D C:\Program Files\2345Soft
    ContextMenuHandlers1: [HaoZip] -> {5FED836A-C96C-4d88-A91E-F63F07726585} => C:\Program Files\2345Soft\HaoZip\HaoZipExt.dll [2017-12-19] (2345.com)
    ContextMenuHandlers2: [2345PCSafe] -> {C4F75DB1-B9F4-425A-9F5B-778911BCF176} =>  -> No File
    ContextMenuHandlers2: [HaoZip] -> {5FED836A-C96C-4d88-A91E-F63F07726585} => C:\Program Files\2345Soft\HaoZip\HaoZipExt.dll [2017-12-19] (2345.com)
    ContextMenuHandlers4: [HaoZip] -> {5FED836A-C96C-4d88-A91E-F63F07726585} => C:\Program Files\2345Soft\HaoZip\HaoZipExt.dll [2017-12-19] (2345.com)
    ContextMenuHandlers6: [HaoZip] -> {5FED836A-C96C-4d88-A91E-F63F07726585} => C:\Program Files\2345Soft\HaoZip\HaoZipExt.dll [2017-12-19] (2345.com)
    EmptyTemp:
    Reboot:
    
  • выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    v400c
    OFFSGNSAVE
    delall %SystemDrive%\USERS\АКВАРИУМ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\强力卸载电脑中的软件 .LNK
    delall %SystemDrive%\USERS\АКВАРИУМ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\2345安全中心\2345软件管家.LNK
    delall %SystemDrive%\USERS\АКВАРИУМ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\2345软件管家.LNK
    delall %SystemRoot%\SYSWOW64\2345PINYINTSF.DLL
    delall %Sys32%\2345PINYINTSF.DLL
    delall %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PCSAFE\3.3.0.8521\SOFTMGR\2345SOFTMGR.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\2345SOFT\2345PCSAFE\3.3.0.8521\SOFTMGR\2345SOFTNOTIFY.EXE
    deldir %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP
    deldir %SystemDrive%\PROGRAM FILES\HAOZIP
    ;------------------------autoscript---------------------------
    
    apply
    
    deltmp
    delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
    delref %SystemRoot%\SYSWOW64\BLANK.HTM
    delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\HAOZIPEXT32.DLL
    delref %Sys32%\BLANK.HTM
    delref %Sys32%\PSXSS.EXE
    delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\HAOZIP.EXE
    delref %SystemDrive%\PROGRAM FILES\ORACLE\VIRTUALBOX GUEST ADDITIONS\UNINST.EXE
    delref %SystemDrive%\PROGRAM FILES\ORACLE\VIRTUALBOX GUEST ADDITIONS\ORACLE VM VIRTUALBOX GUEST ADDITIONS.URL
    delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\UNINSTALL.EXE
    delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\HAOZIPUPDATE.EXE
    delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\HAOZIPMD5.EXE
    delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\HAOZIPREPLACE.EXE
    delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\HAOZIPRENAME.EXE
    delref %SystemDrive%\PROGRAM FILES\2345SOFT\HAOZIP\HAOZIPCD.EXE
    ;-------------------------------------------------------------
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
  • 6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    2018-01-11 14:58 - 2018-01-11 14:58 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\Shield_2345Explorer
    2018-01-11 14:05 - 2018-01-11 17:24 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\LocalLow\2345Pinyin
    2018-01-11 14:03 - 2018-01-11 14:18 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345SoftMgr
    2018-01-11 14:03 - 2018-01-11 14:03 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345PCSafe
    2018-01-11 14:03 - 2018-01-11 14:03 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345AvScan
    2018-01-11 14:01 - 2018-01-11 14:05 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345Pic
    2018-01-11 14:01 - 2018-01-11 14:05 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345MiniPage
    2018-01-11 13:59 - 2018-01-11 15:59 - 000000000 ____D C:\Users\АКВАРИУМ\AppData\Roaming\2345DomainMon
    Task: {FAD53971-9B5D-403A-B0E7-DCA8F38E9202} - \Execute 2345Pinyin MiniPage Task -> No File <==== ATTENTION
    EmptyTemp:
    Reboot:
    
