Решена Переадресация на маил.ру

[Artem]

Переадресация на маил.ру

 

[Кирилл]

Здравствуйте,программа mySize вам знакома? Сами установили?
Удалите через установку и удаление программ:
NewTab

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('schtasks.exe', '/delete /TN "PerfChecker" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "fcf4b6d373a204488c8cbc817dc4f739" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "RegisterObject" /F', 0, 15000, true);
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   QuarantineFile('C:\ProgramData\RegisterObject\RegisterObject.exe', '');
   QuarantineFile('C:\Windows\fcf4b6d373a204488c8cbc817dc4f739.ps1', '');
   QuarantineFile('C:\Users\Aquarius\AppData\Local\Video4you\perfchecker.exe', '');
   QuarantineFileF('C:\ProgramData\RegisterObject', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
   QuarantineFileF('C:\Users\Aquarius\AppData\Local\Video4you', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
   QuarantineFileF('C:\Program Files\my web shield', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
   QuarantineFile('C:\Program Files\my web shield\mweshield.exe', '');
   DeleteFile('C:\Windows\system32\Tasks\fcf4b6d373a204488c8cbc817dc4f739', '64');
   DeleteFile('C:\Users\Aquarius\AppData\Local\Video4you\perfchecker.exe', '32');
   DeleteFile('C:\Windows\fcf4b6d373a204488c8cbc817dc4f739.ps1', '32');
   DeleteFile('C:\ProgramData\RegisterObject\RegisterObject.exe', '32');
   DeleteFile('C:\Program Files\my web shield\mweshield.exe', '32');
   DeleteFileMask('C:\ProgramData\RegisterObject', '*', true);
   DeleteFileMask('C:\Users\Aquarius\AppData\Local\Video4you', '*', true);
   DeleteFileMask('C:\Program Files\my web shield', '*', true);
   DeleteDirectory('C:\ProgramData\RegisterObject');
   DeleteDirectory('C:\Users\Aquarius\AppData\Local\Video4you');
   DeleteDirectory('C:\Program Files\my web shield');
  CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
 BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BFF96F086-1FF3-4D13-8CC8-3C5BD5DED8B2%7D&gp=820331
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BFF96F086-1FF3-4D13-8CC8-3C5BD5DED8B2%7D&gp=820331
R4 - HKU\S-1-5-21-3665540584-2248650614-3269665633-1001\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (no name) - (no URL)
O2-32 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\Aquarius\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll
O4 - MSConfig\startupreg: [csrssf] (no file)  (HKLM) (2016/05/20)
O9 - Extra button: TSearch - HKLM\..\{03AE1B7B-A9E7-4D5A-9D34-89999C31B659} - (no file)
O9-32 - Extra button: TSearch - HKLM\..\{03AE1B7B-A9E7-4D5A-9D34-89999C31B659} - (no file)

DNS ваш? Сами прописали?

89.108.106.89

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

>>>  "C:\Users\Aquarius\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk"       (содержит только знаки NUL)
>>>  "C:\Users\Aquarius\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru (2).lnk"   (содержит только знаки NUL)
>>> [HTTP][RO] "C:\Users\Гость\Desktop\Google Chrome.lnk"    -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> hxxp://fs9mail.ru/?id=5&subid=345]
>>> [HTTP][RO] "C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.LNK"     -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> hxxp://fs9mail.ru/?id=5&subid=345]
>>> [HTTP][RO] "C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"     -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> hxxp://fs9mail.ru/?id=5&subid=345]
>>> [HTTP] "C:\Users\Aquarius\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk"  -> ["C:\Windows\System32\rundll32.exe"  =>> url,FileProtocolHandler "hxxp://vvv.mail.ru/cnt/20775012?gp=811020"]

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[Artem]

К моменту вашего ответа в браузере появились ещё очень много новых ненужных программ и расширений. Следует ли заново отправить логи? или продолжать действовать по вашему совету?
2 отчёта
В DNS ничего не прописывал
Kиpилл, Всё правильно?

 

[Кирилл]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Подготовьте свежий лог Adwcleaner

 

[Artem]

Вот -

 

[Кирилл]

Подготовьте свежий лог Adwcleane

 

[Artem]

Пожалуйста:

 

[Кирилл]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Снова дайте свежий лог Adwcleaner

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Artem]

Вот:
Kиpилл, .

