[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Проверьте следующие ярлыки:
C:\Users\Алексей\Desktop\Программы\Google Chrome.lnk
C:\Users\Алексей\Desktop\Программы\Opera 27.lnk
C:\Users\Алексей\Desktop\Программы\Yandex (2).lnk
C:\Users\Алексей\Desktop\Программы\Yandex.lnk
C:\Users\Алексей\Desktop\Программы\Аrс.lnk
C:\Users\Алексей\Desktop\Программы\Панель запуска приложений Chrome.lnk
Все они ведут на рандомные bat файлы, то есть вероятнее всего заражены. Рекомендую удалить их с создать новые.

Запустите программу Блокнот и вставьте в открытое окно следующий текст

CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HandyAndy.lnk [2016-03-12]
ShortcutTarget: HandyAndy.lnk -> C:\Program Files\Andy\HandyAndy.exe (No File)
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {6E727987-C8EA-44DA-8749-310C0FBE3C3E} URL = 
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-2398786851-160344433-3323050433-1000 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Plugin-x32: @perfectworld.com/npArcPlayNowPlugin -> D:\Games\Arc\Plugins\npArcPluginFF.dll [No File]
FF Plugin HKU\S-1-5-21-2398786851-160344433-3323050433-1000: @tools.orbitum.com/Orbitum Update;version=3 -> C:\Users\Алексей\AppData\Local\Orbitum\Update\1.3.99.0\npGoogleUpdate3.dll [No File]
FF Plugin HKU\S-1-5-21-2398786851-160344433-3323050433-1000: @tools.orbitum.com/Orbitum Update;version=9 -> C:\Users\Алексей\AppData\Local\Orbitum\Update\1.3.99.0\npGoogleUpdate3.dll [No File]
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [mafpbclkdiejmpjnmioihcafdnlbmkco] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nkooappjeoniffjmoplbagpngedkckpl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [palmggefdfeikonghaeongkabmgcagco] - hxxps://clients2.google.com/service/update2/crx
S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X]
U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
Task: {09609145-48F1-4EB0-8610-74FE11C932A7} - System32\Tasks\System_update => c:\Temp\System32\start.vbs [2016-06-17] () <==== ATTENTION
Task: {64FF1CD7-2B9F-479B-A534-84D4F2A12722} - System32\Tasks\System_service => c:\Temp\System32\start.vbs [2016-06-17] () <==== ATTENTION
EmptyTemp:
Reboot:

Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist

Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение "Fix completed". Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.

После этого выполните новую проверку программой FRST (перед нажатием клавиши Scan поставьте галочку в пункте Addition.txt) и оба её лога прикрепите к вашему ответу.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Пожалуйста выполните эту инструкцию, шаг 2.

Жду от вас два FRST лога.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Пожалуйста выполните эту инструкцию, шаг 2. Жду от вас два FRST лога.

[Admin]

К вашему ответу приложите свежие FRST логи.

[Admin]

Вероятно fastlauncher.xyz зловред перенастроил ваш профиль. Попробуйте следующее:
1. сохраните все ваши закладки (сделайте экспорт)
2. откройте каталог C:\Users\Олег\AppData\Local\Google\Chrome\User Data
3. в нем найдите Default и переименуйте в Default123
4. запустите Хром и проверьте в работе

[Admin]

fixlist нужно поместить в каталог, в котором находится сама программа FRST.

[Admin]

Как сейчас работает компьютер, открывается ли fastlauncher.xyz в Хроме ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Рад что вы решили проблему самостоятельно 🙂

FRST показывает, что у вас нет антивирусной программы. Обязательно установите. Прочитайте эту статью Какой лучший антивирус ? Как выбрать антивирус ? и выберите какой-либо антивирус (в статье есть ссылки на бесплатные версии известных антивирусов).

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Расскажите как вы защищаете свой компьютер, ответив на эти вопросы Как вы защищаете свой компьютер ?

Всего доброго!

