[Sandor]

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

HitmanPro 3.7

У Вас установлен Malwarebytes Anti-Malware. Сделайте полное сканирование и покажите отчет.
Подробнее читайте в руководстве.

[Cool_bee]

Malwarebytes ничего не нашел, проблема осталась.

[Cool_bee]

AVZ это написал. Это что-то значит?
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1106) перехвачена, метод ProcAddressHijack.GetProcAddress ->761BA037->75D95600
Функция kernel32.dll:ReadConsoleInputExW (1107) перехвачена, метод ProcAddressHijack.GetProcAddress ->761BA06A->75D95630

[vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Cool_bee]

К сожалению FRST (на сканировании shortcut) так же как и AVZ перестает отвечать и прекращает работу. Это все что есть.

[vvvyg]

Отключайте 360 Total Security на время запуска утилит диагностики и лечения, он на лету бьёт что надо и что не надо.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
2015-10-20 20:00 - 2015-10-20 20:00 - 00131747 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 320094.~
2015-10-20 19:46 - 2015-10-20 19:46 - 00109027 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 270833.~
2015-10-20 18:42 - 2015-10-20 18:42 - 00332723 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 994394.~
2015-10-20 01:03 - 2015-10-20 01:03 - 00117547 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 857060.~
2015-10-20 01:02 - 2015-10-20 01:02 - 00453207 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 797581.~
2015-10-01 20:33 - 2015-10-01 20:33 - 04005409 _____ C:\Users\PathfindeR\Downloads\[化物語] 寝取語 参 [夕鍋進行中(田辺京)].zip
2015-09-30 22:28 - 2015-09-30 22:28 - 01531248 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 339897.~
2015-09-30 22:26 - 2015-09-30 22:26 - 02352532 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 431644.~
2015-09-30 22:26 - 2015-09-30 22:26 - 01311672 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 243291.~
2015-09-30 22:26 - 2015-09-30 22:26 - 00888512 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 997692.~
2015-09-30 22:26 - 2015-09-30 22:26 - 00759864 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 858689.~
2015-10-10 16:20 - 2015-09-16 11:23 - 00000000 ____D C:\Users\Все пользователи\AVAST Software
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
CMD: cmd.exe/C dir C:\Users\PathfindeR\Downloads /AAHS
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае). При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Cool_bee]

вот

[vvvyg]

Что сейчас при открытии папку загрузки?

[Cool_bee]

снова перезапускается проводник

То что творится, с этим не связано? (Все перехваченные помечены красным курсивом)

1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1106) перехвачена, метод ProcAddressHijack.GetProcAddress ->74C5A037->76925600
Функция kernel32.dll:ReadConsoleInputExW (1107) перехвачена, метод ProcAddressHijack.GetProcAddress ->74C5A06A->76925630
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (270) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F740->71071ED0
Функция ntdll.dll:NtSetInformationFile (558) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F460->71071E10
Функция ntdll.dll:NtSetValueKey (590) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F7F0->710A7310
Функция ntdll.dll:ZwCreateFile (1689) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F740->71071ED0
Функция ntdll.dll:ZwSetInformationFile (1975) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F460->71071E10
Функция ntdll.dll:ZwSetValueKey (2007) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F7F0->710A7310
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->74EF34B0->71071DC0
Функция user32.dll:SetWindowsHookExW (2340) перехвачена, метод ProcAddressHijack.GetProcAddress ->74EFFA00->710A7390
Функция user32.dll:gSharedInfo (2435) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1386) перехвачена, метод ProcAddressHijack.GetProcAddress ->74AE78BB->778BBD30
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (139) перехвачена, метод ProcAddressHijack.GetProcAddress ->778EC3AE->70B5A460
Функция netapi32.dll:NetGetAadJoinInformation (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->778EC3DD->70B5A7D0
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
>>>> Обнаружена маскировка процесса 1164 c:\program files (x86)\nvidia corporation\3d vision\nvscpapisvr.exe
>>>> Обнаружена маскировка процесса 1940 c:\program files (x86)\360\total security\safemon\qhactivedefense.exe
>>>> Обнаружена маскировка процесса 2240 c:\windows\syswow64\asgt.exe
>>>> Обнаружена маскировка процесса 2364 c:\program files (x86)\nvidia corporation\netservice\nvnetworkservice.exe
>>>> Обнаружена маскировка процесса 2384 c:\program files (x86)\glasswire\gwctlsrv.exe
>>>> Обнаружена маскировка процесса 3448 c:\program files (x86)\360\total security\safemon\qhwatchdog.exe
>>>> Обнаружена маскировка процесса 2620 c:\program files (x86)\google\update\googleupdate.exe
>>>> Обнаружена маскировка процесса 4508 c:\program files (x86)\nvidia corporation\update core\nvbackend.exe
>>>> Обнаружена маскировка процесса 4272 c:\program files (x86)\glasswire\gwidlmon.exe
>>>> Обнаружена маскировка процесса 5672 c:\program files\windowsapps\microsoft.messaging_1.10.11003.0_x86__8wekyb3d8bbwe\skypehost.exe
>>>> Обнаружена маскировка процесса 5616 c:\program files (x86)\common files\java\java update\jusched.exe
>>>> Обнаружена маскировка процесса 5896 c:\program files (x86)\360\total security\safemon\qhsafetray.exe
>>>> Обнаружена маскировка процесса 2252 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 5880 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\45.0.2454.3388\crash_service.exe
>>>> Обнаружена маскировка процесса 856 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 5280 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 5232 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 4460 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 284 c:\program files (x86)\common files\java\java update\jucheck.exe
>>>> Обнаружена маскировка процесса 8052 c:\users\pathfinder\desktop\avz4\avz.exe