[mike_1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR Extension: (Tampermonkey) - C:\Users\Капитан Немо\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-06-06]
OPR Extension: (Tampermonkey) - C:\Users\Капитан Немо\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-05-18]
2017-06-20 23:39 - 2017-06-20 23:39 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign4d534ab4032148e5
2017-06-20 23:39 - 2017-06-20 23:39 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign2dd20454295a74bf
2017-06-20 23:23 - 2017-06-20 23:23 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign072d7062a4351b37
2017-06-20 23:22 - 2017-06-20 23:22 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign3055871cf6b5fcce
2017-06-20 23:21 - 2017-06-20 23:21 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign5ddb41629805670d
2017-06-20 23:21 - 2017-06-20 23:21 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign3b9ffe688af2ec27
2017-06-20 22:57 - 2017-06-20 22:57 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign43b8fb6ca83e7c16
2017-06-20 18:25 - 2017-06-20 18:25 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsignce061b0c15783970
2017-06-20 18:13 - 2017-06-20 18:13 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsignfac0bcea623a9712
2017-06-20 18:13 - 2017-06-20 18:13 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign6e81260013763af5
2017-06-20 17:45 - 2017-06-20 17:45 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign681ad3b6c15dd811
2017-06-20 17:43 - 2017-06-20 17:43 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign901869ea18ab9d41
2017-06-20 17:43 - 2017-06-20 17:43 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign0cff353ff44ed943
2017-06-18 10:08 - 2017-06-18 10:08 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign62d774132b9eb7d7
2017-06-18 10:07 - 2017-06-18 10:07 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsignf4c3458ca5f5c12f
2017-06-18 10:07 - 2017-06-18 10:07 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign9b202eacbb06c768
2017-06-17 14:20 - 2017-06-17 14:20 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsignb09b76118cf14531
2017-06-17 14:20 - 2017-06-17 14:20 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign609698a869729206
2017-06-17 14:18 - 2017-06-17 14:18 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign4612270ba2d59c1f
2017-06-17 14:15 - 2017-06-17 14:15 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign9883585e59d373fc
2017-06-17 14:14 - 2017-06-17 14:14 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign0980c4b4d8b6c6cd
2017-06-17 14:14 - 2017-06-17 14:14 - 00000000 ____D C:\Users\Все пользователи\VideoCopilot
2017-06-17 14:14 - 2017-06-17 14:14 - 00000000 ____D C:\ProgramData\VideoCopilot
2017-06-17 14:12 - 2017-06-17 14:12 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign3cedf1e2923e5b82
2017-06-17 14:10 - 2017-06-17 14:10 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsignaa94f2d965e40946
2017-06-17 13:59 - 2017-06-17 13:59 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign40e14d57a59bc562
2017-06-17 13:58 - 2017-06-17 13:58 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsignebcdf5f505cb10a8
2017-06-17 13:58 - 2017-06-17 13:58 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign98780d984ba87028
2017-06-17 13:58 - 2017-06-17 13:58 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign863f84a3656bd9d4
2017-06-17 13:58 - 2017-06-17 13:58 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign60e874a17bb75c88
2017-06-17 13:51 - 2017-06-17 13:51 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsignf64bf53252620c78
2017-06-17 13:51 - 2017-06-17 13:51 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsigncb655c8ac7ae18bc
2017-06-17 13:51 - 2017-06-17 13:51 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign1e4909a71c573f3a
2017-06-17 13:44 - 2017-06-17 13:44 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsignaf2b3d3286652133
2017-06-17 13:44 - 2017-06-17 13:44 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign169fd019d6a521f0
2017-06-17 13:05 - 2017-06-17 13:05 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsignd8059a0542392fcf
2017-06-17 13:05 - 2017-06-17 13:05 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsignd11856db9a5c89f3
2017-06-17 09:04 - 2017-06-17 09:04 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsigna915f3b50c0f73fe
2017-06-17 08:48 - 2017-06-17 08:48 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign777d13e2a2220fe4
2017-06-16 21:50 - 2017-06-16 21:50 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign7a423e3167212d65
2017-06-16 21:49 - 2017-06-16 21:49 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsigne0387b26501bb535
2017-06-16 21:49 - 2017-06-16 21:49 - 00000000 ____D C:\Users\Капитан Немо\AppData\Local\Tempzxpsign69f615fe79b6162c
Task: {E3510B0C-8885-4AEA-8AE8-7AC18E662A88} - System32\Tasks\MSISW_Host => C:\Windows\SysWOW64\muachost.exe [2015-08-18] (MSI)
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

[mike_1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Extension: (friGate CDN - бесперебойный доступ к сайтам) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mbacbcfdfaapbcnlnbmciiaakomhkbkb [2017-05-26]
CHR Extension: (Конвертер валют) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\phahnlachnhpapnmpfenaiafdemncgjf [2017-03-15]
file: C:\Program Files (x86)\Mouse Server\MouseService.exe
C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

[mike_1]

Создайте свою тему, а не пишите в чужой теме!

