Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Mail.ru и още куп други простотии


Препоръчан отговор

Здравейте,

Натресох се на mail.ru и някакви други съпътстващи го програмки и не мога да се справя с него. Уж го премахвах но пак се появява. Опитах да сваля Toolbar remover от Download.bgq но не се сваля по някаква причина. Можете ли да помогнете?

Поздрави!

М.Методиев

Това е сканирането с FRST64.exe

 

can result of Farbar Recovery Scan Tool (FRST) (x64) Version: 27-11-2016
Ran by Metodi (ATTENTION: The user is not administrator) on METODI-PC (30-11-2016 16:39:02)
Running from C:\Users\Metodi\Desktop
Loaded Profiles: Metodi (Available Profiles: Metodi & Admin New)
Platform: Windows 7 Professional Service Pack 1 (X64) Language: English (United States)
Internet Explorer Version 11 (Default browser: FF)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

Failed to access process -> smss.exe
Failed to access process -> csrss.exe
Failed to access process -> wininit.exe
Failed to access process -> csrss.exe
Failed to access process -> services.exe
Failed to access process -> lsass.exe
Failed to access process -> lsm.exe
Failed to access process -> svchost.exe
Failed to access process -> winlogon.exe
Failed to access process -> nvvsvc.exe
Failed to access process -> nvwmi64.exe
Failed to access process -> nvSCPAPISvr.exe
Failed to access process -> svchost.exe
Failed to access process -> MsMpEng.exe
Failed to access process -> svchost.exe
Failed to access process -> svchost.exe
Failed to access process -> svchost.exe
Failed to access process -> svchost.exe
Failed to access process -> svchost.exe
Failed to access process -> svchost.exe
Failed to access process -> svchost.exe
Failed to access process -> nvxdsync.exe
Failed to access process -> nvvsvc.exe
Failed to access process -> spoolsv.exe
Failed to access process -> nvwmi64.exe
Failed to access process -> afcdpsrv.exe
Failed to access process -> cnwisam.exe
Failed to access process -> svchost.exe
Failed to access process -> GarminService.exe
Failed to access process -> cnwiols6.exe
Failed to access process -> sqlservr.exe
(CANON INC.) C:\Windows\System32\cnwiop6.exe
Failed to access process -> svchost.exe
Failed to access process -> sqlwriter.exe
Failed to access process -> svchost.exe
Failed to access process -> MailRuUpdater.exe
Failed to access process -> wmpnetwk.exe
Failed to access process -> SearchIndexer.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe
Failed to access process -> SearchProtocolHost.exe
(CANON INC.) C:\Program Files\Canon\imagePROGRAFStatusMonitor\cnwida.exe
Failed to access process -> NisSrv.exe
(LionMax Software) C:\Program Files (x86)\Everyday Auto Backup\AutoBackup.exe
(Skype Technologies S.A.) C:\Program Files (x86)\Skype\Phone\Skype.exe
Failed to access process -> svchost.exe
(Piriform Ltd) C:\Program Files\CCleaner\CCleaner64.exe
(Mail.Ru) C:\Users\Metodi\AppData\Local\Mail.Ru\MailRuUpdater.exe
(Mail.Ru) C:\Users\Metodi\AppData\Local\Mail.Ru\Update Service\mrupdsrv.exe
(WIBU-SYSTEMS AG) C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
Failed to access process -> GoogleUpdate.exe
Failed to access process -> sppsvc.exe
Failed to access process -> WmiPrvSE.exe
Failed to access process -> SearchFilterHost.exe


==================== Registry (Whitelisted) ====================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [MSC] => C:\Program Files\Microsoft Security Client\msseces.exe [1337000 2015-04-30] (Microsoft Corporation)
HKLM\...\Run: [CnwiDeviceAgent] => C:\Program Files\Canon\imagePROGRAFStatusMonitor\cnwida.exe [73816 2013-10-02] (CANON INC.)
HKLM-x32\...\Run: [AdobeCS5.5ServiceManager] => C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe [1523360 2011-01-12] (Adobe Systems Incorporated)
HKU\S-1-5-21-2301373706-1418264158-2203171218-1000\...\Run: [Everyday Auto Backup] => C:\Program Files (x86)\Everyday Auto Backup\AutoBackup.exe [67072 2006-03-14] (LionMax Software)
HKU\S-1-5-21-2301373706-1418264158-2203171218-1000\...\Run: [Skype] => C:\Program Files (x86)\Skype\Phone\Skype.exe [53123712 2016-05-17] (Skype Technologies S.A.)
HKU\S-1-5-21-2301373706-1418264158-2203171218-1000\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [8619224 2016-01-15] (Piriform Ltd)
HKU\S-1-5-21-2301373706-1418264158-2203171218-1000\...\Run: [amigo] => C:\Users\Metodi\AppData\Local\Amigo\Application\amigo.exe [1053400 2016-09-14] (Mail.Ru)
HKU\S-1-5-21-2301373706-1418264158-2203171218-1000\...\Run: [MailRuUpdater] => C:\Users\Metodi\AppData\Local\Mail.Ru\MailRuUpdater.exe [4157656 2016-10-21] (Mail.Ru)
HKU\S-1-5-21-2301373706-1418264158-2203171218-1000\...\Run: [mrupdsrv] => C:\Users\Metodi\AppData\Local\Mail.Ru\Update Service\mrupdsrv.exe [2187992 2016-10-21] (Mail.Ru)
HKU\S-1-5-18\...\Run: [KSS] => "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan\kss.exe" autorun
HKU\S-1-5-18\...\Run: [GarminExpressTrayApp] => C:\Program Files (x86)\Garmin\Express Tray\ExpressTray.exe [1407912 2016-10-25] (Garmin Ltd. or its subsidiaries)
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  No File
ShellIconOverlayIdentifiers: [AutoCAD Digital Signatures Icon Overlay Handler] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => C:\Windows\system32\AcSignIcon.dll [2015-02-06] (Autodesk, Inc.)
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  No File
ShellIconOverlayIdentifiers-x32: [AutoCAD Digital Signatures Icon Overlay Handler] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => C:\Windows\SysWOW64\AcSignIcon.dll [2006-03-05] (Autodesk)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk [2016-02-01]
ShortcutTarget: Adobe Gamma Loader.lnk -> C:\Program Files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Network Server.lnk [2016-01-28]
ShortcutTarget: Network Server.lnk -> C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe (WIBU-SYSTEMS AG)
BootExecute: autocheck autochk /p \??\I:autocheck autochk *

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

Winsock: Catalog5 08 C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL No File
Winsock: Catalog5 09 C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL No File
Winsock: Catalog5-x64 08 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL No File
Winsock: Catalog5-x64 09 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL No File
Tcpip\Parameters: [DhcpNameServer] 178.254.192.34 178.254.192.3
Tcpip\..\Interfaces\{26BD79EB-EAEE-45A9-983E-45990034E5C5}: [DhcpNameServer] 178.254.192.34 178.254.192.3
Tcpip\..\Interfaces\{6BA086E1-B598-4E93-B102-872FA18118FD}: [DhcpNameServer] 8.8.8.8

Internet Explorer:
==================
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-2301373706-1418264158-2203171218-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818405
HKU\S-1-5-21-2301373706-1418264158-2203171218-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/?ocid=iehp
SearchScopes: HKU\S-1-5-21-2301373706-1418264158-2203171218-1000 -> DefaultScope {759A01BE-633B-4562-8694-D03CA26B2177} URL = hxxps://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}
SearchScopes: HKU\S-1-5-21-2301373706-1418264158-2203171218-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2301373706-1418264158-2203171218-1000 -> {759A01BE-633B-4562-8694-D03CA26B2177} URL = hxxps://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}
BHO: Google Analytics Opt-out Browser Add-on -> {75EF13CE-B59E-41ba-8A5A-A944031BD8B4} -> C:\Program Files\Google\Google Analytics Opt-Out\gaoptout_x64.dll [2014-04-03] (Google, Inc.)
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_111\bin\ssv.dll [2016-11-10] (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_111\bin\jp2ssv.dll [2016-11-10] (Oracle Corporation)
BHO-x32: Google Analytics Opt-out Browser Add-on -> {75EF13CE-B59E-41ba-8A5A-A944031BD8B4} -> C:\Program Files (x86)\Google\Google Analytics Opt-Out\gaoptout.dll [2014-04-03] (Google, Inc.)
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\ssv.dll [2016-10-25] (Oracle Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\jp2ssv.dll [2016-10-25] (Oracle Corporation)
DPF: HKLM-x32 {167248DA-0F88-4DE1-B4B1-45176751026D} hxxps://aixbs.b-trust.org/wl-dl/bs/client_test2/js/renew/CertManX.cab
DPF: HKLM-x32 {A996E48C-D3DC-4244-89F7-AFA33EC60679} hxxps://efaktura.bg/inc/capicom.cab

