145049

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\program files (x86)\firefox\bin\firefoxupdate.exe');
TerminateProcessByName('c:\program files (x86)\firefox\firefox.exe');
TerminateProcessByName('c:\users\villi_000\appdata\local\kitty\cat.exe');
StopService('FirefoxU');
StopService('Kitty');
QuarantineFile('C:\Users\villi_000\appdata\roaming\winsapsvc\winsap.dll','');
QuarantineFile('C:\windows\Update\psgo\psgo.ps1','');
QuarantineFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe','');
QuarantineFile('c:\program files (x86)\firefox\firefox.exe','');
QuarantineFile('c:\users\villi_000\appdata\local\kitty\cat.exe','');
QuarantineFile('"C:\Program Files (x86)\MIO\MIO.exe"', '');
ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Windows-PG" /F', 0, 15000, true);
DeleteFile('c:\users\villi_000\appdata\local\kitty\cat.exe','32');
DeleteFile('c:\program files (x86)\firefox\firefox.exe','32');
DeleteFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe','32');
DeleteFile('C:\windows\Update\psgo\psgo.ps1','32');
DeleteFile('C:\Users\villi_000\appdata\roaming\winsapsvc\winsap.dll','32');
DeleteFile('"C:\Program Files (x86)\MIO\MIO.exe"', '32');
DeleteService('FirefoxU');
DeleteService('Kitty');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.



Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите еще раз логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.

145058

145059

145060

Еще раз, пожалуйста, соберите и прикрепите свежие логи FRST.txt и Addition.txt

145062

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
start
CreateRestorePoint:
CloseProcesses:
FF Extension: (SimilarWeb) - C:\Users\villi_000\AppData\Roaming\Firefox\Firefox\Profiles\fk7r05u1.default-1490122784896\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2017-04-17] [not signed]
FF Extension: (HSearch) - C:\Users\villi_000\AppData\Roaming\Firefox\Firefox\Profiles\fk7r05u1.default-1490122784896\Extensions\@E97YHOMI-FU8L-IM23-VUT9-RVDZT7M8XL8H.xpi [2017-04-17] [not signed]
FF Extension: (FF Adr) - C:\Users\villi_000\AppData\Roaming\Firefox\Firefox\Profiles\fk7r05u1.default-1490122784896\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-04-17] [not signed]
R2 SNARE; C:\Users\villi_000\AppData\Local\SNARE\Snarer.dll [793600 2017-04-17] (InterSect Alliance Pty Ltd) [File not signed]
2017-04-17 13:59 - 2017-04-17 13:59 - 00000000 ____D C:\Users\villi_000\AppData\Local\Yeahship
2017-04-17 13:55 - 2017-04-17 13:55 - 00000000 ____D C:\Users\villi_000\AppData\Roaming\Firefox
2017-04-17 13:55 - 2017-04-17 13:55 - 00000000 ____D C:\Users\villi_000\AppData\Local\Firefox
2017-04-17 13:54 - 2017-04-18 09:50 - 00000000 ____D C:\Program Files (x86)\Firefox
2017-04-17 13:54 - 2017-04-18 02:46 - 00000000 _____ C:\Users\Public\Documents\report.dat
2017-04-17 13:54 - 2017-04-17 13:54 - 00000000 _____ C:\Users\Public\Documents\temp.dat
2017-04-17 13:53 - 2017-04-18 09:52 - 00000000 ____D C:\Users\villi_000\AppData\Roaming\WinSAPSvc
2017-04-17 13:53 - 2017-04-17 13:53 - 00000000 ____D C:\WINDOWS\Update
2017-04-17 13:48 - 2017-04-17 13:48 - 00000000 ____D C:\Program Files (x86)\p00eid1m
2017-04-13 12:27 - 2017-04-13 12:27 - 00000000 ____D C:\Program Files (x86)\Yeahship
2017-04-13 12:26 - 2017-04-18 09:50 - 00000000 ____D C:\Users\villi_000\AppData\Local\Kitty
2017-04-13 12:26 - 2017-04-17 13:53 - 00000000 ____D C:\Users\villi_000\AppData\Local\SNARE
2017-04-13 12:04 - 2017-04-13 12:04 - 00100481 _____ C:\Users\villi_000\Desktop\index.html
2017-04-13 10:27 - 2017-04-13 10:27 - 00000000 _____ C:\WINDOWS\SysWOW64\1
2017-04-13 10:26 - 2017-04-17 13:53 - 00000000 ____D C:\Program Files (x86)\MIO
2017-04-13 10:26 - 2017-04-13 12:46 - 00000000 ____D C:\Users\villi_000\AppData\Local\AMD
2017-04-13 10:26 - 2017-04-13 10:26 - 00000000 ____D C:\Update
2017-04-13 10:10 - 2017-04-13 10:10 - 00004562 _____ C:\WINDOWS\System32\Tasks\Adobe Acrobat Update Task
Task: {F01AF12F-0736-49FE-BBD2-5879C4430F1E} - \Microsoft\Windows\Multimedia\MailruSetup -> No File <==== ATTENTION
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Yeahship\Application\chrome.exe (Google Inc.)
FirewallRules: [{74D40BC1-95F0-4C86-9158-F4BE6D49A6A3}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{B43A0FEB-6E29-4EE9-B2EB-0976D1DE2E73}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
http://dragokas.com/tools/FRST_move.png

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

http://forum.oszone.net/attachment.php?attachmentid=145065&stc=1&d=1492508963

Что сейчас с проблемой?

у вас интерфейс поменялся на сайте, или это последствия моих действий? пока вроде без экцсессов, но firefox не выбирается по умолчанию на Windows10,только через классическую панель управления, и пропало изображения ярлыка мозиллы

firefox не выбирается по умолчанию »
Удалите его, скачайте и установите заново.

спасибо, пока полет нормальный)))

В завершение:
1. Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
Загрузите SecurityCheck by glax24 & Severnyj (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.