Добрый день..не могу решить одну проблему, наткнулся на другую. Пришлось как-то выключить антивирус, и не уследил. Система заразилась. Симптомов было много, вплоть до страннейших ошибок, но всё, что смог, я очистил. Осталась пара мелочей, которая не даёт мне спокойно жить.
Итак, во-первых, я удалил почти всю гадость, но, при запуске пк устанавливаются несколько программ(их видно только здесь, в обычной панели управления нет):
Скрин. (http://i-fotki.info/21/dd067a4ebf7e8a1ca84463828c489b896dac37273454663.png.html)
Скрин 2. (http://i-fotki.info/21/f865fa44b84f863aca1aa76ace0d955f6dac37273454680.png.html)
И ещё несколько таких. Во вторых, в скрытых приложения появляется это(тоже удаляю, но при запуске ПК оно восстанавливается):
Скрин. (http://i-fotki.info/21/7c33191644cad0e639b5ac64844d96dd6dac37273454733.png.html)
В третьих, в FireFox постоянно при запуске открывается это. (http://www.startpageing123.com/?type=sc&ts=1490774628&z=34e7f897ee5784006059bb7g6z3t5ebmam7z0qeobq&from=che0812&uid=ADATAXSP900_7D5120007721)
Разумеется, никакие сбросы не помогают. В IE тоже самое или вот это. (http://www-searching.com/?prd=set_epf&s=h3rzbcnbl1au,6a817123-b93a-40f5-9dff-632de8f4ca80,)

В четвертых, неоднократно замечал, хотя бы здесь, на форуме, при нажатии на гиперссылку открывается новое окно и тут же закрывается, что его не успеваешь заметить. Неспроста.

Вопрос: куда копать, чем лечить? Что нужно, предоставлю, только натолкните. В системе пока нет антивируса вообще. Заранее спасибо.

P.S.: сканировал Dr.Web Curelt!, нашёл множество вирусов, почистил всё, но проблема осталась актуальной.

Вам нужна помощь? Нам нужны ваши логи! (http://forum.oszone.net/thread-98169.html)

shestale, готово.
Архив. (https://yadi.sk/d/kPJ1v2d_3GToLq)