[mike_1]

Выполните скрипт из вложения в FRST.

Вложения:

You must be logged in to view attached files.

[mike_1]

Сделайте новые логи FRST.txt, Addition.txt

[mike_1]

Что с проблемой?

[mike_1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3745346421-1428038340-710531481-1001\...\Run: [mmonkvcbvb] => explorer "hxxp://eqvizin.ru/?utm_source=uoua03&utm_content=30279481911209992ea2df3b8dc4809c&utm_term=A283EAA5F0F5A417955A62635777B8D8&utm_d=20170620" <===== ATTENTION
HKU\S-1-5-21-3745346421-1428038340-710531481-1001\...\RunOnce: [skvxkzybod] => "C:\Users\Хасан\AppData\Local\Temp\DEjpjGxj6J2y.exe" <===== ATTENTION
Startup: C:\Users\Хасан\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.lnk [2013-05-28]
ShortcutTarget: update.lnk -> C:\Windows\update32\hstart.exe (NTWind Software)
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
C:\Windows\update32\hstart.exe
CHR Extension: (Скачать музыку с Вконтакте (vk.com)) - C:\Users\Хасан\AppData\Local\Google\Chrome\User Data\Default\Extensions\afkpfjljjhhonjehpkmgonimjjgaheap [2017-06-20]
CHR Extension: (Переводчик для всех языков) - C:\Users\Хасан\AppData\Local\Google\Chrome\User Data\Default\Extensions\amdeidgbmcliegnpcbbkhlflkbdpomhk [2017-06-20]
CHR Extension: (Safe Search) - C:\Users\Хасан\AppData\Local\Google\Chrome\User Data\Default\Extensions\gkojejamfcfiaahlemladclbpcikdnfe [2017-06-20]
CHR Extension: (Video DownloadHelper) - C:\Users\Хасан\AppData\Local\Google\Chrome\User Data\Default\Extensions\lmjnegcaeklhafolokijcfjliaokphfk [2017-06-20]
CHR Extension: (Into The Mist) - C:\Users\Хасан\AppData\Local\Google\Chrome\User Data\Default\Extensions\mgihmkgobaljfehcadcckdggpeojaadh [2017-06-20]
OPR Extension: (SearchWay) - C:\Users\Хасан\AppData\Roaming\Opera Software\Opera Stable\Extensions\achhckalphdlhbnohjonneffefbmaddi [2017-02-08]
OPR Extension: (Уничтожай жуков!) - C:\Users\Хасан\AppData\Roaming\Opera Software\Opera Stable\Extensions\dgkihfbpoiidondiioccgbaonglamkmj [2017-02-08]
OPR Extension: (True&Test mini) - C:\Users\Хасан\AppData\Roaming\Opera Software\Opera Stable\Extensions\gmbajhdjnpikflhdgadlldbbpnmhlfhk [2017-04-18]
R2 SvcHost Service Host; C:\Windows\Microsoft\svchost.exe [0 ] () <==== ATTENTION (zero byte File/Folder)
2017-06-20 13:08 - 2017-06-20 13:24 - 00000000 ____D C:\Users\Все пользователи\RegRun
2017-06-20 13:08 - 2017-06-20 13:24 - 00000000 ____D C:\ProgramData\RegRun
2017-06-20 13:05 - 2017-06-20 13:05 - 00000002 RSHOT C:\Windows\winstart.bat
2017-06-20 13:05 - 2017-06-20 13:05 - 00000000 ____D C:\Users\Хасан\AppData\Local\Вoйти в Интeрнет
2017-06-19 15:49 - 2017-06-19 15:49 - 00000000 ____D C:\Users\Хасан\AppData\Local\Поиcк в Интeрнете
2017-06-19 15:24 - 2017-06-19 15:24 - 00000258 __RSH C:\Users\Hasan\ntuser.pol
2017-06-19 14:16 - 2017-06-19 14:26 - 00000000 ____D C:\Users\Все пользователи\spotflux
2017-06-19 14:16 - 2017-06-19 14:26 - 00000000 ____D C:\ProgramData\spotflux
2017-06-19 10:08 - 2017-06-19 10:08 - 00000258 __RSH C:\Users\Хасан\ntuser.pol
2017-06-19 00:01 - 2017-06-19 00:01 - 00000258 __RSH C:\Users\Все пользователи\ntuser.pol
2017-06-19 00:01 - 2017-06-19 00:01 - 00000258 __RSH C:\ProgramData\ntuser.pol
2017-06-18 23:23 - 2017-06-19 15:10 - 00000000 ____D C:\Users\Хасан\AppData\Local\indexer
2017-06-18 22:58 - 2017-06-20 12:57 - 00003460 __RSH C:\Windows\System32\Tasks\MSI
2017-06-18 22:57 - 2017-06-19 14:44 - 2556920 __RSH () C:\Users\Хасан\AppData\Roaming\Microsoft\msi.exe
2017-06-20 13:04 - 2017-06-20 13:04 - 0780128 ____N () C:\Users\Хасан\AppData\Local\Temp\2bCoyCrEbg5w.exe
2017-06-20 13:07 - 2017-06-20 13:07 - 7842800 ____N () C:\Users\Хасан\AppData\Local\Temp\QaBTYrKBmkW0.exe
2017-06-20 13:04 - 2017-06-20 13:04 - 3263295 ____N () C:\Users\Хасан\AppData\Local\Temp\TFlGhg4alF9D.exe
2017-06-20 13:07 - 2017-06-20 13:07 - 2556920 ____N () C:\Users\Хасан\AppData\Local\Temp\va1k2WCz9t8J.exe
Task: {727A253C-682D-4636-8F6C-119BFFF836EB} - System32\Tasks\MSI => C:\Users\Хасан\AppData\Roaming\Microsoft\msi.exe [2017-06-19] () <==== ATTENTION
C:\Windows\Microsoft\svchost.exe
HKU\S-1-5-21-3745346421-1428038340-710531481-1001\...\StartupApproved\StartupFolder: => "update.lnk"
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