 

[Кирилл]

Расширения хрома ваши?
Agar.io Mods
Get Styles

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
NewTab (HKLM-x32\...\{2AEF02C3}_NewTab) (Version:  - )
Task: {3E24432C-7783-4BA9-BD84-220ECEB64B90} - System32\Tasks\urlopener => Chrome.exe "hxxp://traff2.ru"
Task: {E42A43EA-11A9-4D63-AB31-79080C595C4D} - System32\Tasks\Phoenix Browser Updater => C:\Users\Aquarius\AppData\Local\Phoenix Browser Updater\Phoenix Browser Updater.exe [2016-12-23] () <==== ATTENTION
Task: C:\Windows\Tasks\bku9905474731973219.job => 
Task: C:\Windows\Tasks\UrlControl.job => C:\Users\Aquarius\AppData\Roaming\UrlControl_\url_opener.exe
ShortcutWithArgument: C:\Users\Aquarius\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru (2).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mail.ru
ShellExecuteHooks: No Name - {EBD29068-234A-11E7-BCF3-64006A5CFC23} - C:\Users\Aquarius\AppData\Roaming\Giperlyphauent\Ikerpyquterther.dll [146944 2017-04-22] ()
FF Keyword.URL: Mozilla\Firefox\Profiles\2ea0wpge.aqua -> hxxp://go.mail.ru/distib/ep/?product_id=%7BD9BD4BE4-97FA-4571-B7A4-801F290F85EC%7D&gp=812258
CHR StartupUrls: ChromeDefaultData -> "about:blank","hxxp://www.hohosearch.com/?mode=nnnb&ptid=amz&uid=AB00988960161FCB30F974F1531EE36D&v=20160425&ts=AHEqAHQrA3UlAU..","hxxp://mail.ru/cnt/10445?gp=821647","hxxp://www.nuesearch.com/?type=hp&ts=1467640232&z=040e0b858f39b12bba522bfgaz9q7m4qdc0q2q8z9b&from=wpm0616&uid=HitachiXHTS547550A9E384_J2160051H8JD1DH8JD1DX","hxxp://mail.ru/cnt/10445?gp=820327","hxxp://www.nuesearch.com/?type=hp&ts=1470218861&z=185026e76f6c44849824288g3z4mfefo2gbw8o4bfm&from=wpm0802&uid=HitachiXHTS547550A9E384_J2160051H8JD1DH8JD1DX","hxxp://mail.ru/cnt/10445?gp=812204","hxxp://mail.ru/cnt/10445?gp=820321","hxxp://www.initialsite123.com/?z=9591f125de468a162acf081g2zftco2b7z4qew5met&from=fss&uid=HitachiXHTS547550A9E384_J2160051H8JD1DH8JD1DX&type=hp","hxxp://mail.ru/cnt/10445?gp=812253"
C:\Users\Aquarius\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\dmpojjilddefgnhiicjcmhbkjgbbclob
C:\Users\Aquarius\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Local Extension Settings\dmpojjilddefgnhiicjcmhbkjgbbclob
C:\Users\Aquarius\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Local Storage\chrome-extension_dmpojjilddefgnhiicjcmhbkjgbbclob_0.localstorage
C:\Users\Aquarius\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Local Storage\chrome-extension_dmpojjilddefgnhiicjcmhbkjgbbclob_0.localstorage-journal
CHR Profile: C:\Users\Aquarius\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-22] <==== ATTENTION
CHR Extension: (Chameleon) - C:\Users\Aquarius\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\dmpojjilddefgnhiicjcmhbkjgbbclob [2017-04-22]
CHR Extension: (Intel truetest mini) - C:\Users\Aquarius\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\phbgijefmoangblimiifmafocmlfaobk [2017-04-22]
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
OPR Extension: (Fast search) - C:\Users\Aquarius\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-04-21]
2017-04-22 11:42 - 2017-04-22 13:59 - 00000000 ____D C:\Users\Aquarius\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk
2017-04-22 11:42 - 2017-04-22 11:42 - 00003648 _____ C:\Windows\System32\Tasks\phbgijefmoangblimiifmafocmlfaobk
2017-04-22 11:35 - 2017-04-22 11:37 - 00000000 ____D C:\Users\Aquarius\AppData\Local\Kinophfoberdom
2017-04-22 11:35 - 2017-04-22 11:36 - 00000000 ____D C:\Users\Aquarius\AppData\Roaming\Giperlyphauent
2017-04-21 23:34 - 2017-04-21 23:34 - 00004102 _____ C:\Windows\System32\Tasks\urlopener
2017-04-21 23:34 - 2017-04-21 23:34 - 00000360 _____ C:\Windows\Tasks\bku9905474731973219.job
2017-04-20 23:35 - 2017-04-22 14:27 - 00000000 ____D C:\Program Files (x86)\Twilight Tech
2017-04-20 23:35 - 2017-04-20 23:35 - 00003624 _____ C:\Windows\System32\Tasks\Phoenix Browser Updater
2017-04-20 23:35 - 2017-04-20 23:35 - 00000000 ____D C:\Users\Aquarius\AppData\Local\Phoenix Browser Updater
ShortcutWithArgument: C:\Users\Aquarius\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru (2).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mail.ru
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Сообщите,как проблема.
+ замените DNS на альтернативный:
Обзор альтернативных DNS серверов