FireFox:
========
FF DefaultProfile: 5vjlr0zz.default
FF ProfilePath: C:\Users\Metodi\AppData\Roaming\Mozilla\Firefox\Profiles\5vjlr0zz.default [2016-11-30]
FF NewTab: Mozilla\Firefox\Profiles\5vjlr0zz.default -> about:newtab
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\5vjlr0zz.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\5vjlr0zz.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\5vjlr0zz.default -> hxxp://mail.ru/cnt/10445?gp=818404
FF Keyword.URL: Mozilla\Firefox\Profiles\5vjlr0zz.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B2C634D77-6636-44DD-AF30-E22072758CEB%7D&gp=811010
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Metodi\AppData\Roaming\Mozilla\Firefox\Profiles\5vjlr0zz.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-11-30]
FF Extension: (Adblock Plus) - C:\Users\Metodi\AppData\Roaming\Mozilla\Firefox\Profiles\5vjlr0zz.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-11-24]
FF SearchPlugin: C:\Users\Metodi\AppData\Roaming\Mozilla\Firefox\Profiles\5vjlr0zz.default\searchplugins\mailru.xml [2016-11-30]
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_23_0_0_207.dll [2016-11-09] ()
FF Plugin: @java.com/DTPlugin,version=11.111.2 -> C:\Program Files\Java\jre1.8.0_111\bin\dtplugin\npDeployJava1.dll [2016-11-10] (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.111.2 -> C:\Program Files\Java\jre1.8.0_111\bin\plugin2\npjp2.dll [2016-11-10] (Oracle Corporation)
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.41212.0\npctrl.dll [2015-12-11] ( Microsoft Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_23_0_0_207.dll [2016-11-09] ()
FF Plugin-x32: @graphisoft.com/GDL Web Plug-in -> C:\Program Files (x86)\GRAPHISOFT\GDLWebControl\npGDLMozilla.dll [2012-06-13] (Graphisoft SE)
FF Plugin-x32: @java.com/DTPlugin,version=11.111.2 -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\dtplugin\npDeployJava1.dll [2016-10-25] (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=11.111.2 -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\plugin2\npjp2.dll [2016-10-25] (Oracle Corporation)
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.41212.0\npctrl.dll [2015-12-11] ( Microsoft Corporation)
FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll [2015-02-04] (NVIDIA Corporation)
FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll [2015-02-04] (NVIDIA Corporation)
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.31.5\npGoogleUpdate3.dll [2016-07-29] (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.31.5\npGoogleUpdate3.dll [2016-07-29] (Google Inc.)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2016-10-01] (Adobe Systems Inc.)
FF Plugin HKU\S-1-5-21-2301373706-1418264158-2203171218-1000: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\Metodi\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [2016-05-08] (Unity Technologies ApS)
FF Plugin HKU\S-1-5-21-2301373706-1418264158-2203171218-1000: www.bobs.bg/bobsWinSigner -> C:\Program Files (x86)\BOBS\BOBS Web Plugin MSCAPI Sign\1.0.0.5\npbobsWinSigner.dll [2015-03-04] (BORICA - BANKSERVICE AD)

Chrome:
=======
CHR HomePage: Default -> hxxps://mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=CDA3B551307ADA7B83BD0E8C75450938&utm_d=20161130"
        
CHR NewTab: Default -> "chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B5A9473CA-178C-4A39-BDDB-A2759478E2A2%7D&gp=811014
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Profile: C:\Users\Metodi\AppData\Local\Google\Chrome\User Data\Default [2016-11-30]
CHR Extension: (Google Slides) - C:\Users\Metodi\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-06-08]
CHR Extension: (Google Docs) - C:\Users\Metodi\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-06-08]
CHR Extension: (Google Drive) - C:\Users\Metodi\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-02-06]
CHR Extension: (YouTube) - C:\Users\Metodi\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-02-06]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Metodi\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2016-11-30]
CHR Extension: (Google Search) - C:\Users\Metodi\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-02-06]
CHR Extension: (Google Sheets) - C:\Users\Metodi\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-06-08]
CHR Extension: (Google Docs Offline) - C:\Users\Metodi\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-06-08]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Metodi\AppData\Local\Google\Chrome\User Data\Default\Extensions\icanjjkadceebmhanpekkofdhclnoijl [2016-11-30]
CHR Extension: (Chrome Web Store Payments) - C:\Users\Metodi\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-06-08]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Metodi\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-11-30]
CHR Extension: (Mail.Ru) - C:\Users\Metodi\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2016-11-30]
CHR Extension: (Gmail) - C:\Users\Metodi\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-02-06]
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx

==================== Services (Whitelisted) ====================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

S2 Autodesk Content Service; C:\Program Files (x86)\Autodesk\Content Service\Connect.Service.ContentService.exe [12288 2012-12-13] (Autodesk, Inc.) [File not signed]
S3 Autodesk Licensing Service; C:\Program Files (x86)\Common Files\Autodesk Shared\Service\AdskScSrv.exe [77944 2016-01-27] (Autodesk)
R2 Canon imagePROGRAF Status Monitor; C:\Program Files\Canon\imagePROGRAFStatusMonitor\cnwisam.exe [755288 2014-07-03] (CANON INC)
R2 Garmin Device Interaction Service; C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe [985616 2016-10-25] (Garmin Ltd. or its subsidiaries)
R2 iPFDeviceAgentService; C:\Windows\system32\cnwiols6.exe [217416 2013-02-26] (CANON INC.)
R2 lmhosts; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R2 lmhosts; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S3 MBAMScheduler; C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe [1514464 2016-03-10] (Malwarebytes)
S3 MBAMService; C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice.exe [1136608 2016-03-10] (Malwarebytes)
R2 MsMpSvc; C:\Program Files\Microsoft Security Client\MsMpEng.exe [23816 2015-04-30] (Microsoft Corporation)
R2 MSSQLSERVER; C:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe [62382256 2015-03-30] (Microsoft Corporation)
R3 NisSrv; C:\Program Files\Microsoft Security Client\NisSrv.exe [366544 2015-04-30] (Microsoft Corporation)
R2 NlaSvc; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R2 NlaSvc; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
R2 nsi; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R2 nsi; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
R2 NVWMI; C:\Windows\system32\nvwmi64.exe [2692296 2015-02-04] ()
S4 SQLSERVERAGENT; C:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\SQLAGENT.EXE [442536 2015-03-30] (Microsoft Corporation)
R2 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe [4157656 2016-10-21] (Mail.Ru)
S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2014-03-09] (Microsoft Corporation)

===================== Drivers (Whitelisted) ======================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

R3 A38CCID; C:\Windows\System32\DRIVERS\a38ccid.sys [72208 2015-07-10] (Advanced Card Systems Ltd.)
R2 mbamchameleon; C:\Windows\system32\drivers\mbamchameleon.sys [140672 2016-03-10] (Malwarebytes)
S3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [27008 2016-03-10] (Malwarebytes)
S3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [192216 2016-09-13] (Malwarebytes)
S3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [64896 2016-03-10] (Malwarebytes Corporation)
R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [280376 2015-03-04] (Microsoft Corporation)
R2 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [124568 2015-03-04] (Microsoft Corporation)
S4 RsFx0153; C:\Windows\System32\DRIVERS\RsFx0153.sys [322736 2015-03-30] (Microsoft Corporation)
R0 tdrpman258; C:\Windows\System32\DRIVERS\tdrpm258.sys [1477728 2016-02-13] (Acronis)
S3 usbohci; C:\Windows\system32\drivers\usbohci.sys [25600 2014-06-25] (Microsoft Corporation) [File not signed]
R2 WIBUKEY; C:\Windows\System32\DRIVERS\WibuKey64.sys [106760 2016-01-28] (WIBU-SYSTEMS AG)
R3 Wibukey2_64; C:\Windows\System32\drivers\wibukey2_64.sys [21376 2016-01-28] (WIBU-SYSTEMS AG)

==================== NetSvcs (Whitelisted) ===================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)


==================== One Month Created files and folders ========

(If an entry is included in the fixlist, the file/folder will be moved.)

