[Admin]

Удалите папку C:\FRST.

Судя по FRST логу, на вашем компьютере нет отдельного антивируса (используется встроенный в систему Windows Defender). Мы рекомендуем вам прочитать эту статью Какой лучший антивирус ? Как выбрать антивирус ? и установить один из бесплатных антивирусов.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Расскажите как вы защищаете свой компьютер, ответив на эти вопросы Как вы защищаете свой компьютер ?

Всего доброго!

[Admin]

Удалите папку C:\FRST.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Расскажите как вы защищаете свой компьютер, ответив на эти вопросы Как вы защищаете свой компьютер ?

Всего доброго!

[Admin]

Удалите папку C:\FRST.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Расскажите как вы защищаете свой компьютер, ответив на эти вопросы Как вы защищаете свой компьютер ?

Всего доброго!

[Admin]

Протестировал сам, первое впечатление — быстро сканирует (заметно быстрее программы Anti-malware).

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите программу Блокнот и вставьте в открытое окно следующий текст

CreateRestorePoint:
HKU\S-1-5-21-191210697-2422343884-317643436-1000\...\Run: [mailruhomesearch] => "C:\Users\User\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-191210697-2422343884-317643436-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CustomCLSID: HKU\S-1-5-21-191210697-2422343884-317643436-1000_Classes\CLSID\{86002F38-B7C3-48C2-AEFD-6BC409D250F7}\localserver32 -> "C:\Users\User\AppData\Local\Yandex\BrowserManager\BrowserManagerShow.exe" => No File
Task: {0751BE37-BB6C-41BE-8445-745705AFEC62} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {2CF58FA7-1FA9-4734-81A1-FA158709DDB1} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {3E672D59-29C7-43FD-8095-9A1EB25620D0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {489A46FE-5BBD-4A70-BE34-AA78EC6294A5} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {4BBECA5E-BA4B-4349-8948-C0ABE7EFD83B} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {5642CB70-BEAF-4A0B-83C2-4866494F3A27} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {57437C6E-2456-4AD6-A267-56ED68ED4C97} - System32\Tasks\InternetSF => Chrome.exe hxxp://thisgo.su/cgo
Task: {66C69F1A-1E79-4A56-A8AF-B7DE51F96EC0} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {B39134FF-D1B2-4B34-B383-32F75E755DC5} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {CDB6D6F4-DE89-4807-A244-D94A55331677} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {DB159CE5-CE1E-429E-BBC1-80CCE7ECDF0C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {EE70A9E7-94C0-45AA-8BE9-1337E436E47E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {F9E399F0-98C9-4173-BBAF-ABAAAA06820E} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {FACCBA30-997E-4B58-9393-EBD274A6D871} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
EmptyTemp:
Reboot:

Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist

Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение "Fix completed". Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.

После этого выполните новую проверку программой FRST (перед нажатием клавиши Scan поставьте галочку в пункте Addition.txt) и оба её лога прикрепите к вашему ответу.

Ещё проверьте следующие файлы на сайте virustotal.com.

C:\WINDOWS\System32\themctrl.dll
C:\WINDOWS\System32\wbiosrvp.dll

Результаты сканирования приложите к вашему ответу.

[Admin]

Как сейчас работает компьютер ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите программу Блокнот и вставьте в открытое окно следующий текст

CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=ds&from=smt&uid=TOSHIBAXDT01ACA050_43LYMNVJSXX43LYMNVJSX&ts=1383667782&type=default&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=ds&from=smt&uid=TOSHIBAXDT01ACA050_43LYMNVJSXX43LYMNVJSX&ts=1383667782&type=default&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=ds&from=smt&uid=TOSHIBAXDT01ACA050_43LYMNVJSXX43LYMNVJSX&ts=1383667782&type=default&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=ds&from=smt&uid=TOSHIBAXDT01ACA050_43LYMNVJSXX43LYMNVJSX&ts=1383667782&type=default&q={searchTerms}
HKU\S-1-5-21-3383868204-1239907478-2554159636-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818411
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=ds&from=smt&uid=TOSHIBAXDT01ACA050_43LYMNVJSXX43LYMNVJSX&ts=1383667782&type=default&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=ds&from=smt&uid=TOSHIBAXDT01ACA050_43LYMNVJSXX43LYMNVJSX&ts=1383667782&type=default&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=ds&from=smt&uid=TOSHIBAXDT01ACA050_43LYMNVJSXX43LYMNVJSX&ts=1383667782&type=default&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=ds&from=smt&uid=TOSHIBAXDT01ACA050_43LYMNVJSXX43LYMNVJSX&ts=1383667782&type=default&q={searchTerms}
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => No File
Toolbar: HKU\S-1-5-21-3383868204-1239907478-2554159636-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=rg&utm_content=sc&from=smt&uid=TOSHIBAXDT01ACA050_43LYMNVJSXX43LYMNVJSX&ts=1383667782
FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
FF Plugin-x32: @java.com/DTPlugin -> C:\Program Files (x86)\Java\jre6\bin\npDeployJava1.dll [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR Extension: (SearchWay) - C:\Users\Ламастер\AppData\Local\Google\Chrome\User Data\Default\Extensions\achhckalphdlhbnohjonneffefbmaddi [2016-10-31]
CHR Extension: (Tampermonkey) - C:\Users\Ламастер\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-10-31]
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Ламастер\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx 
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
R2 wbiosrvp; C:\Windows\SysWOW64\wbiosrvp.dll [345088 2012-11-30] () [File not signed]
U3 arkf3wg8; C:\Windows\System32\Drivers\arkf3wg8.sys [0 ] (Microsoft Corporation) <==== ATTENTION (zero byte File/Folder)
S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X]
S3 cpuz134; \??\C:\Users\A601~1\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 Ser2pl; system32\DRIVERS\ser2pl.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
Task: {19D76681-410C-414A-9824-25D7757B2170} - System32\Tasks\InternetB => Chrome.exe hxxp://bhd4.xyz/search
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA1cf8d359db25a4d.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA1cff063690864c5.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA1cfffe9596deae0.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26]
AlternateDataStreams: C:\ProgramData\TEMP:261DD7EA [102]
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [147]
AlternateDataStreams: C:\ProgramData\TEMP:82F50D1C [418]
AlternateDataStreams: C:\ProgramData\TEMP:E8956AB5 [145]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:261DD7EA [102]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:58A5270D [147]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:82F50D1C [418]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:E8956AB5 [145]
EmptyTemp:
Reboot:

Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist

Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение «Fix completed». Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.

После этого выполните новую проверку программой FRST (перед нажатием клавиши Scan поставьте галочку в пункте Addition.txt) и оба её лога прикрепите к вашему ответу.

[Admin]

Сисадмин принес к нам в холодильник свою бутылку кетчупа. На этикетке ручкой написано: «Помидоры.ziр». anekdotov.net

[Admin]

Здраствуйте, добро пожаловать на Spyware-ru форум.

Мы рады, что вы самостоятельно разобрались. Если у вас есть время и желание, то расскажите в виде мини-инструкции, что вы сделали, чтобы вылечить свой компьютер. Возможно она поможет кому-либо удалить рекламный вирус, который показывает go4club.com рекламу. Свою инструкцию можете разместить в этом разделе нашего форума Инструкции и полезная информация.

Так же расскажите как вы защищаете свой компьютер, ответив на эти вопросы Как вы защищаете свой компьютер ?

Всего доброго!

[Admin]

Удалите папку C:\FRST.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Расскажите как вы защищаете свой компьютер, ответив на эти вопросы Как вы защищаете свой компьютер ?

Всего доброго!

[Admin]

Выполните еще один скрипт.

Запустите программу Блокнот и вставьте в открытое окно следующий текст

CreateRestorePoint:
File: C:\Windows\system32\drivers\vonetframe.sys
C:\Windows\system32\drivers\vonetframe.sys
EmptyTemp:
Reboot:

Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist

Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение «Fix completed». Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.

После этого выполните новую проверку программой FRST (перед нажатием клавиши Scan поставьте галочку в пункте Addition.txt) и оба её лога прикрепите к вашему ответу.

[Admin]

Мозила теперь на каждое обращение пишет незащищённое соединение.

При открытии любого сайта ? Или только по протоколу https (в начале адреса стоит https)?

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.

После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ. Так же приложите свежие FRST логи.

[Admin]

Удалите папку C:\FRST.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Расскажите как вы защищаете свой компьютер, ответив на эти вопросы Как вы защищаете свой компьютер ?

Всего доброго!

[Admin]

Хотя вчера произошла какая то аномалия.Сам собой взял и открылся скайп.При этом я смотрел видео и мышкой не пользовался

А скайп постоянно сидит в трее ? То есть настроен загружаться автоматом ?

Скажите,вы просмотрев логи ничего не обнаружили подозрительного?

Последние логи выглядят нормально.

[Admin]

C:\Windows\System32\drivers\ISCTD.sys этот драйвер не видит VirusTotal, хотя он есть.

Что значит не видит ? В папке этот файл не виден при попытке проверить его на сайте ?

Как сейчас работает компьютер ?

[Автор]

Сообщения