[mike_1]

Деинсталлируйте Baidu Antivirus, PC App Store, Wise Care 365 4.66

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-18\...\RunOnce: [{90140000-006E-0419-0000-0000000FF1CE}] => C:\Windows\system32\cmd.exe /C del "C:\ProgramData\Microsoft Help\Rgstrtn.lck" /Q /A:H
HKU\S-1-5-18\...\RunOnce: [{90140000-0018-0419-0000-0000000FF1CE}] => C:\Windows\system32\cmd.exe /C del "C:\ProgramData\Microsoft Help\Rgstrtn.lck" /Q /A:H
HKU\S-1-5-18\...\RunOnce: [{90140000-0016-0419-0000-0000000FF1CE}] => C:\Windows\system32\cmd.exe /C del "C:\ProgramData\Microsoft Help\Rgstrtn.lck" /Q /A:H
HKU\S-1-5-18\...\RunOnce: [{90140000-00BA-0419-0000-0000000FF1CE}] => C:\Windows\system32\cmd.exe /C del "C:\ProgramData\Microsoft Help\Rgstrtn.lck" /Q /A:H
HKU\S-1-5-18\...\RunOnce: [{90140000-001A-0419-0000-0000000FF1CE}] => C:\Windows\system32\cmd.exe /C del "C:\ProgramData\Microsoft Help\Rgstrtn.lck" /Q /A:H
HKU\S-1-5-18\...\RunOnce: [{90140000-0044-0419-0000-0000000FF1CE}] => C:\Windows\system32\cmd.exe /C del "C:\ProgramData\Microsoft Help\Rgstrtn.lck" /Q /A:H
HKU\S-1-5-18\...\RunOnce: [{90140000-0015-0419-0000-0000000FF1CE}] => C:\Windows\system32\cmd.exe /C del "C:\ProgramData\Microsoft Help\Rgstrtn.lck" /Q /A:H
HKU\S-1-5-18\...\RunOnce: [{90140000-00A1-0419-0000-0000000FF1CE}] => C:\Windows\system32\cmd.exe /C del "C:\ProgramData\Microsoft Help\Rgstrtn.lck" /Q /A:H
HKU\S-1-5-18\...\RunOnce: [{90140000-0019-0419-0000-0000000FF1CE}] => C:\Windows\system32\cmd.exe /C del "C:\ProgramData\Microsoft Help\Rgstrtn.lck" /Q /A:H
HKU\S-1-5-18\...\RunOnce: [{90140000-001B-0419-0000-0000000FF1CE}] => C:\Windows\system32\cmd.exe /C del "C:\ProgramData\Microsoft Help\Rgstrtn.lck" /Q /A:H
HKU\S-1-5-18\...\RunOnce: [{90140000-0011-0000-0000-0000000FF1CE}] => C:\Windows\system32\cmd.exe /C del "C:\ProgramData\Microsoft Help\Rgstrtn.lck" /Q /A:H
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

[mike_1]

Каждый случай уникален, а потому нельзя сделать универсальное решение.