2016-11-30 16:39 - 2016-11-30 16:39 - 00021075 _____ C:\Users\Metodi\Desktop\FRST.txt
2016-11-30 16:38 - 2016-11-30 16:39 - 00000000 ____D C:\FRST
2016-11-30 16:31 - 2016-11-30 16:31 - 02411520 _____ (Farbar) C:\Users\Metodi\Desktop\FRST64.exe
2016-11-30 16:09 - 2016-11-30 16:09 - 00000000 ____D C:\Users\Metodi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Amigo Apps
2016-11-30 16:09 - 2016-11-30 16:09 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
2016-11-30 16:08 - 2016-11-30 16:08 - 00115824 _____ C:\Users\Metodi\AppData\Local\GDIPFONTCACHEV1.DAT
2016-11-30 15:48 - 2016-11-30 15:48 - 00002261 _____ C:\Users\Metodi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
2016-11-30 15:48 - 2016-11-30 15:48 - 00002261 _____ C:\Users\Metodi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВКонтакте.lnk
2016-11-30 15:48 - 2016-11-30 15:48 - 00002253 _____ C:\Users\Metodi\Desktop\Одноклассники.lnk
2016-11-30 15:48 - 2016-11-30 15:48 - 00002253 _____ C:\Users\Metodi\Desktop\ВКонтакте.lnk
2016-11-30 15:48 - 2016-11-30 15:48 - 00002207 _____ C:\Users\Metodi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Amigo.lnk
2016-11-30 15:48 - 2016-11-30 15:48 - 00002199 _____ C:\Users\Metodi\Desktop\Amigo.lnk
2016-11-30 15:48 - 2016-11-30 15:48 - 00000000 ____D C:\Users\Metodi\AppData\LocalLow\Unity
2016-11-30 15:48 - 2016-11-30 15:48 - 00000000 ____D C:\Users\Metodi\AppData\Local\Unity
2016-11-30 15:48 - 2016-11-30 15:48 - 00000000 ____D C:\Users\Metodi\AppData\Local\Mail.Ru
2016-11-30 15:47 - 2016-11-30 15:48 - 00000000 ____D C:\Users\Metodi\AppData\Local\Amigo
2016-11-30 15:41 - 2016-11-30 15:41 - 00002062 _____ C:\Users\Metodi\Desktop\Вoйти в Интeрнет.lnk
2016-11-30 15:35 - 2016-11-30 15:35 - 00000000 ____D C:\ProgramData\Mail.Ru
2016-11-24 10:29 - 2016-11-30 16:36 - 00000000 ____D C:\Users\Metodi\AppData\LocalLow\Mozilla
2016-11-24 10:29 - 2016-11-24 10:29 - 00000000 ____D C:\Program Files\Mozilla Firefox
2016-11-22 14:07 - 2016-11-22 14:07 - 00087656 _____ C:\Users\Metodi\Desktop\Untitled-3.dxf
2016-11-22 14:07 - 2016-11-22 14:07 - 00069264 _____ C:\Users\Metodi\Desktop\Untitled-4.dxf
2016-11-22 14:04 - 2016-11-22 14:04 - 00090822 _____ C:\Users\Metodi\Desktop\Untitled-2.dxf
2016-11-22 14:01 - 2016-11-22 14:01 - 00067327 _____ C:\Users\Metodi\Desktop\Untitled-1_2.dxf
2016-11-22 14:01 - 2016-11-22 14:01 - 00067327 _____ C:\Users\Metodi\Desktop\Untitled-1.dxf
2016-11-22 13:59 - 2016-11-22 13:59 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Raster to Vector
2016-11-22 13:59 - 2016-11-22 13:59 - 00000000 ____D C:\Program Files (x86)\Raster to Vector
2016-11-22 13:34 - 2016-11-22 13:34 - 00212080 _____ C:\Users\Metodi\Desktop\Untitled-4.bmp
2016-11-22 13:34 - 2016-11-22 13:34 - 00212080 _____ C:\Users\Metodi\Desktop\Untitled-3.bmp
2016-11-22 13:34 - 2016-11-22 13:34 - 00212080 _____ C:\Users\Metodi\Desktop\Untitled-2.bmp
2016-11-22 13:34 - 2016-11-22 13:34 - 00212080 _____ C:\Users\Metodi\Desktop\Untitled-1.bmp
2016-11-16 12:48 - 2016-11-16 12:48 - 00000207 _____ C:\Windows\tweaking.com-regbackup-METODI-PC-Windows-7-Professional-(64-bit).dat
2016-11-16 12:48 - 2016-11-16 12:48 - 00000000 ____D C:\RegBackup
2016-11-11 16:17 - 2016-11-17 13:28 - 00558808 _____ C:\Users\Metodi\Desktop\Фактура.pdf
2016-11-11 13:09 - 2016-11-11 13:09 - 00089254 _____ C:\Users\Metodi\Desktop\Prevodi_11.11.2016.pdf
2016-11-10 15:02 - 2016-11-10 15:02 - 00110144 _____ (Oracle Corporation) C:\Windows\system32\WindowsAccessBridge-64.dll
2016-11-10 15:01 - 2016-11-10 15:01 - 00000000 ____D C:\Program Files\Java
2016-11-09 11:58 - 2016-11-09 11:58 - 00089403 _____ C:\Users\Metodi\Desktop\Prevodi_09.11.2016.pdf
2016-11-05 11:50 - 2016-11-05 11:50 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Garmin

==================== One Month Modified files and folders ========

(If an entry is included in the fixlist, the file/folder will be moved.)

2016-11-30 16:36 - 2016-02-05 11:55 - 00000000 ____D C:\Users\Metodi\AppData\Roaming\Skype
2016-11-30 16:35 - 2016-01-25 18:28 - 00000000 ____D C:\ProgramData\NVIDIA
2016-11-30 16:35 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-11-30 16:35 - 2009-07-14 06:45 - 00012288 _____ C:\Windows\system32\umstartup.etl
2016-11-30 16:34 - 2009-07-14 06:45 - 00021504 _____ C:\Windows\system32\umstartup000.etl
2016-11-30 16:20 - 2009-07-14 06:45 - 00021904 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2016-11-30 16:20 - 2009-07-14 06:45 - 00021904 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2016-11-30 16:17 - 2009-07-14 07:13 - 00834354 _____ C:\Windows\system32\PerfStringBackup.INI
2016-11-30 16:17 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\inf
2016-11-30 16:09 - 2015-06-23 19:09 - 00000000 ____D C:\Windows\system32\Macromed
2016-11-30 16:07 - 2016-01-26 15:41 - 00000000 ____D C:\Users\Metodi\AppData\Roaming\uTorrent
2016-11-30 15:46 - 2016-01-26 12:11 - 00000000 ____D C:\Users\Metodi\Graphisoft
2016-11-30 13:11 - 2016-01-26 15:28 - 00002828 ___SH C:\Windows\SysWOW64\KGyGaAvL.sys
2016-11-30 12:04 - 2016-03-08 14:08 - 00000000 ____D C:\Users\Metodi\AppData\LocalLow\uTorrent
2016-11-24 17:54 - 2016-01-25 18:17 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2016-11-17 11:33 - 2016-01-25 18:37 - 00000000 ____D C:\Windows\pss
2016-11-16 14:12 - 2016-01-26 02:18 - 00000000 ____D C:\Windows\CSC
2016-11-16 14:12 - 2009-07-14 06:45 - 01984720 _____ C:\Windows\system32\FNTCACHE.DAT
2016-11-16 14:07 - 2009-07-14 04:34 - 00000535 _____ C:\Windows\win.ini
2016-11-16 13:06 - 2011-04-12 10:28 - 00000000 ___RD C:\Users\Public\Recorded TV
2016-11-16 12:59 - 2009-07-14 04:34 - 00000855 _____ C:\Windows\system32\Drivers\etc\hosts_bak_713
2016-11-16 12:42 - 2016-01-25 16:55 - 00000000 ____D C:\Users\MetodiAdmin
2016-11-16 12:42 - 2016-01-25 16:28 - 00000000 ____D C:\Users\Metodi
2016-11-16 12:35 - 2016-05-20 11:14 - 00000000 ____D C:\Users\Admin New
2016-11-10 15:02 - 2016-02-06 16:35 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
2016-11-09 12:06 - 2015-06-23 19:09 - 00796352 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2016-11-09 12:06 - 2015-06-23 19:09 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2016-11-09 12:06 - 2015-06-23 19:09 - 00000000 ____D C:\Windows\SysWOW64\Macromed
2016-11-06 11:10 - 2016-02-01 15:19 - 00002441 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk
2016-11-05 11:51 - 2016-06-24 16:28 - 00000000 ____D C:\Program Files (x86)\Garmin
2016-11-05 11:51 - 2016-01-26 03:09 - 00000000 ____D C:\ProgramData\Package Cache
2016-11-05 11:50 - 2016-06-24 16:28 - 00001903 _____ C:\Users\Public\Desktop\Garmin Express.lnk