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Помогла банальная переустановка браузера

Тем не менее, запустите программу Блокнот и вставьте в открытое окно следующий текст

CreateRestorePoint:
Tcpip\..\Interfaces\{4CD0A520-68C1-4D89-9201-8ED95AF25C19}: [NameServer] 91.109.206.194,98.158.96.96
Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 91.109.206.194,98.158.96.96
Tcpip\..\Interfaces\{84BFE5D3-5C5F-4757-8C35-645266C0C32F}: [NameServer] 91.109.206.194,98.158.96.96
Tcpip\..\Interfaces\{ACF991FF-2899-4FD1-9E01-FDD4F69FD1B8}: [NameServer] 91.109.206.194,98.158.96.96
Tcpip\..\Interfaces\{BB5564EE-148B-4011-B82C-1E8398A62186}: [NameServer] 91.109.206.194,98.158.96.96
Tcpip\..\Interfaces\{C0E662FD-13AB-4B99-AED6-2EB830C56207}: [NameServer] 91.109.206.194,98.158.96.96
Tcpip\..\Interfaces\{CBC26BDD-B135-43AE-BB7B-A7A319011C7C}: [NameServer] 91.109.206.194,98.158.96.96
Tcpip\..\Interfaces\{DD09472A-27A8-476D-83BD-2BA7015C4C2A}: [NameServer] 91.109.206.194,98.158.96.96
Tcpip\..\Interfaces\{E2D86611-1E1B-4785-9174-221671A6433C}: [NameServer] 91.109.206.194,98.158.96.96
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
S2 NvNetworkService; "C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe" [X]
S2 WinDefend; %ProgramFiles%\Windows Defender\mpsvc.dll [X]
S3 ALSysIO; \??\C:\Users\admin\AppData\Local\Temp\ALSysIO64.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
EmptyTemp:
Reboot:

Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist

Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение «Fix completed». Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.

После этого выполните новую проверку программой FRST (перед нажатием клавиши Scan поставьте галочку в пункте Addition.txt) и оба её лога прикрепите к вашему ответу.

И ещё такой вопрос, FRST показывает установленные групповые политики (ограничения на изменения разнообразных настроек). Вы сами их делали ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите программу Блокнот и вставьте в открытое окно следующий текст

CreateRestorePoint:
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No FileToolbar: HKU\S-1-5-21-3569368135-1535760291-2820111162-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File
Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} -  No File
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files\McAfee\SiteAdvisor\McChPlg.crx 
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3569368135-1535760291-2820111162-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
S2 mfemms; "C:\Program Files\Common Files\McAfee\SystemCore\\mfemms.exe" [X]
S3 mfesapsn; \??\C:\Program Files\McAfee\SiteAdvisor\mfesapsn.sys [X]
S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2015.SP2b\WNt600x86\Sandra.sys [X]
Task: {13760AB7-5D28-4ECC-9928-12D70C7F647F} - System32\Tasks\{0C4B6DD7-332A-463A-B6C7-0703C5855163} => C:\Program Files\The King Of Fighters XIII\kofxiii.exe
Task: {49D504E6-E7B8-40F7-8B82-4BCA44FE15D5} - System32\Tasks\{DD21AB1C-51B3-4D45-900C-43706E567858} => C:\Program Files\The King Of Fighters XIII\kofxiii.exe
Task: {82EB0838-438F-4C37-9640-2305DD9A816C} - System32\Tasks\{7D21A799-10DA-4CEC-BB9C-4F2767BBF064} => C:\Program Files\The King Of Fighters XIII\kofxiii.exe
Task: {843785A9-4E12-4647-B0E2-18ACFA12AAD5} - System32\Tasks\{4EEA20D6-E80D-43CC-918D-FE4DB58040AB} => C:\Program Files\The King Of Fighters XIII\kofxiii.exe
Task: {A6D3C9B7-630C-4E08-9F47-90E3308EBAE3} - System32\Tasks\{4818F909-5798-40C6-84EE-3A9696DBE49A} => C:\Program Files\The King Of Fighters XIII\kofxiii.exe
EmptyTemp:
Reboot:

Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist

Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение «Fix completed». Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.