[mike_1]

Сделайте лог AdwCleaner.

[mike_1]

А можно что нибудь сделать с этим, а то у меня часто скрипты рушатся из-за этого, либо сообщения пропадают?

[mike_1]

Деинсталлируйте YoutubeAdBlock и Unity Web Player

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Сделайте https://virusinfo.info/showthread.php?t=146192

Вложения:

You must be logged in to view attached files.

[mike_1]

Деинсталлируйте YoutubeAdBlock и Unity Web Player

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1784544501-2316722304-4150561462-1000\...\Run: [qazcpkwuiw] => explorer "hxxp://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=B09DFEDD84A0637D829D00B2B4BD0A93&utm_d=20170415" <===== ATTENTION
HKU\S-1-5-21-1784544501-2316722304-4150561462-1000\...\Run: [SystemScript] => C:\Users\Николай\AppData\Local\Temp\NOr80MvPugQ7.exe [241664 2017-06-14] () <===== ATTENTION
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
FF Extension: (No Name) - C:\Users\Николай\AppData\Roaming\Mozilla\Firefox\Profiles\tx8mgaxl.default\Extensions\6edd-661a-e472-7a3e [2016-08-13]
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Николай\AppData\Roaming\Mozilla\Firefox\Profiles\tx8mgaxl.default\Extensions\homepage@mail.ru [2017-04-15]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Николай\AppData\Roaming\Mozilla\Firefox\Profiles\tx8mgaxl.default\Extensions\search@mail.ru [2017-04-15]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Николай\AppData\Roaming\Mozilla\Firefox\Profiles\tx8mgaxl.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-04-15]
FF SearchPlugin: C:\Users\Николай\AppData\Roaming\Mozilla\Firefox\Profiles\tx8mgaxl.default\searchplugins\mailru.xml [2017-04-15]
CHR Extension: (ZenMate VPN - лучшее решение для интернет-безопасности) - C:\Users\Николай\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdcgdnkidjaadafnichfpabhfomcebme [2017-06-15]
OPR Extension: (No Name) - C:\Users\Николай\AppData\Roaming\Opera Software\Opera Stable\Extensions\jenggbjfjblgmpcfejchbpnpineboigk [2017-06-15]
R2 SvcHost Service Host; C:\Windows\Microsoft\svchost.exe [0 ] () <==== ATTENTION (zero byte File/Folder) <==== ATTENTION
2017-06-15 19:04 - 2017-06-16 14:22 - 00000282 _____ C:\Windows\Tasks\E3605470-291B-44EB-8648-745EE356599A.job
2017-06-15 19:04 - 2017-06-15 19:04 - 00000000 ____D C:\Program Files\YubeAlckUn
2017-06-15 19:04 - 2017-06-15 19:04 - 00000000 ____D C:\Program Files\YubeAlckU
2017-06-15 19:04 - 2017-06-15 19:04 - 00000000 ____D C:\Program Files\YubeAlckIE
2017-06-15 18:53 - 2017-06-15 18:53 - 00001660 _____ C:\Users\Николай\Desktop\Поиcк в Интeрнете.lnk
2017-06-14 21:15 - 2017-06-14 21:15 - 00000258 __RSH C:\Users\Николай\ntuser.pol
2017-06-14 21:11 - 2017-06-14 21:11 - 00000000 ____D C:\Users\Николай\AppData\Local\Вoйти в Интeрнет
2017-06-14 21:08 - 2017-06-14 21:08 - 00000000 ____D C:\Users\Николай\AppData\Local\wupdate
2017-06-14 21:07 - 2017-06-14 21:07 - 00000000 ____D C:\Users\Николай\AppData\LocalLow\SearchGo
2017-06-14 21:07 - 2017-06-14 21:07 - 00000000 ____D C:\Users\Николай\AppData\Local\SearchGo
2017-06-14 21:04 - 2017-06-15 18:52 - 00002866 __RSH C:\Users\Все пользователи\ntuser.pol
2017-06-14 21:04 - 2017-06-15 18:52 - 00002866 __RSH C:\ProgramData\ntuser.pol
2017-06-14 20:42 - 2017-06-14 20:42 - 2167808 __RSH () C:\Users\Николай\AppData\Roaming\Microsoft\msi.exe
Task: {568D00DD-C5CB-4E8D-B21B-6A8C485DBC5D} - System32\Tasks\MSI => C:\Users\Николай\AppData\Roaming\Microsoft\msi.exe [2017-06-14] () <==== ATTENTION
Task: {776D6441-1FE4-44FB-87BB-177C4ADD2090} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A => Rundll32.exe "C:\Program Files\YubeAlckU\iuQhMgB.dll",#1
Task: {9E909221-45AE-443C-9D5A-0E146EF59C0E} - System32\Tasks\FileSystemDriver => C:\Users\Николай\AppData\Local\FileSystemDriver\FileSystemDriver.exe [2017-06-16] () <==== ATTENTION
Task: {C35D1DD4-1399-4914-82C7-AD72B983FF2C} - System32\Tasks\InternetE => Chrome.exe hxxp://howtobleases.xyz/krep
Task: {F8330B74-0B46-4AF8-A8C6-825A12B36871} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A2 => Rundll32.exe "C:\Program Files\YubeAlckU\iuQhMgB.dll",#1
Task: C:\Windows\Tasks\E3605470-291B-44EB-8648-745EE356599A.job => C:\Program Files\YubeAlckU\iuQhMgB.dll
C:\Users\Николай\Desktop\Поиcк в Интeрнете.lnk
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Сделайте https://virusinfo.info/showthread.php?t=146192