==================== Files in the root of some directories =======

2016-02-04 14:28 - 2016-02-04 14:28 - 0000153 _____ () C:\ProgramData\Microsoft.SqlServer.Compact.351.32.bc
2016-01-28 14:39 - 2016-01-28 14:39 - 0000133 _____ () C:\ProgramData\Microsoft.SqlServer.Compact.351.64.bc

Some files in TEMP:
====================
C:\Users\Metodi\AppData\Local\Temp\jLjULlLos5dS.exe
C:\Users\Metodi\AppData\Local\Temp\M7YkUXKQuUAF.exe
C:\Users\Metodi\AppData\Local\Temp\SNH1UvjXlrrm.exe
C:\Users\MetodiAdmin\AppData\Local\Temp\AcDeltree.exe
C:\Users\MetodiAdmin\AppData\Local\Temp\FNP_ACT_InstallerCA.dll


==================== Bamital & volsnap ======================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\system32\winlogon.exe => File is digitally signed
C:\Windows\system32\wininit.exe => File is digitally signed
C:\Windows\SysWOW64\wininit.exe => File is digitally signed
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\SysWOW64\explorer.exe => File is digitally signed
C:\Windows\system32\svchost.exe => File is digitally signed
C:\Windows\SysWOW64\svchost.exe => File is digitally signed
C:\Windows\system32\services.exe => File is digitally signed
C:\Windows\system32\User32.dll => File is digitally signed
C:\Windows\SysWOW64\User32.dll => File is digitally signed
C:\Windows\system32\userinit.exe => File is digitally signed
C:\Windows\SysWOW64\userinit.exe => File is digitally signed
C:\Windows\system32\rpcss.dll => File is digitally signed
C:\Windows\system32\dnsapi.dll => File is digitally signed
C:\Windows\SysWOW64\dnsapi.dll => File is digitally signed
C:\Windows\system32\Drivers\volsnap.sys => File is digitally signed


ATTENTION: ==> Could not access BCD. The user is not administrator

==================== End of FRST.txt ============================

Addition.txt

Линк към коментара
Сподели в други сайтове

преди 3 часа, inwader написа:

mail.ru е поща като mail.bg Аз я ползвам от години и никога не съм имал проблеми с нея !

Само че доста "безплатни" приложения я инсталират по време на инсталацията си ако не са махнати съответните отметки. Тогава става нежелана програма, която инсталира и други досадни адуерчета в системата.

преди 8 часа, Методиев написа:

Здравейте,

Натресох се на mail.ru и някакви други съпътстващи го програмки и не мога да се справя с него. Уж го премахвах но пак се появява. Опитах да сваля Toolbar remover от Download.bgq но не се сваля по някаква причина. Можете ли да помогнете?

Моля, извършете сканирането с FRST от акаунт с администраторски права и работете от него докато не почистим системата!

Поздрави!

Линк към коментара
Сподели в други сайтове

Нямам нищо против Mail.ru, но ми се инсталира без мое разрешение и ми идва агресивна в повече.

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 30-11-2016
Ran by Admin New (administrator) on METODI-PC (02-12-2016 10:26:12)
Running from C:\Users\Admin New\Desktop
Loaded Profiles: Metodi & Admin New (Available Profiles: Metodi & Admin New)
Platform: Windows 7 Professional Service Pack 1 (X64) Language: English (United States)
Internet Explorer Version 11 (Default browser: IE)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
() C:\Windows\System32\nvwmi64.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\MsMpEng.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Acronis) C:\Program Files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe
(CANON INC) C:\Program Files\Canon\imagePROGRAFStatusMonitor\cnwisam.exe
(Garmin Ltd. or its subsidiaries) C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe
(CANON INC.) C:\Windows\System32\cnwiols6.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\NisSrv.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe
(CANON INC.) C:\Program Files\Canon\imagePROGRAFStatusMonitor\cnwida.exe
(LionMax Software) C:\Program Files (x86)\Everyday Auto Backup\AutoBackup.exe
(Skype Technologies S.A.) C:\Program Files (x86)\Skype\Phone\Skype.exe
(Piriform Ltd) C:\Program Files\CCleaner\CCleaner64.exe
(WIBU-SYSTEMS AG) C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe
(CANON INC.) C:\Windows\System32\cnwiop6.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
() C:\Windows\System32\nvwmi64.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe
(CANON INC.) C:\Program Files\Canon\imagePROGRAFStatusMonitor\cnwida.exe
(WIBU-SYSTEMS AG) C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe


==================== Registry (Whitelisted) ====================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [MSC] => C:\Program Files\Microsoft Security Client\msseces.exe [1337000 2015-04-30] (Microsoft Corporation)
HKLM\...\Run: [CnwiDeviceAgent] => C:\Program Files\Canon\imagePROGRAFStatusMonitor\cnwida.exe [73816 2013-10-02] (CANON INC.)
HKLM-x32\...\Run: [AdobeCS5.5ServiceManager] => C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe [1523360 2011-01-12] (Adobe Systems Incorporated)
HKU\S-1-5-21-2301373706-1418264158-2203171218-1000\...\Run: [Everyday Auto Backup] => C:\Program Files (x86)\Everyday Auto Backup\AutoBackup.exe [67072 2006-03-14] (LionMax Software)
HKU\S-1-5-21-2301373706-1418264158-2203171218-1000\...\Run: [Skype] => C:\Program Files (x86)\Skype\Phone\Skype.exe [53123712 2016-05-17] (Skype Technologies S.A.)
HKU\S-1-5-21-2301373706-1418264158-2203171218-1000\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [8619224 2016-01-15] (Piriform Ltd)
HKU\S-1-5-18\...\Run: [KSS] => "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan\kss.exe" autorun
HKU\S-1-5-18\...\Run: [GarminExpressTrayApp] => C:\Program Files (x86)\Garmin\Express Tray\ExpressTray.exe [1407912 2016-10-25] (Garmin Ltd. or its subsidiaries)
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  No File
ShellIconOverlayIdentifiers: [AutoCAD Digital Signatures Icon Overlay Handler] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => C:\Windows\system32\AcSignIcon.dll [2015-02-06] (Autodesk, Inc.)
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  No File
ShellIconOverlayIdentifiers-x32: [AutoCAD Digital Signatures Icon Overlay Handler] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => C:\Windows\SysWOW64\AcSignIcon.dll [2006-03-05] (Autodesk)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk [2016-02-01]
ShortcutTarget: Adobe Gamma Loader.lnk -> C:\Program Files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Network Server.lnk [2016-01-28]
ShortcutTarget: Network Server.lnk -> C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe (WIBU-SYSTEMS AG)
BootExecute: autocheck autochk /p \??\I:autocheck autochk *
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

Winsock: Catalog5 08 C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL No File
Winsock: Catalog5 09 C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL No File
Winsock: Catalog5-x64 08 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL No File
Winsock: Catalog5-x64 09 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL No File
Tcpip\Parameters: [DhcpNameServer] 178.254.192.34 178.254.192.3
Tcpip\..\Interfaces\{26BD79EB-EAEE-45A9-983E-45990034E5C5}: [DhcpNameServer] 178.254.192.34 178.254.192.3
Tcpip\..\Interfaces\{6BA086E1-B598-4E93-B102-872FA18118FD}: [DhcpNameServer] 8.8.8.8

Internet Explorer:
==================
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-2301373706-1418264158-2203171218-1006\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-2301373706-1418264158-2203171218-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818405
HKU\S-1-5-21-2301373706-1418264158-2203171218-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/?ocid=iehp
SearchScopes: HKU\S-1-5-21-2301373706-1418264158-2203171218-1000 -> DefaultScope {759A01BE-633B-4562-8694-D03CA26B2177} URL = hxxps://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}
SearchScopes: HKU\S-1-5-21-2301373706-1418264158-2203171218-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2301373706-1418264158-2203171218-1000 -> {759A01BE-633B-4562-8694-D03CA26B2177} URL = hxxps://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}
BHO: Google Analytics Opt-out Browser Add-on -> {75EF13CE-B59E-41ba-8A5A-A944031BD8B4} -> C:\Program Files\Google\Google Analytics Opt-Out\gaoptout_x64.dll [2014-04-03] (Google, Inc.)
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_111\bin\ssv.dll [2016-11-10] (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_111\bin\jp2ssv.dll [2016-11-10] (Oracle Corporation)
BHO-x32: Google Analytics Opt-out Browser Add-on -> {75EF13CE-B59E-41ba-8A5A-A944031BD8B4} -> C:\Program Files (x86)\Google\Google Analytics Opt-Out\gaoptout.dll [2014-04-03] (Google, Inc.)
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\ssv.dll [2016-10-25] (Oracle Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\jp2ssv.dll [2016-10-25] (Oracle Corporation)
DPF: HKLM-x32 {167248DA-0F88-4DE1-B4B1-45176751026D} hxxps://aixbs.b-trust.org/wl-dl/bs/client_test2/js/renew/CertManX.cab
DPF: HKLM-x32 {A996E48C-D3DC-4244-89F7-AFA33EC60679} hxxps://efaktura.bg/inc/capicom.cab