  • Женя, напиши, в каком состоянии сейчас система.
  • 042 файлвый... реально удаленно вылечить?
    если что то есть возможность привезти его в офис
    http://rgho.st/7ClSJnTZg это то что каспер выдает
    ювс http://rgho.st/7WLjYKsMY
  • по имени папки создается исполняемый файл, возможно это активный червь, сейчас гляну образ автозапуска.
    19.01.2018 12.45.06 Объект (файл) не обработан C:\Users\Public\Public.exe Программа: Microsoft Windows Search Protocol Host Файл: C:\Users\Public\Public.exe Время: 19.01.2018 12:45 Название объекта: Trojan.Win32.Agentb.adkr Причина: Ошибка
    19.01.2018 12.45.06 Объект (файл) не обработан C:\Users\Public\Public.exe Программа: Microsoft Windows Search Protocol Host Файл: C:\Users\Public\Public.exe Время: 19.01.2018 12:45 Название объекта: Trojan.Win32.Agentb.adkr Причина: Ошибка
    19.01.2018 12.43.48 Объект (файл) не обработан C:\Users\Public\Public.exe Программа: System Файл: C:\Users\Public\Public.exe Время: 19.01.2018 12:43 Название объекта: Trojan.Win32.Agentb.adkr Причина: Ошибка
    19.01.2018 12.43.48 Объект (файл) не обработан C:\Users\Public\Public.exe Программа: System Файл: C:\Users\Public\Public.exe Время: 19.01.2018 12:43 Название объекта: Trojan.Win32.Agentb.adkr Причина: Ошибка
  • Женя,
    файл образа в архиве пустой. надо переделать образ.
    PROGRESS_2018-01-19_12-58-00.TXT 0 байт
    попробуйте еще раз сделать образ, если есть такая возможность, сделайте из безопасного режима системы.
  • выполняем скрипт в uVS:
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    zoo %SystemDrive%\USERS\PUBLIC\FOXIT SOFTWARE\SOFTWARE.EXE
    addsgn 988C1FEA242A4C9A74D7AEB1DB5C120525013B1E0AEA1F780CA62D37A45F4F1ADC02B7277E5516073B09895FB55049713BDB4BBEA69CB0A77B7F2D3A17F56473 8 tr 7
    
    zoo %SystemDrive%\USERS\PUBLIC\FOXIT SOFTWARE\FOXIT READER\READER.PIF
    zoo %SystemDrive%\USERS\PUBLIC\DOWNLOADS\DOWNLOADS.EXE
    zoo %SystemDrive%\USERS\PUBLIC\DOCUMENTS\DOCUMENTS.EXE
    zoo %SystemDrive%\USERS\PUBLIC\FAVORITES\FAVORITES.BAT
    chklst
    delvir
    
    apply
    
    deltmp
    delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
    delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
    delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
    delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
    delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
    delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
    delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
    delref %SystemRoot%\SYSWOW64\UMPO.DLL
    delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
    delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
    delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
    delref %SystemRoot%\SYSWOW64\LSM.EXE
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
    delref %SystemRoot%\SYSWOW64\ASECARDCRYPTOCSP.DLL
    delref %SystemRoot%\SYSWOW64\WIN32K.SYS
    delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
    delref {041CA328-918A-4EB9-BBC0-525BB3E5B535}\[CLSID]
    delref {2A5D2C17-4836-4BBE-897F-64167A9101EB}\[CLSID]
    delref {5FAB84B8-F777-45C0-A23A-A7074432A2B9}\[CLSID]
    delref {6220FB26-353D-4F22-9E8B-2CAA1B1A5211}\[CLSID]
    delref {77E65655-CE52-4AA0-B431-1ABED0D9A59C}\[CLSID]
    delref {8E39EBE3-185C-40DC-88D7-D3285CFF07B2}\[CLSID]
    delref {9B162141-8C4B-47B8-B0A4-678026ADB884}\[CLSID]
    delref {AAF93162-F338-41CB-BB5F-4115BDA972FB}\[CLSID]
    delref {B5B27B9D-BDFC-4645-9AA5-33A8008E3860}\[CLSID]
    delref {B738032D-77A3-443B-B7FB-BAD755CBB314}\[CLSID]
    delref {C8804369-9983-48B4-ACED-DB6C44418EA4}\[CLSID]
    delref {FE341F2F-1296-4C20-82C0-E6EC54F4D8B7}\[CLSID]
    delref %SystemRoot%\SYSWOW64\BLANK.HTM
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref %Sys32%\DRIVERS\RDVGKMD.SYS
    delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
    delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
    delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
    delref %Sys32%\ASECARDCRYPTOCSP.DLL
    delref %Sys32%\BLANK.HTM
    delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
    delref HELPSVC\[SERVICE]
    delref SACSVR\[SERVICE]
    delref VMMS\[SERVICE]
    delref MESSENGER\[SERVICE]
    delref RDSESSMGR\[SERVICE]
    delref %Sys32%\PSXSS.EXE
    delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\WEBREP\FF
    delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\SAFEPRICE\FF
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
    delref %Sys32%\SHAREMEDIACPL.CPL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
    delref {45194E79-300B-4768-A59B-2F81DD345F4A}\[CLSID]
    delref {6C4F64E2-D7CE-4748-EB70-C911BABCED46}\[CLSID]
    delref %SystemDrive%\USERS\USER\DESKTOP\TEAMVIEWER_SETUP.EXE
    ;-------------------------------------------------------------
    czoo
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z) отправить в почту [email protected]
    далее,
    сделайте дополнительно быструю проверку системы в малваребайт
    http://forum.esetnod32.ru/forum9/topic10688/
  • судя по свежему образу, новых вирусных тел не появилось.
    Можно обновить базы Каспера, просканировать с очисткой диски, затем еще сделать проверку в малваребайт, и хорошо бы еще сделать логи в FRST
  • Malwarebytes
    www.malwarebytes.com