 

[Artem]

Проблема решена, но многие программы начали запускаться от имени администратора "Контроль учётных записей пользователей" в том числе и хром
Kиpилл, Как сделать тему решённой?

 

[Кирилл]

Сделайте контрольные логи autologger, как первый раз.

 

[Artem]

Свежие логи

 

[Artem]

Kиpилл, Извиняюсь за предоставленный неудобства, но открыл снова заражённый вирусом файл и появилась переадресация. Мне создать новую тему или скинуть новые логи здесь?
Kиpилл, Вирус от другого файла не от предыдущего.
Kиpилл,

 

[Кирилл]

Удалите через установку и удаление программ:
initialsite123 - Uninstall
NewTab
phbgijefmoangblimiifmafocmlfaobk

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFileF('c:\program files\xerox phaser 3132 series', '*', true, '', 0 , 0);
QuarantineFile('C:\Program Files\Xerox Phaser 3132 Series\Xerox Phaser 3132 Series.dll', '');
QuarantineFile('C:\Program Files (x86)\Nipersphotus\xarazugh.exe', '');
QuarantineFile('C:\Users\Aquarius\AppData\Local\Video4you\perfchecker.exe', '');
QuarantineFile('C:\Users\Aquarius\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk\ml.py', '');
QuarantineFile('C:\Users\Aquarius\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk\python\pythonw.exe', '');
QuarantineFileF('C:\Program Files (x86)\Nipersphotus', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\Aquarius\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\Aquarius\AppData\Local\Video4you', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Windows\system32\Tasks\Xerox Phaser 3132 Series', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFile('C:\Users\Aquarius\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk\python\pythonw.exe', '32');
DeleteFile('C:\Users\Aquarius\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk\ml.py', '32');
DeleteFile('C:\Users\Aquarius\AppData\Local\Video4you\perfchecker.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Wininet\PerfChecker', '64');
DeleteFile('C:\Program Files (x86)\Nipersphotus\xarazugh.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\Plewileckipu Host', '64');
DeleteFile('C:\Program Files\Xerox Phaser 3132 Series\Xerox Phaser 3132 Series.dll', '32');
DeleteFile('C:\Windows\system32\Tasks\Xerox Phaser 3132 Series', '64');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Xerox Phaser 3132 Series" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "PerfChecker" /F', 0, 15000, true);
DeleteFileMask('c:\program files\xerox phaser 3132 series', '*', true);
DeleteFileMask('C:\Program Files (x86)\Nipersphotus', '*', true);
DeleteFileMask('C:\Users\Aquarius\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk', '*', true);
DeleteFileMask('C:\Users\Aquarius\AppData\Local\Video4you', '*', true);
DeleteFileMask('C:\Windows\system32\Tasks\Xerox Phaser 3132 Series', '*', true);
DeleteDirectory('c:\program files\xerox phaser 3132 series');
DeleteDirectory('C:\Program Files (x86)\Nipersphotus');
DeleteDirectory('C:\Users\Aquarius\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk');
DeleteDirectory('C:\Users\Aquarius\AppData\Local\Video4you');
DeleteDirectory('C:\Windows\system32\Tasks\Xerox Phaser 3132 Series');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'phbgijefmoangblimiifmafocmlfaobk');
ClearHostsFile;
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(13);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[Artem]

Kиpилл, После выполнения скрипта повторно запустил снова AutoLogger

 

[Кирилл]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Сделайте свежий лог Adwcleaner.
Повторный лог Autologger где?

 

[Artem]

Вот повторный лог:
и AdwCleaner
Kиpилл, [fa=fa-long-arrow-down][/fa]

 

[Кирилл]

Удалите ярлык:

C:\Users\Aquarius\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk

Пофиксите в HijackThis следующие строчки:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=820321
O9-32 - Extra button: TSearch - HKLM\..\{03AE1B7B-A9E7-4D5A-9D34-89999C31B659} - (no file)

Некоторых строк может не быть.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Artem]

Отчёты
:
Kиpилл, [fa=fa-arrow-up][/fa]
Kиpилл, Вроде всё что надо