FireFox:
========
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_23_0_0_207.dll [2016-11-09] ()
FF Plugin: @java.com/DTPlugin,version=11.111.2 -> C:\Program Files\Java\jre1.8.0_111\bin\dtplugin\npDeployJava1.dll [2016-11-10] (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.111.2 -> C:\Program Files\Java\jre1.8.0_111\bin\plugin2\npjp2.dll [2016-11-10] (Oracle Corporation)
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.41212.0\npctrl.dll [2015-12-11] ( Microsoft Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_23_0_0_207.dll [2016-11-09] ()
FF Plugin-x32: @graphisoft.com/GDL Web Plug-in -> C:\Program Files (x86)\GRAPHISOFT\GDLWebControl\npGDLMozilla.dll [2012-06-13] (Graphisoft SE)
FF Plugin-x32: @java.com/DTPlugin,version=11.111.2 -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\dtplugin\npDeployJava1.dll [2016-10-25] (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=11.111.2 -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\plugin2\npjp2.dll [2016-10-25] (Oracle Corporation)
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.41212.0\npctrl.dll [2015-12-11] ( Microsoft Corporation)
FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll [2015-02-04] (NVIDIA Corporation)
FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll [2015-02-04] (NVIDIA Corporation)
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.31.5\npGoogleUpdate3.dll [2016-07-29] (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.31.5\npGoogleUpdate3.dll [2016-07-29] (Google Inc.)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2016-10-01] (Adobe Systems Inc.)
FF Plugin HKU\S-1-5-21-2301373706-1418264158-2203171218-1000: www.bobs.bg/bobsWinSigner -> C:\Program Files (x86)\BOBS\BOBS Web Plugin MSCAPI Sign\1.0.0.5\npbobsWinSigner.dll [2015-03-04] (BORICA - BANKSERVICE AD)

==================== Services (Whitelisted) ====================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

S2 Autodesk Content Service; C:\Program Files (x86)\Autodesk\Content Service\Connect.Service.ContentService.exe [12288 2012-12-13] (Autodesk, Inc.) [File not signed]
S3 Autodesk Licensing Service; C:\Program Files (x86)\Common Files\Autodesk Shared\Service\AdskScSrv.exe [77944 2016-01-27] (Autodesk)
R2 Canon imagePROGRAF Status Monitor; C:\Program Files\Canon\imagePROGRAFStatusMonitor\cnwisam.exe [755288 2014-07-03] (CANON INC)
R2 Garmin Device Interaction Service; C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe [985616 2016-10-25] (Garmin Ltd. or its subsidiaries)
R2 iPFDeviceAgentService; C:\Windows\system32\cnwiols6.exe [217416 2013-02-26] (CANON INC.)
S3 MBAMScheduler; C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe [1514464 2016-03-10] (Malwarebytes)
S3 MBAMService; C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice.exe [1136608 2016-03-10] (Malwarebytes)
R2 MsMpSvc; C:\Program Files\Microsoft Security Client\MsMpEng.exe [23816 2015-04-30] (Microsoft Corporation)
R2 MSSQLSERVER; C:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe [62382256 2015-03-30] (Microsoft Corporation)
R3 NisSrv; C:\Program Files\Microsoft Security Client\NisSrv.exe [366544 2015-04-30] (Microsoft Corporation)
R2 NVWMI; C:\Windows\system32\nvwmi64.exe [2692296 2015-02-04] ()
S4 SQLSERVERAGENT; C:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\SQLAGENT.EXE [442536 2015-03-30] (Microsoft Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2014-03-09] (Microsoft Corporation)

===================== Drivers (Whitelisted) ======================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

R3 A38CCID; C:\Windows\System32\DRIVERS\a38ccid.sys [72208 2015-07-10] (Advanced Card Systems Ltd.)
R2 mbamchameleon; C:\Windows\system32\drivers\mbamchameleon.sys [140672 2016-03-10] (Malwarebytes)
S3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [27008 2016-03-10] (Malwarebytes)
S3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [192216 2016-09-13] (Malwarebytes)
S3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [64896 2016-03-10] (Malwarebytes Corporation)
R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [280376 2015-03-04] (Microsoft Corporation)
R2 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [124568 2015-03-04] (Microsoft Corporation)
S4 RsFx0153; C:\Windows\System32\DRIVERS\RsFx0153.sys [322736 2015-03-30] (Microsoft Corporation)
R0 tdrpman258; C:\Windows\System32\DRIVERS\tdrpm258.sys [1477728 2016-02-13] (Acronis)
S3 usbohci; C:\Windows\system32\drivers\usbohci.sys [25600 2014-06-25] (Microsoft Corporation) [File not signed]
R2 WIBUKEY; C:\Windows\System32\DRIVERS\WibuKey64.sys [106760 2016-01-28] (WIBU-SYSTEMS AG)
R3 Wibukey2_64; C:\Windows\System32\drivers\wibukey2_64.sys [21376 2016-01-28] (WIBU-SYSTEMS AG)

==================== NetSvcs (Whitelisted) ===================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)


==================== One Month Created files and folders ========

(If an entry is included in the fixlist, the file/folder will be moved.)

2016-12-02 10:26 - 2016-12-02 10:26 - 00014878 _____ C:\Users\Admin New\Desktop\FRST.txt
2016-12-02 10:26 - 2016-12-02 10:26 - 00000000 ____D C:\Users\Admin New\Desktop\FRST-OlderVersion
2016-12-02 10:22 - 2016-12-02 10:22 - 00115824 _____ C:\Users\Metodi\AppData\Local\GDIPFONTCACHEV1.DAT
2016-11-30 16:38 - 2016-12-02 10:26 - 00000000 ____D C:\FRST
2016-11-30 16:31 - 2016-12-02 10:26 - 02411520 _____ (Farbar) C:\Users\Admin New\Desktop\FRST64.exe
2016-11-30 15:48 - 2016-11-30 18:44 - 00000000 ____D C:\Users\Metodi\AppData\LocalLow\Unity
2016-11-30 15:48 - 2016-11-30 18:44 - 00000000 ____D C:\Users\Metodi\AppData\Local\Unity
2016-11-30 15:48 - 2016-11-30 15:48 - 00003088 _____ C:\Windows\System32\Tasks\MailRuUpdater
2016-11-30 15:48 - 2016-11-30 15:48 - 00002261 _____ C:\Users\Metodi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
2016-11-30 15:48 - 2016-11-30 15:48 - 00002261 _____ C:\Users\Metodi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВКонтакте.lnk
2016-11-30 15:39 - 2016-11-30 15:39 - 00003432 _____ C:\Windows\System32\Tasks\fupdate
2016-11-30 15:38 - 2016-11-30 15:38 - 00003582 _____ C:\Windows\System32\Tasks\syslog
2016-11-24 10:29 - 2016-12-02 10:24 - 00000000 ____D C:\Users\Metodi\AppData\LocalLow\Mozilla
2016-11-24 10:29 - 2016-11-24 10:29 - 00000000 ____D C:\Program Files\Mozilla Firefox
2016-11-22 13:59 - 2016-11-22 13:59 - 00001049 _____ C:\Users\Admin New\Desktop\Raster to Vector.lnk
2016-11-22 13:59 - 2016-11-22 13:59 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Raster to Vector
2016-11-22 13:59 - 2016-11-22 13:59 - 00000000 ____D C:\Program Files (x86)\Raster to Vector
2016-11-17 11:43 - 2016-11-17 11:43 - 00000017 _____ C:\Users\Admin New\AppData\Local\resmon.resmoncfg
2016-11-16 12:48 - 2016-11-16 12:48 - 00000207 _____ C:\Windows\tweaking.com-regbackup-METODI-PC-Windows-7-Professional-(64-bit).dat
2016-11-16 12:48 - 2016-11-16 12:48 - 00000000 ____D C:\RegBackup
2016-11-16 12:42 - 2016-11-16 12:42 - 00000000 ___DL C:\Users\MetodiAdmin\Documents\My Videos
2016-11-16 12:42 - 2016-11-16 12:42 - 00000000 ___DL C:\Users\MetodiAdmin\Documents\My Pictures
2016-11-16 12:42 - 2016-11-16 12:42 - 00000000 ___DL C:\Users\MetodiAdmin\Documents\My Music
2016-11-16 12:42 - 2016-11-16 12:42 - 00000000 ___DL C:\Users\Metodi\Documents\My Videos
2016-11-16 12:42 - 2016-11-16 12:42 - 00000000 ___DL C:\Users\Metodi\Documents\My Pictures
2016-11-16 12:42 - 2016-11-16 12:42 - 00000000 ___DL C:\Users\Metodi\Documents\My Music
2016-11-10 15:02 - 2016-11-10 15:02 - 00110144 _____ (Oracle Corporation) C:\Windows\system32\WindowsAccessBridge-64.dll
2016-11-10 15:01 - 2016-11-10 15:01 - 00000000 ____D C:\Program Files\Java
2016-11-05 11:50 - 2016-11-05 11:50 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Garmin

==================== One Month Modified files and folders ========

(If an entry is included in the fixlist, the file/folder will be moved.)