Все логи, кроме карантинов, выкладываем на форум:
144592

shestale, Вот.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFileF('c:\users\lagos_official_admin\appdata\roaming\kyubey', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\lagos_official_admin\appdata\roaming\winsapsvc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\lagos_official_admin\appdata\roaming\winsnare', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\lagos_official_admin\appdata\roaming\browsers', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\progra~2\fixit', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\lagos_official_admin\appdata\roaming\forceupdatevof', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\lagos_official_admin\appdata\local\filterstart', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\lagos_official_admin\appdata\roaming\event monitor', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\lagos_official_admin\appdata\roaming\searchay', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\program files (x86)\screenup', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\lagos_official_admin\appdata\roaming\vof', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\lagos_official_admin\appdata\roaming\vofer', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFile('c:\users\lagos_official_admin\appdata\roaming\kyubey\kyubey.exe', '');
QuarantineFile('c:\users\lagos_official_admin\appdata\roaming\winsapsvc\winsap.dll', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\WINSNARE\WinSnare.dll', '');
QuarantineFile('C:\Windows\MicrosoftU\csrss.exe', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
QuarantineFile('C:\Program Files (x86)\Anipertheratpeph Manager\local64spl.dll', '');
QuarantineFile('C:\PROGRA~2\FixIt\FIXITM~1.EXE', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\ForceUpdateVOF\ml.py', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\ForceUpdateVOF\updater.py', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Adobe\Manager.exe', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Local\FilterStart\FilterStart.exe', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Event Monitor\em.exe', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\SearchAY\ml.py', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\SearchAY\python\pythonw.exe', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\SearchAY\app.py', '');
QuarantineFile('C:\ProgramData\smp2.exe', '');
QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\VOF\ml.py', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\VOF\python\pythonw.exe', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\VOF\updater.py', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\vofer\ml.py', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\vofer\python\pythonw.exe', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\vofer\app.py', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Панель запуска приложений Chrome.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gоoglе Chrome.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Local\Yeshat\User Data\ChromeDefaultData\Web Applications\_crx_blpcfgokakmgnkcojhhkbfbldkacnbeo\YouTube.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Web Applications\_crx_blpcfgokakmgnkcojhhkbfbldkacnbeo\YouTube.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Uran\VK inviz.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Uran\VKontakte Offline.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Local\Drbszqergh\ChromeDefaultData\Web Applications\_crx_blpcfgokakmgnkcojhhkbfbldkacnbeo\YouTube.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\Desktop\Софт\Браузеры\Mozilla Firefox.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TakeOwnershipEx\TakeOwnershipEx Site.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk', '');
QuarantineFile('C:\Users\Public\Desktop\Mozilla Firefox.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\Desktop\Софт\Браузеры\Internet Explorer (64-bit).lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrome.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Internеt Eхрlorer Brоwser.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndex.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Еxplоrer (No Add-ons).lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Exрlorer.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfox.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WCF RIA Services V1.0 SP1\Stаrt Нerе.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WCF RIA Services V1.0 SP1\WСF RIА Servicеs V1.0 SР1 Walkthrough.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Ореrа betа.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа beta.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\Desktop\Игры\Мinеcraft.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\Desktop\Игры\SkyrimLаuncher.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\Desktop\Игры\Wаrframe.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Warframe\Wаrfrаmе.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft DirectX SDK (June 2010)\DirеctХ Sаmрlе Browsеr.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minecraft\Мinесraft.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Euro Truck Simulator 2\Игрaть Eurо Truck Simulatоr 2 (х32).lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\Хм\Desktop\RS File Recovery.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\Хм\Desktop\RS NTFS Recovery.lnk', '');
QuarantineFile('C:\ProgramData\ReviverSoft\Start Menu Reviver\S-1-5-21-3392820279-1211771211-2562909350-500\dashboard.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ReviverSoft\Start Menu Reviver\Uninstall.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ReviverSoft\Start Menu Reviver\Start Menu Reviver.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\Desktop\Софт\Программирование\Android\Adb Run.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera beta.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera beta.lnk', '');
QuarantineFile('C:\Users\Lagos_official_admin\Хм\Favorites\Mail.Ru.url', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Browsers\exe.resworb.bat', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Browsers\exe.rehcnualt.bat', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Browsers\exe.rehcnualmiryks.bat', '');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Browsers\exe.resworbelpmas.bat', '');
ExecuteFile('schtasks.exe', '/delete /TN "Fix It Task" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\Manager" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "PC Custom Manager" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "RunAtStartup" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SearchAY" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SearchAY2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SMW_P" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "System PC Manager" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "VOF" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "VOF2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "vofer" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "vofer2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{09050B47-0C7D-0B0F-7E11-7E787D051109}" /F', 0, 15000, true);
DeleteFile('c:\users\lagos_official_admin\appdata\roaming\kyubey\kyubey.exe', '32');
DeleteFile('c:\users\lagos_official_admin\appdata\roaming\winsapsvc\winsap.dll', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\WINSNARE\WinSnare.dll', '32');
DeleteFile('C:\Windows\MicrosoftU\csrss.exe', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\Browsers\exe.rehcnual.bat', '32');
DeleteFile('C:\Program Files (x86)\Anipertheratpeph Manager\local64spl.dll', '32');
DeleteFile('C:\PROGRA~2\FixIt\FIXITM~1.EXE', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\ForceUpdateVOF\ml.py', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\ForceUpdateVOF\updater.py', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\Adobe\Manager.exe', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Local\FilterStart\FilterStart.exe', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\Event Monitor\em.exe', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\SearchAY\ml.py', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\SearchAY\python\pythonw.exe', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\SearchAY\app.py', '32');
DeleteFile('C:\ProgramData\smp2.exe', '32');
DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\VOF\ml.py', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\VOF\python\pythonw.exe', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\VOF\updater.py', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\vofer\ml.py', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\vofer\python\pythonw.exe', '32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\vofer\app.py', '32');
DeleteFileMask('c:\users\lagos_official_admin\appdata\roaming\kyubey', '*', true);
DeleteFileMask('c:\users\lagos_official_admin\appdata\roaming\winsapsvc', '*', true);
DeleteFileMask('c:\users\lagos_official_admin\appdata\roaming\winsnare', '*', true);
DeleteFileMask('c:\users\lagos_official_admin\appdata\roaming\browsers', '*', true);
DeleteFileMask('c:\progra~2\fixit', '*', true);
DeleteFileMask('c:\users\lagos_official_admin\appdata\roaming\forceupdatevof', '*', true);
DeleteFileMask('c:\users\lagos_official_admin\appdata\local\filterstart', '*', true);
DeleteFileMask('c:\users\lagos_official_admin\appdata\roaming\event monitor', '*', true);
DeleteFileMask('c:\users\lagos_official_admin\appdata\roaming\searchay', '*', true);
DeleteFileMask('c:\program files (x86)\screenup', '*', true);
DeleteFileMask('c:\users\lagos_official_admin\appdata\roaming\vof', '*', true);
DeleteFileMask('c:\users\lagos_official_admin\appdata\roaming\vofer', '*', true);
DeleteDirectory('c:\users\lagos_official_admin\appdata\roaming\kyubey');
DeleteDirectory('c:\users\lagos_official_admin\appdata\roaming\winsapsvc');
DeleteDirectory('c:\users\lagos_official_admin\appdata\roaming\winsnare');
DeleteDirectory('c:\users\lagos_official_admin\appdata\roaming\browsers');
DeleteDirectory('c:\progra~2\fixit');
DeleteDirectory('c:\users\lagos_official_admin\appdata\roaming\forceupdatevof');
DeleteDirectory('c:\users\lagos_official_admin\appdata\local\filterstart');
DeleteDirectory('c:\users\lagos_official_admin\appdata\roaming\event monitor');
DeleteDirectory('c:\users\lagos_official_admin\appdata\roaming\searchay');
DeleteDirectory('c:\program files (x86)\screenup');
DeleteDirectory('c:\users\lagos_official_admin\appdata\roaming\vof');
DeleteDirectory('c:\users\lagos_official_admin\appdata\roaming\vofer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','Servic eDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WINSNARE\Parameters','Service Dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','E ventMessageFile');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\ucdrv', 'Start', 2);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.