После этого выполните новую проверку программой FRST (перед нажатием клавиши Scan поставьте галочку в пункте Addition.txt) и оба её лога прикрепите к вашему ответу.

[Admin]

Дело не в божественности, а в определении способа открытия этого сайта, с учетом отсутствия у меня физического доступа к вашему компьютеру.

Поэтому расскажите о ситуации на текущий момент.
1. В каких браузерах появляется easyopenweb.
2. В какой момент появляется, при открытии браузера или в при работе в нем.

Скачайте программу Combofix. Если вы уже скачивали эту программу, то удалите её и скачайте свежую копию.
Закройте все открытые окна и запустите эту программу.

После выполнения будет создан лог файл, пожалуйста прикрепите его к вашему ответу. Так же выполните новую проверку программой FRST (перед нажатием клавиши Scan поставьте галочку в пункте Addition.txt) и оба её лога прикрепите к вашему ответу.

[Admin]

Пожалуйста выполните новую проверку программой FRST (перед нажатием клавиши Scan поставьте галочку в пункте Addition.txt) и оба её лога прикрепите к вашему ответу.

Только в файерфоксе выскакивает 12 котов ?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Перед началом лечения рекомендую включить систему восстановления Windows XP. Для этого:

1. Нажмите на кнопку Пуск, затем на Панель управления.
2. В открывшемся окне Панели управления, нажмите на значок «Система».
3. Перейдите на вкладку «Восстановление системы» и удалите отметку на чекбоксе «Отключить восстановление системы на всех дисках».
4. Кликните OK.

Запустите программу Блокнот и вставьте в открытое окно следующий текст

CreateRestorePoint:
HKU\S-1-5-21-1614895754-413027322-1801674531-1003\...\Run: [ggugxprcpl] => "hxxp://rigneda.ru/?utm_source=uoua03&utm_content=3f5ac389090854fdc20d4928cb8b84b3&utm_term=915DBC963E53E808F2023B43E8789609&utm_d=20160918"
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1614895754-413027322-1801674531-1003\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
CHR dev: Chrome dev build detected! <======= ATTENTION
CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1614895754-413027322-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1614895754-413027322-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vkplayerpro.ru/index.xml
CHR HKU\S-1-5-21-1614895754-413027322-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nikpibnbobmbdbheedjfogjlikpgpnhp] - 
S3 19FFC4915C; no ImagePath
S1 BDEnhanceBoost; system32\DRIVERS\BDEnhanceBoost.sys [X]
S3 ggflt; system32\DRIVERS\ggflt.sys [X]
S3 ggsemc; system32\DRIVERS\ggsemc.sys [X]
S4 IntelIde; no ImagePath
U1 WS2IFSL; no ImagePath
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:054203E4 [278]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:28AE6654 [169]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:AE7261F6 [306]
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\123\Tencentdl.exe] => Enabled:腾讯产品下载组件
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe] => Enabled:百度高速下载器
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\123\Tencentdl.exe] => Enabled:腾讯产品下载组件
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe] => Enabled:百度高速下载器
EmptyTemp:
Reboot:

Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist

Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение «Fix completed». Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.

После этого выполните новую проверку программой FRST (перед нажатием клавиши Scan поставьте галочку в пункте Addition.txt) и оба её лога прикрепите к вашему ответу.

Далее, запустите программу FRST и в окошке Search вставьте

user32.dll

Нажмите кнопку Seacrh files. Когда поиск завершиться его результаты откроются в Блокноте. Вставьте его содержимое в ваш ответ.

[Admin]

Удалите папку C:\FRST.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Расскажите как вы защищаете свой компьютер, ответив на эти вопросы Как вы защищаете свой компьютер ?

Всего доброго!

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

К сожалению новых способов не появилось. Возможно в будущем появится способ, думаю ребята из лабораторий Касперского и ДрВеба этот вопрос держат на контроле, так как на нем можно заработать. Но на текущий момент ничего не придумали. Поэтому только программы, которые восстанавливают данные, — это способ что-то вернуть.

[Автор]

Сообщения