2016-12-02 10:26 - 2016-02-05 11:55 - 00000000 ____D C:\Users\Metodi\AppData\Roaming\Skype
2016-12-02 10:24 - 2009-07-14 07:13 - 00834354 _____ C:\Windows\system32\PerfStringBackup.INI
2016-12-02 10:24 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\inf
2016-12-02 10:20 - 2016-01-25 18:28 - 00000000 ____D C:\ProgramData\NVIDIA
2016-12-02 10:20 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-12-02 10:20 - 2009-07-14 06:45 - 00021504 _____ C:\Windows\system32\umstartup.etl
2016-11-30 18:46 - 2009-07-14 06:45 - 00024576 _____ C:\Windows\system32\umstartup000.etl
2016-11-30 18:21 - 2016-01-26 15:41 - 00000000 ____D C:\Users\Metodi\AppData\Roaming\uTorrent
2016-11-30 18:20 - 2016-01-26 14:03 - 00000000 ____D C:\Users\Metodi\AppData\Local\Google
2016-11-30 18:11 - 2009-07-14 06:45 - 00021904 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2016-11-30 18:11 - 2009-07-14 06:45 - 00021904 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2016-11-30 17:47 - 2015-06-23 19:09 - 00000000 ____D C:\Windows\system32\Macromed
2016-11-30 16:55 - 2009-07-14 05:20 - 00000000 ___HD C:\Windows\system32\GroupPolicy
2016-11-30 16:55 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\SysWOW64\GroupPolicy
2016-11-30 15:46 - 2016-01-26 12:11 - 00000000 ____D C:\Users\Metodi\Graphisoft
2016-11-30 13:11 - 2016-01-26 15:28 - 00002828 ___SH C:\Windows\SysWOW64\KGyGaAvL.sys
2016-11-30 12:04 - 2016-03-08 14:08 - 00000000 ____D C:\Users\Metodi\AppData\LocalLow\uTorrent
2016-11-24 17:54 - 2016-01-25 18:17 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2016-11-17 11:35 - 2016-06-08 10:54 - 00000000 ____D C:\Windows\System32\Tasks\Apple
2016-11-17 11:33 - 2016-01-25 18:37 - 00000000 ____D C:\Windows\pss
2016-11-17 11:28 - 2016-05-20 11:14 - 00115824 _____ C:\Users\Admin New\AppData\Local\GDIPFONTCACHEV1.DAT
2016-11-16 14:12 - 2016-01-26 02:18 - 00000000 ____D C:\Windows\CSC
2016-11-16 14:12 - 2009-07-14 06:45 - 01984720 _____ C:\Windows\system32\FNTCACHE.DAT
2016-11-16 14:07 - 2009-07-14 04:34 - 00000535 _____ C:\Windows\win.ini
2016-11-16 13:06 - 2011-04-12 10:28 - 00000000 ___RD C:\Users\Public\Recorded TV
2016-11-16 12:59 - 2009-07-14 04:34 - 00000855 _____ C:\Windows\system32\Drivers\etc\hosts_bak_713
2016-11-16 12:42 - 2016-01-25 16:55 - 00000000 ____D C:\Users\MetodiAdmin
2016-11-16 12:42 - 2016-01-25 16:28 - 00000000 ____D C:\Users\Metodi
2016-11-16 12:35 - 2016-05-20 11:14 - 00000000 ____D C:\Users\Admin New
2016-11-10 15:02 - 2016-02-06 16:35 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
2016-11-09 12:06 - 2015-06-23 19:09 - 00796352 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2016-11-09 12:06 - 2015-06-23 19:09 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2016-11-09 12:06 - 2015-06-23 19:09 - 00000000 ____D C:\Windows\SysWOW64\Macromed
2016-11-06 11:10 - 2016-02-01 15:19 - 00002441 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk
2016-11-05 11:51 - 2016-06-24 16:28 - 00000000 ____D C:\Program Files (x86)\Garmin
2016-11-05 11:51 - 2016-01-26 03:09 - 00000000 ____D C:\ProgramData\Package Cache
2016-11-05 11:50 - 2016-06-24 16:28 - 00001903 _____ C:\Users\Public\Desktop\Garmin Express.lnk

==================== Files in the root of some directories =======

2016-11-17 11:43 - 2016-11-17 11:43 - 0000017 _____ () C:\Users\Admin New\AppData\Local\resmon.resmoncfg
2016-02-04 14:28 - 2016-02-04 14:28 - 0000153 _____ () C:\ProgramData\Microsoft.SqlServer.Compact.351.32.bc
2016-01-28 14:39 - 2016-01-28 14:39 - 0000133 _____ () C:\ProgramData\Microsoft.SqlServer.Compact.351.64.bc

Some files in TEMP:
====================
C:\Users\MetodiAdmin\AppData\Local\Temp\AcDeltree.exe
C:\Users\MetodiAdmin\AppData\Local\Temp\FNP_ACT_InstallerCA.dll


==================== Bamital & volsnap ======================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\system32\winlogon.exe => File is digitally signed
C:\Windows\system32\wininit.exe => File is digitally signed
C:\Windows\SysWOW64\wininit.exe => File is digitally signed
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\SysWOW64\explorer.exe => File is digitally signed
C:\Windows\system32\svchost.exe => File is digitally signed
C:\Windows\SysWOW64\svchost.exe => File is digitally signed
C:\Windows\system32\services.exe => File is digitally signed
C:\Windows\system32\User32.dll => File is digitally signed
C:\Windows\SysWOW64\User32.dll => File is digitally signed
C:\Windows\system32\userinit.exe => File is digitally signed
C:\Windows\SysWOW64\userinit.exe => File is digitally signed
C:\Windows\system32\rpcss.dll => File is digitally signed
C:\Windows\system32\dnsapi.dll => File is digitally signed
C:\Windows\SysWOW64\dnsapi.dll => File is digitally signed
C:\Windows\system32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2016-11-24 16:09

==================== End of FRST.txt ============================

Addition.txt

Линк към коментара
Сподели в други сайтове

Здравейте,

След малко ще погледна лог файловете, че бях доста ангажиран през последните няколко дни.

Поздрави!

Линк към коментара
Сподели в други сайтове

За мен лично ще е интересно кои са проблемните, приложения и добавки в mail.ru защото от доста време използвам и то без проблем!???

Това от любопитство, а и евентуално за да знам от какво да се пазя!

Линк към коментара
Сподели в други сайтове

Май някои хора не са наясно за какво става въпрос! Няма проблеми с mail.ru, а с това, че някои приложения "натрисат" приложението Mail.ru, което е adware в потребителските системи без разрешение, заедно с други адуерчета и това го прави досадно и ненужно приложение за тези потребители. И като казвам натрисат, то наистина е така...похищават се препратките, търсачката и куп други неща да сочат към сайта на mail.ru. Не знам дали самата поща е автор на тези приложения, но са досадни и ненужни. И без това Mail.ru си е онлайн базирана поща, може да си се ползва и без тези лепки. Като цяло ако са инсталирани от потребителя са си легитимни, ако са дошли неканени са нежелани. Надявам се сега да ясно...

https://www.zemana.com/en-US/removal-guide/remove-mail.ru

 

 

Линк към коментара
Сподели в други сайтове

Изтеглете edit-text.giffixlist.txt и го запазете на десктопа.
Стартирайте FRST.exe и натиснете бутона Fix веднъж!
След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата на програмата.
 
Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

След това направете нова проверка с FRST и прикачете новите 2 лог файла за да видим как са нещата със системата.

Пишете и дали проблема остава! ;)

Поздрави!