Компьютер перезагрузится.


Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Удалите параметры запуска ярлыков (http://safezone.cc/resources/clearlnk-udalenie-parametrov-zapuska-u-jarlykov.102/). Лог, который создается после удаления, прикрепите к сообщению.

Подготовьте лог AdwCleaner (http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/).

Подготовьте новый CollectionLog (http://safezone.cc/threads/pravila-oformlenija-zaprosa-o-pomoschi.15/).

Письмо на почту выслал.
Лог, со сброшенными параметрами ярлыков прикрепляю.
Лог AdwCleaner прикрепляю.
Новый CollectionLog, также, прикрепляю.

1. Удалите в AdwCleaner (http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/#post-157088) все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению.

2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFileF('c:\users\lagos_official_admin\appdata\roaming\kyubey', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\Kyubey\Kyubey.exe', '');
QuarantineFile('C:\Program Files (x86)\Anipertheratpeph Manager\local64spl.dll', '');
QuarantineFile('C:\Program Files (x86)\Chermock\xanaqatain.exe','');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\CDManager\updater.py','');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\CDManager\python\pythonw.exe','');
QuarantineFile('C:\Users\Lagos_official_admin\AppData\Roaming\CDManager\ml.py','');
QuarantineFile('C:\Program Files (x86)\uqmTDcCiPv\updengine.exe','');
QuarantineFile('C:\ProgramData\RegisterObject\RegisterObject.exe','');
QuarantineFile('C:\Update\psgo\psgo.ps1','');
ExecuteFile('schtasks.exe', '/delete /TN "Anipertheratpeph Manager" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "CDManager2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "CDManager" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Windows-PG" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Greright" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Greright" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "uqmTDcCiPv" /F', 0, 15000, true);
DeleteFile('C:\Update\psgo\psgo.ps1','32');
DeleteFile('C:\ProgramData\RegisterObject\RegisterObject.exe','32');
DeleteFile('C:\Program Files (x86)\uqmTDcCiPv\updengine.exe','32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\CDManager\ml.py','32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\CDManager\python\pythonw.exe','32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\CDManager\updater.py','32');
DeleteFile('C:\Program Files (x86)\Chermock\xanaqatain.exe','32');
DeleteFile('C:\Users\Lagos_official_admin\AppData\Roaming\Kyubey\Kyubey.exe', '32');
DeleteFile('C:\Program Files (x86)\Anipertheratpeph Manager\local64spl.dll', '32');
DeleteFileMask('c:\users\lagos_official_admin\appdata\roaming\kyubey', '*', true);
DeleteDirectory('c:\users\lagos_official_admin\appdata\roaming\kyubey');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\ucdrv', 'Start', 2);
DeleteService('Kyubey');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.