    -Данные журнала-
    Дата проверки: 19.01.18
    Время проверки: 15:43
    Файл журнала: a0677e80-fcdb-11e7-8230-00ffb62168a1.json
    Администратор: Да

    -Информация о ПО-
    Версия: 3.3.1.2183
    Версия компонентов: 1.0.262
    Версия пакета обновления: 1.0.3728
    Лицензия: Ознакомительная версия

    -Информация о системе-
    ОС: Windows 7 Service Pack 1
    Процессор: x64
    Файловая система: NTFS
    Пользователь: PROGRESS\USER

    -Отчет о проверке-
    Тип проверки: Полная проверка
    Результат: Завершено
    Проверено объектов: 232959
    Обнаружено угроз: 5
    Помещено в карантин: 0
    (Вредоносные программы не обнаружены)
    Затраченное время: 3 мин, 56 с

    -Настройки проверки-
    Память: Включено
    Автозагрузка: Включено
    Файловая система: Включено
    Архивы: Включено
    Руткиты: Выключено
    Эвристика: Включено
    PUP: Обнаружение
    PUM: Обнаружение

    -Данные проверки-
    Процесс: 1
    RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [226], [133383],1.0.3728

    Модуль: 1
    RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [226], [133383],1.0.3728

    Раздел реестра: 0
    (Вредоносные программы не обнаружены)

    Значение реестра: 0
    (Вредоносные программы не обнаружены)

    Данные реестра: 0
    (Вредоносные программы не обнаружены)

    Поток данных: 0
    (Вредоносные программы не обнаружены)

    Папка: 0
    (Вредоносные программы не обнаружены)

    Файл: 3
    RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [226], [133383],1.0.3728
    PUP.Optional.JumpyApps, C:\USERS\USER\DOCUMENTS\ZIPEXTRACTORSETUP.EXE, Проигнорировано пользователем, [2747], [278244],1.0.3728
    PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, [611], [454830],1.0.3728

    Физический сектор: 0
    (Вредоносные программы не обнаружены)


    (end)
  • отредактировано января 2018 PM
    это можно удалить в mbam:
    PUP.Optional.JumpyApps, C:\USERS\USER\DOCUMENTS\ZIPEXTRACTORSETUP.EXE, Проигнорировано пользователем, [2747], [278244],1.0.3728
    PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, [611], [454830],1.0.3728

    +
    сделать еще проверку в FRST
    http://forum.esetnod32.ru/forum9/topic2798/
  • отредактировано января 2018 PM
    при сканировании Касперским что-то еще было найдено?
    +
    6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
    CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
    EmptyTemp:
    Reboot:
    
  • Fix result of Farbar Recovery Scan Tool (x64) Version: 17.01.2018 01
    Ran by USER (19-01-2018 16:19:39) Run:1
    Running from C:\Users\USER\Desktop
    Loaded Profiles: USER (Available Profiles: USER)
    Boot Mode: Normal
    ==============================================

    fixlist content:
    *****************
    CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
    CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
    EmptyTemp:
    Reboot:
    *****************

    "HKLM\SOFTWARE\Google\Chrome\Extensions\mchjnmdbdlkdbfliogedbnpnanfjnolk" => removed successfully
    "HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mchjnmdbdlkdbfliogedbnpnanfjnolk" => removed successfully

    =========== EmptyTemp: ==========

    BITS transfer queue => 8388608 B
    DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 8742701 B
    Java, Flash, Steam htmlcache => 0 B
    Windows/system/drivers => 1657371 B
    Edge => 0 B
    Chrome => 181902252 B
    Firefox => 5659548 B
    Opera => 0 B

    Temp, IE cache, history, cookies, recent:
    Users => 0 B
    Default => 0 B
    Public => 0 B
    ProgramData => 0 B
    systemprofile => 120149 B
    systemprofile32 => 82757 B
    LocalService => 66228 B
    NetworkService => 66228 B
    USER => 1986165 B

    RecycleBin => 93156479 B
    EmptyTemp: => 287.8 MB temporary data Removed.

    ================================


    The system needed a reboot.
  • Сканирование диска Касперским выполнено? если да, тогда что-то он еще нашел из тел этого червя?
Войдите или Зарегистрируйтесь чтобы комментировать.