Линк към коментара
Сподели в други сайтове

Здравейте,

Пуснах Fix , но нещо, може би се обърка, защото FRST.exe се завъртя и след това заяви, че е спряло неочаквано. Не рестартира, но доколкото разбрах от лога, е почистило. Одноклассники и БКонтакте, които не е намерило, аз ги изтрих вчера, защото ми се появиха в програвите. Ето го лога:

 

ix result of Farbar Recovery Scan Tool (x64) Version: 04-12-2016
Ran by Admin New (05-12-2016 11:00:49) Run:1
Running from C:\Users\Admin New\Desktop
Loaded Profiles: Metodi & Admin New (Available Profiles: Metodi & Admin New)
Boot Mode: Normal
==============================================

fixlist content:
*****************
start
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-2301373706-1418264158-2203171218-1006\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-2301373706-1418264158-2203171218-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818405
2016-11-30 15:48 - 2016-11-30 15:48 - 00003088 _____ C:\Windows\System32\Tasks\MailRuUpdater
2016-11-30 15:48 - 2016-11-30 15:48 - 00002261 _____ C:\Users\Metodi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
2016-11-30 15:48 - 2016-11-30 15:48 - 00002261 _____ C:\Users\Metodi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВКонтакте.lnk
2016-11-30 15:39 - 2016-11-30 15:39 - 00003432 _____ C:\Windows\System32\Tasks\fupdate
2016-11-30 15:38 - 2016-11-30 15:38 - 00003582 _____ C:\Windows\System32\Tasks\syslog
Task: {4B200B70-87BA-4ADD-8492-C30082F44DC3} - System32\Tasks\syslog => C:\Users\Metodi\AppData\Local\syslog\syslog.exe <==== ATTENTION
Task: {71AB7D7F-870F-4100-879F-E110D5130B49} - System32\Tasks\fupdate => C:\Users\Metodi\AppData\Local\fupdate\fupdate.exe <==== ATTENTION
Task: {7267F49C-5593-4029-AD27-2C72FE0323EA} - \SearchGo Task -> No File <==== ATTENTION
Task: {C1A013EE-DB08-4E09-BDA6-7799B49F41A3} - System32\Tasks\MailRuUpdater => C:\Users\Metodi\AppData\Local\Mail.Ru\MailRuUpdater.exe
cmd: del %temp%\*.* /f /s /q
cmd: rd /s /q %temp%
Hosts:
cmd: bitsadmin /reset /allusers
cmd: netsh winsock reset catalog
cmd: ipconfig /flushdns
RemoveProxy:
EmptyTemp:
End
*****************

Restore point was successfully created.
Processes closed successfully.
C:\Windows\system32\GroupPolicy\Machine => moved successfully
C:\Windows\system32\GroupPolicy\GPT.ini => moved successfully
C:\Windows\SysWOW64\GroupPolicy\GPT.ini => moved successfully
C:\Windows\system32\GroupPolicy\User => moved successfully
"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => key removed successfully
"HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer" => key removed successfully
"HKU\S-1-5-21-2301373706-1418264158-2203171218-1006\SOFTWARE\Policies\Microsoft\Internet Explorer" => key removed successfully
HKU\S-1-5-21-2301373706-1418264158-2203171218-1000\Software\Microsoft\Internet Explorer\Main\\Start Page => value restored successfully
C:\Windows\System32\Tasks\MailRuUpdater => moved successfully
"C:\Users\Metodi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk" => not found.
"C:\Users\Metodi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВКонтакте.lnk" => not found.
C:\Windows\System32\Tasks\fupdate => moved successfully
C:\Windows\System32\Tasks\syslog => moved successfully

 

 

FRST.txt

Addition.txt

Линк към коментара
Сподели в други сайтове

Повторете поправката от Safe Mode със същия скрипт, след това рестартирайте в Normal Mode и прикачете новия fixlog.txt и след това направете нова проверка с FRST и прикачете новите 2 лог файла.

Поздрави!

Линк към коментара
Сподели в други сайтове

Как е сега положението? Ако всичко е наред няма да пускаме AdwCleaner или ZHPCleaner, защото на системата има специфичен софтуер, а двете програми могат да бъдат доста агресивни.

Все пак направете следното:

emsisoft_emergency_kit.pnglogo.png

  • Моля изтеглете EmsisoftEmergencyKit, стартирайте exe файла и посочете къде да се разархивира програмата - например в (C:\EEK), натискайки бутона Extract.
  • Стартирайте иконата на файла Start Emsisoft Emergency Kit от десктопа за да стартирате приложението.
  • Натиснете бутона"Yes", когато бъдете подканени да обновите дефинициите на програмата.
  • След като процеса по обновяването на дефинициите приключи натиснете бутона "Scan".
  • Натиснете бутона "Yes", когато бъдете попитани дали да програмата да включи засичането на потенциално нежелани приложения (Potentially Unwanted Applications).
  • Сега вече изберете бутона Custom Scan. Премахнете от списъка всички дялове без C:\ (т.е. нека да остане само дял C:\ в списъка).
  • Натиснете Next за да започне проверката.
  • Когато проверката приключи натиснете бутона View Report.
  • Копирайте съдържанието на лог файла в следващия си коментар.

 

Поздрави!

Линк към коментара
Сподели в други сайтове

Намери нещо опасно!

 

Emsisoft Emergency Kit - Version 12.0
Last update: 5.12.2016 г. 14:12:22
User account: Metodi-PC\Admin New
Computer name: METODI-PC
OS version: Windows 7x64 Service Pack 1

Scan settings:

Scan type: Custom Scan
Objects: Rootkits, Memory, Traces, C:\

Detect PUPs: On
Scan archives: On
ADS Scan: On
File extension filter: Off
Direct disk access: Off

Scan start:    5.12.2016 г. 14:14:11
C:\Users\Metodi\AppData\Roaming\Thinstall\Settings\11400002h\splwow64.exe     detected: Gen:[email protected] (B) [krnl.xmd]

Scanned    282900
Found    1

Scan end:    5.12.2016 г. 14:42:31
Scan time:    0:28:20

Линк към коментара
Сподели в други сайтове

Здравейте,

След фикса с ЕЕК се появи проблем със стартирането. Стига до едно положение и застива.Screen.jpg

Това е снимка с фотоапарат. От преди си имам проблема, като натисна PrtScr пак застива. Не действат нито мишка нито клавиши. Единствения начин е с бутона за изключване.

Сега успях някак да го пусна, като при стартиране натисках F10 докато се появи Start Windows normally. След няколко изключвания.

Редактирано от Методиев (преглед на промените)
Линк към коментара
Сподели в други сайтове

Нещо се бъркате, защото не е имало поправка с EEK...в инструкциите е споменато само да сканирате и според лог файла точно и това сте направили. Но дори като гледам засечения файл, дори той да бъде/беше изтрит нямаше той да е причината за това положение. По-скоро ми прилича ма хардуерен проблем.

Линк към коментара
Сподели в други сайтове

А иначе в момента системата стартира ли нормално? Ако да то направете нова проверка с FRST и прикачете новите резултати. Може да опитаме да поработим малко над грешките в EventViewer-a.

Поздрави!

Линк към коментара
Сподели в други сайтове

Здравейте,

Прав сте. С ЕЕК само е сканирано. Говорех за фикса с FRST. Не стартира нормално. За да стартирам, като го изключа с Power, изваждам захранването и няколко пъти натискам бутона за включване без захранване. След това го пускам и натискам F10 или F8 /не помня/, докато стигна до Start Windows normally, и тогава тръгва.

Това са логовете от FRST.

FRST.txt

Addition.txt

Линк към коментара
Сподели в други сайтове

Не мисля,че е и от фикса на FRST, защото са премахнати само записите добавена от Mail.ru. При писане на скриптовете внимавам изключително много и грешките там са сведени до минимум. Пак го прегледах и не мисля, че има нещо, което не е трябвало да бъде почистено/поправено. Може би е просто съвпадение. При изпълнението на скрипта винаги създавам System Restore и във вашия случай има такава.

Цитат

 

==================== Restore Points =========================

27-11-2016 16:23:56 Windows Update
28-11-2016 17:00:08 Windows Backup
02-12-2016 10:30:46 Windows Update
05-12-2016 11:00:50 Restore Point Created by FRST

Ако искате пробвайте да върнете системата с точката създадена от FRST и вижте дали проблема ще изчезне. Точката ще върне обаче и доста от нещата, които почистихме и ще се налага да чистим наново. Ако пък не се оправи проблема и с това, значи хем FRST не е виновен за това поведение, хем адуера ще се е върнал, но не пречи да опитате.

Програмата създава и друг вид бекъп...бекъп на регистрите, който ако се наложи ще върнем и него (само че се изисква наличието на инсталационен диск, защото връщането на бекъпа става само от Recovery Environment среда):

Цитат

LastRegBack: 2016-12-04 13:30

Ако проблема остане обаче може би ще трябва да потърсите съвет в хардуерния раздел. Възможно е дъно, захранване, твърд диск и т.н. да правят проблема.