Компьютер перезагрузится.

3. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

4. Подготовьте новый CollectionLog (http://safezone.cc/threads/pravila-oformlenija-zaprosa-o-pomoschi.15/).

5. Подготовьте логи FRST (http://safezone.cc/threads/17759/)

Письмо отправил.
Все 5 логов прикрепляю.

Выполните скрипт в Farbar Recovery Scan Tool (http://safezone.cc/threads/kak-vypolnit-skript-v-farbar-recovery-scan-tool.17760/)
Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
start
CreateRestorePoint:
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [1498914]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458]
AlternateDataStreams: C:\ProgramData\TEMP:28AE6654 [169]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:28AE6654 [169]
R1 ucdrv; C:\Windows\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== ATTENTION
HKU\S-1-5-18\...\Run: [] => [X]
HKLM\...\Providers\4aem8v9z: C:\Program Files (x86)\Anipertheratpeph Manager\local64spl.dll
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR DefaultSearchKeyword: ChromeDefaultData -> youndoo
CHR Profile: C:\Users\Lagos_official_admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-03-29] <==== ATTENTION
CHR Profile: C:\Users\Lagos_official_admin\AppData\Local\Google\Chrome\User Data\Default_bag [2017-03-29] <==== ATTENTION
StartMenuInternet: (HKLM) Operabeta - C:\Program Files (x86)\Opera Next\Launcher.exe hxxp://www.startpageing123.com/?type=sc&ts=1490774628&z=34e7f897ee5784006059bb7g6z3t5ebmam7z0qeobq&from=che0812&uid=ADATAXSP900_7D5120007721
CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.youndoo.com/search/?q={searchTerms}&z=fe116fe6f3d9194ecff32a3g3z3t0e6q3oetcg8qbt&from=wak&uid=ADATAXSP900_7D5120007721&type=sp
2017-03-28 00:39 - 2017-03-30 14:47 - 00000000 ____D C:\Program Files (x86)\Chermock
2017-03-28 00:39 - 2017-03-28 00:39 - 00000000 ____D C:\Program Files (x86)\MIO
2017-03-27 21:49 - 2017-03-27 21:49 - 02978349 _____ C:\Users\Lagos_official_admin\AppData\Roaming\codecswift.exe
2017-03-27 21:49 - 2017-03-27 21:49 - 0000040 _____ () C:\Users\Lagos_official_admin\AppData\Roaming\CDManager.exe.sha1
2017-03-27 21:49 - 2017-03-27 21:49 - 2978349 _____ () C:\Users\Lagos_official_admin\AppData\Roaming\codecswift.exe
2017-03-27 21:49 - 2017-03-27 21:49 - 0000040 _____ () C:\Users\Lagos_official_admin\AppData\Roaming\codecswift.exe.sha1
2017-03-27 18:41 - 2017-03-27 18:41 - 1156096 _____ () C:\Users\Lagos_official_admin\AppData\Roaming\Transphase.exe
2017-03-27 21:49 - 2017-03-27 22:13 - 0000040 _____ () C:\Users\Lagos_official_admin\AppData\Roaming\vof.exe.sha1
2017-03-27 21:49 - 2017-03-27 21:49 - 0000040 _____ () C:\Users\Lagos_official_admin\AppData\Roaming\WinJar.exe.sha1
2017-03-27 18:41 - 2017-03-27 18:41 - 1156096 _____ () C:\Users\Lagos_official_admin\AppData\Roaming\Xxx-kix.exe
EmptyTemp:
Reboot:
end

Что с проблемами?