[mike_1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-607773432-3358395165-3367222978-1000\...\Run: [yzgfsqmbdw] => explorer "hxxp://ekomara.ru/?utm_source=uoua03&utm_content=a70ea5a0c9e7bee87f194c343f86963a&utm_term=24781C593A2E47150A59A439E78096D0&utm_d=20170615" <===== ATTENTION
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Extension: (No Name) - C:\Users\D\AppData\Local\Google\Chrome\User Data\Default\Extensions\iaddkdiibkddhdbcmmplkhcpgeinggfo [2016-12-04]
OPR Extension: (adblockforopera) - C:\Users\D\AppData\Roaming\Opera Software\Opera Stable\Extensions\aobdicepooefnbaeokijohmhjlleamfj [2016-05-24]
OPR Extension: (No Name) - C:\Users\D\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfobkaegerpil [2017-06-15]
OPR Extension: (Универсальный перевод для Chrome) - C:\Users\D\AppData\Roaming\Opera Software\Opera Stable\Extensions\djflhoibgkdhkhhcedjiklpkjnoahfmg [2015-06-12]
OPR Extension: (No Name) - C:\Users\D\AppData\Roaming\Opera Software\Opera Stable\Extensions\jenggbjfjblgmpcfejchbpnpineboigk [2017-06-15]
2017-06-15 15:38 - 2017-06-15 16:17 - 00000000 ____D C:\Users\D\AppData\Local\ifgker
2017-06-15 15:37 - 2017-06-15 15:37 - 00002708 _____ C:\Windows\System32\Tasks\E3605470-291B-44EB-8648-745EE356599A2
2017-06-15 15:37 - 2017-06-15 15:37 - 00000000 ____D C:\Program Files (x86)\YubeAlckUn
2017-06-15 15:37 - 2017-06-15 15:37 - 00000000 ____D C:\Program Files (x86)\YubeAlckIE
2017-06-15 15:36 - 2017-06-15 15:37 - 00000000 ____D C:\Program Files (x86)\YubeAlckU
2017-06-15 15:13 - 2017-06-15 16:14 - 00003376 __RSH C:\Windows\System32\Tasks\MSI
2017-06-15 15:13 - 2017-06-15 15:14 - 2180112 __RSH () C:\Users\D\AppData\Roaming\Microsoft\msi.exe
2015-04-20 23:12 - 2015-04-20 23:12 - 0000139 ____H () C:\Users\D\AppData\Local\launcher.bat
2015-04-20 23:12 - 2015-04-07 10:25 - 0889976 ____H (Opera Software) C:\Users\D\AppData\Local\lаunсhеr.bаt.exe
Task: {4E6E6563-A5AA-4083-AD14-164A719CE67E} - System32\Tasks\MSI => C:\Users\D\AppData\Roaming\Microsoft\msi.exe [2017-06-15] ()
Task: {D2188401-5EEC-4A87-814B-AD32C8756EA4} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A2 => Rundll32.exe "C:\Program Files (x86)\YubeAlckU\iuQhMgB.dll",#1
Task: {EF850C9D-17DE-4729-A9F1-F40E4A3E83D5} - System32\Tasks\avastBCLRestart_chrome.exe => Chrome.exe 
C:\Users\D\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Users\D\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk
MSCONFIG\startupreg: Zaxar => "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

[mike_1]

Переустановите Chrome с полным удалением профиля.

[Автор]

Сообщения