Смените пароли.

shestale, сейчас сделаю.
По проблемам:
FireFox был просто удалён, в IE была сброшена дом.страница. Перенастроил, всё в порядке.
По программам:
скрытая китайская(360 которая) всё ещё на месте. Удалять в ручную?
И хотя бы тот же ScreenUp тоже на месте. (В списках программы Unistall Tool).
Больше ничего не заметил.
Лог сейчас пришлю.

P.S. нагло вру про FireFox. Ярлык FireFox ссылался "не туда", так ведь? Так вот, путь потерялся. FireFox на месте, проблема исчезла.
P.S.S.: пароли сбросить. Какие? От учетной записи win? Точнее, изменить.

Прикладываю лог, пк не перезагрузился, программа вылетела.

P.S.: всё же либо событие осталось, либо ещё что...периодически что-то запускается, консоль моргает.

скрытая китайская(360 которая) всё ещё на месте. Удалять в ручную?
И хотя бы тот же ScreenUp тоже на месте. (В списках программы Unistall Tool). »
Удалите самостоятельно.
P.S.S.: пароли сбросить. Какие? От учетной записи win? Точнее, изменить. »
От всех ваших учетных записей на сервисах интернета, т.к. вы побывали на фишинговой страничке через которую все ваши пароли могли быть украдены.
P.S.: всё же либо событие осталось, либо ещё что...периодически что-то запускается, консоль моргает. »
Потестируйте немного и если решитесь еще провериться, тогда Подготовьте лог МВАМ (http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-2.23670/)
А пока Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24 (http://safezone.cc/resources/security-check-by-glax24.25/)
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

shestale, приступаю.

360 удалил, при перезагрузке он опять установился.
Ещё почистил автозагрузку, и получил вот это(вылетает переодически):
Скриншот 1 (http://i-fotki.info/21/bfea2dcadced0df9a581f3a483362b5f6dac37273722270.png.html)
Скриншот 2 (http://i-fotki.info/21/5cb0cdc97dbee8499046a70c2424d53a6dac37273722332.png.html)
Пароли поменяю.
Лог SecurityCheck:

pSecurityCheck by glax24 & Severnyj v.1.4.0.47 [25.03.17]
WebSite: www.safezone.cc
DateLog: 01.04.2017 18:54:49
Path starting: C:\Users\Lagos_official_admin\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Lagos_official_admin
VersionXML: 4.05is-25.03.2017
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 11.02.2014 21:29:27
Статус лицензии: Windows(R) 7, Ultimate edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [238.1 Гб] Занято: [110 Гб] Свободно: [128.1 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18097 Внимание! Скачать обновления (http://windows.microsoft.com/ru-ru/internet-explorer/ie-11-worldwide-languages)
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Учетная запись гостя включена. Пароль не установлен.
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2010 x64 v.14.0.6029.1000
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и устарел)
-------------------------- [ SecurityUtilities ] --------------------------
Malwarebytes Anti-Malware, версия 2.2.1.1043 v.2.2.1.1043
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.00 (64-разрядная) v.5.00.0 Внимание! Скачать обновления (http://www.rarlab.com/download.htm)
7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления (http://www.7-zip.org/download.html)
^Удалите старую версию, скачайте и установите новую.^
Microsoft Silverlight v.5.1.40728.0 Внимание! Скачать обновления (https://www.microsoft.com/getsilverlight/Get-Started/Install/Default.aspx)
TeamViewer 12 v.12.0.72365 Внимание! Скачать обновления (http://www.teamviewer.com/ru/download/windows/)
VLC media player 2.0.1 v.2.0.1 Внимание! Скачать обновления (http://www.videolan.org/vlc/download-windows.ru.html)
TeamViewer 12 (TeamViewer) - Служба работает
--------------------------------- [ IM ] ----------------------------------
Viber v.4.4.0.134678
Telegram Desktop version 1.0.14 v.1.0.14
QIP 2012, версия 4.0.9340 v.4.0.9340
Skype™ 7.18 v.7.18.109 Внимание! Скачать обновления (http://www.skype.com/go/getskype-full)
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.43388 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
BitComet 1.37 v.1.37 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 121 (64-bit) v.8.0.1210.13
Java SE Development Kit 7 Update 25 (64-bit) v.1.7.0.250 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html) (jdk-8u121-windows-x64.exe).
Java SE Development Kit 8 Update 25 (64-bit) v.8.0.250.18 Внимание! Скачать обновления (http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html)
^Удалите старую версию и установите новую (jdk-8u121-windows-x64.exe)^
Java 2 Runtime Environment Standard Edition v1.2.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html) (jre-8u121-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 25 NPAPI v.25.0.0.127
Adobe Flash Player 25 PPAPI v.25.0.0.127
Adobe Reader XI (11.0.15) - Russian v.11.0.15 Внимание! Скачать обновления (http://get.adobe.com/ru/reader/otherversions/)
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Vivaldi v.1.7.735.46
Yandex v.17.3.1.840
Comodo IceDragon v.50.0.0.2
Google Chrome v.56.0.2924.87 Внимание! Скачать обновления (https://www.google.ru/chrome/browser/desktop/index.html)
^Проверьте обновления через меню Справка - О Google Chrome!^
Mozilla Firefox 51.0.1 (x86 ru) v.51.0.1 Внимание! Скачать обновления (https://www.mozilla.org/ru/firefox/new/)
^Проверьте обновления через меню Справка - О Firefox!^
--------------------------- [ RunningProcess ] ----------------------------
C:\Users\Lagos_official_admin\AppData\Local\Yandex\YandexBrowser\Application\browser.exe v.17.3.1.840
------------------ [ AntivirusFirewallProcessServices ] -------------------
Защитник Windows (WinDefend) - Служба остановленаскачайте и установите все обновления по ссылкам. »

---------------------------- [ UnwantedApps ] -----------------------------
TuneUp Utilities 2013 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
VKMusic 4 v.4.67 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
----------------------------- [ End of Log ] ------------------------------



Лог МВАМ прикрепляю.
затем скачайте и установите все обновления по ссылкам. »
Немного не понял. Про какие ссылки и обновления идёт речь? Спасибо.

P.S.: это те обновления, которые указаны в логе MBAM?

Удалите в МВАМ (http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-2.23670/#post-179055) эти объекты
Trojan.Reconyc, C:\Users\Lagos_official_admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2IMQE6ZD\run[1].exe, , [e6ac9937a503b68044f0f5058b75a060],
PUP.Optional.Goobzo, C:\Users\Lagos_official_admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2IMQE6ZD\brastub6abb_trmbl_inst[1], , [b5ddab2505a36ec848457db0936f5ca4],
PUP.Optional.OpenCandy, C:\Users\Lagos_official_admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\81QOAI6Q\SaveFromNet-Helper-Setup[1].exe, , [345e3b95d3d5ae886be0757c857ca759],
PUP.Optional.BitCoinMiner, C:\Users\Lagos_official_admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AMT1IQ7N\vnl1[1].exe, , [4f43e4ec15931a1cec70d0f2fe0239c7],

Adware.Wajam.NSIS, C:\Windows\6869c9e1fb4af8f19fb338f18a0ffb31.exe, , [fc96c01007a1a88ec804e27950b21ae6],

P.S.: это те обновления, которые указаны в логе MBAM? »
Под вашим спойлером.

shestale, обновил всё, удалил эти 5 объектов. При перезагрузке 360 установился вновь.

Упорно не удаляется.

Упорно не удаляется. »
Подготовьте лог uVS (http://safezone.cc/threads/kak-podgotovit-log-universal-virus-sniffer-uvs.14508/).