За мен логовете са наред и не виждам как софтуер дори да прецака нещо по Windows ще накара всеки път да се занимавате с изключване на системата от захранването за да стартира въобще. До достигането на POST екрана дори Windows не работи така че проблема може би наистина ще е хардуерен.

Иначе в новите логове видях, че сте инсталирали съзнателно или не и някакви актуализации за Windows и може и те допълнително да са омазали нещата

Цитат

 

==================== Restore Points =========================

02-12-2016 10:30:46 Windows Update
05-12-2016 11:00:50 Restore Point Created by FRST
05-12-2016 17:00:08 Windows Backup

 

Друго, което ми направи впечатление в грешките е, че освен че броячите на производителността вадят грешки ви липсва и свободно място на един от дяловете:

Error: (12/05/2016 05:04:40 PM) (Source: Windows Backup) (EventID: 4104) (User: )
Description: The backup was not successful. The error is: Windows Backup skipped backing up system image because one of the critical volumes is not having enough free space. Free up some space by deleting unnecessary files and try again. (0x81000033).
Макар че уж такова има, но все пак клонирането на дял отнема доста място и може затова да не ви достига такова:

Цитат

 

==================== Drives ================================

Drive c: (PROGRAM DRIVE) (Fixed) (Total:106.31 GB) (Free:20.48 GB) NTFS
Drive d: (WORK DRIVE) (Fixed) (Total:534.79 GB) (Free:429.4 GB) NTFS
Drive e: (BACKUPS & RES) (Fixed) (Total:146.48 GB) (Free:32.37 GB) NTFS
Drive f: (CLIP'S & DATES) (Fixed) (Total:244.14 GB) (Free:185.25 GB) NTFS
Drive h: (Acronis Media) (CDROM) (Total:0.11 GB) (Free:0 GB) CDFS
Drive i: (My Backups) (Fixed) (Total:298.06 GB) (Free:93.64 GB) NTFS

 

Друга притеснителна грешка е следната:

Error: (12/06/2016 10:17:40 AM) (Source: Ntfs) (EventID: 137) (User: )
Description: The default transaction resource manager on volume \\?\Volume{40ecca43-c3c2-11e5-970e-806e6f6e6963} encountered a non-retryable error and could not start.  The data contains the error code.

Може да опитате следните стъпки:

Върнете първо System Restore точката създадена от Windows Backup и след това

В търсачката на Start Menu-то въведете CMD.exe. Кликнете с десен бутон върху CMD.exe и изберете Run as administrator. В конзолата с десен бутон Copy и десен бутон Paste поставете следната команда и натиснете Enter

fsutil resource setautoreset true c:\

Рестартирайте система и вижте как е положението.

Ако проблема продължава върнете точката създадена от FRST и след това отново изпълнете командата fsutil resource setautoreset true c:\

Рестартирайте система и вижте как е положението.

Ако проблема е налице е добре да проверим следните неща преди да ви пратя в хардуерния раздел:

В properties-a на дял C:\ => Tools => Check => сложете двете отметки и рестартирайте за да се извърши проверката. След това лог файла намерете по следния начин => http://www.sevenforums.com/tutorials/96938-check-disk-chkdsk-read-event-viewer-log.html

и го публикувайте в следващия си коментар.

Стартирайте и команда sfc /scannow от CMD.exe (Command Prompt) стартиран като администратор.

След това въведете командата в CMD.exe:

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfcdetails.txt"

и прикачете лог файла sfcdetails.txt, който ще се създаде на десктопа.

Рестартирайте системата за да влезнат промените в сила.

Поздрави!

Линк към коментара
Сподели в други сайтове

Всъщност от доста време РС ми прави някакви мизерии. Неочаквано застива - при инсталиране на програма /нелицензирана/, при натискане на PrtScr, и други, на случаен принцип, които съм забравил, но до сега не е правил проблеми при стартиране. Windows backup не иска да прави бекъп и казва, че няма място, наистина. ходих в Операционни системи и се разбра, че понякога така прави. Посъветваха ме да използвам Akronis за бекъп на системата и аз това правя сега.

За да си реша проблемите използвах и Windows Repair, с който проверих всичко, което предлага за проверка - хардове, памет и т.н. Не откри грешки, но не можа да оправи нещата.

Windows Update съм го изключил. Ъпдейтите, които прави /според история на ъпдейтите/ са само за дефинициите на MSE.

Сега ще започна да правя стъпките, които ми препоръчахте и ще видим.

Линк към коментара
Сподели в други сайтове

преди 2 часа, B-boy/StyLe/ написа:

Може да опитате следните стъпки:

Върнете първо System Restore точката създадена от Windows Backup и след това

В търсачката на Start Menu-то въведете CMD.exe. Кликнете с десен бутон върху CMD.exe и изберете Run as administrator. В конзолата с десен бутон Copy и десен бутон Paste поставете следната команда и натиснете Enter

fsutil resource setautoreset true c:\

Рестартирайте система и вижте как е положението.

Ако проблема продължава върнете точката създадена от FRST и след това отново изпълнете командата fsutil resource setautoreset true c:\

Рестартирайте система и вижте как е положението.

Ако проблема е налице е добре да проверим следните неща преди да ви пратя в хардуерния раздел:

В properties-a на дял C:\ => Tools => Check => сложете двете отметки и рестартирайте за да се извърши проверката. След това лог файла намерете по следния начин => http://www.sevenforums.com/tutorials/96938-check-disk-chkdsk-read-event-viewer-log.html

и го публикувайте в следващия си коментар.

Стартирайте и команда sfc /scannow от CMD.exe (Command Prompt) стартиран като администратор.

След това въведете командата в CMD.exe:

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfcdetails.txt"

и прикачете лог файла sfcdetails.txt, който ще се създаде на десктопа.

Рестартирайте системата за да влезнат промените в сила.

Всичките стъпки ги направих по опис. Проблема със стартирането си стои - поне първите няколко рестартирания.

Ето логовете:

TimeCreated : 6.12.2016 г. 14:22:04 ч.
Message     :
              
              Checking file system on C:
              The type of the file system is NTFS.
              Volume label is PROGRAM DRIVE.
              
              A disk check has been scheduled.
              Windows will now check the disk.                         
              
              CHKDSK is verifying files (stage 1 of 5)...
                263424 file records processed.                                 
                      
              File verification completed.
                1210 large file records processed.                             
                    
                0 bad file records processed.                                  
                 
                2 EA records processed.                                        
                 
                79 reparse records processed.                                  
                  
              CHKDSK is verifying indexes (stage 2 of 5)...
                338912 index entries processed.                                
                      
              Index verification completed.
                0 unindexed files scanned.                                     
                 
                0 unindexed files recovered.                                   
                 
              CHKDSK is verifying security descriptors (stage 3 of 5)...
                263424 file SDs/SIDs processed.                                
                      
              Cleaning up 2731 unused index entries from index $SII of file 0x9
              .
              Cleaning up 2731 unused index entries from index $SDH of file 0x9
              .
              Cleaning up 2731 unused security descriptors.
              CHKDSK is compacting the security descriptor stream
                37745 data files processed.                                    
                     
              CHKDSK is verifying Usn Journal...
                35959056 USN bytes processed.                                  
                        
              Usn Journal verification completed.
              CHKDSK is verifying file data (stage 4 of 5)...
                263408 files processed.                                        
                      
              File data verification completed.
              CHKDSK is verifying free space (stage 5 of 5)...
                5492571 free clusters processed.                               
                       
              Free space verification is complete.
              CHKDSK discovered free space marked as allocated in the
              master file table (MFT) bitmap.
              Correcting errors in the Volume Bitmap.
              Windows has made corrections to the file system.
              
               111475032 KB total disk space.
                89016704 KB in 196867 files.
                  118528 KB in 37748 indexes.
                       0 KB in bad sectors.
                  369516 KB in use by the system.
                   65536 KB occupied by the log file.
                21970284 KB available on disk.
           

sfcdetails.txt

Линк към коментара
Сподели в други сайтове

Логовете изглеждат наред. Ако сте върнали системата и със System Restore преди Windows Update и преди FRST и проблема продължава, това само показва, че виновника не е FRST.

Моя съвет е да си отворите тема тук относно поведението на системата => Общи хардуерни въпроси

След това като се разбере какво е положението и го стабилизирате се върнете за да почистим това, което се е върнало след System Restore-a.

Поздрави!

Линк към коментара
Сподели в други сайтове

Здравейте,

В Общи хардуерни въпроси нещата се развиха така:

Махнах една отметка, /може и да не е от това, но след това стана/, и такива проблеми със стартирането се получиха, че след цял ден опити - проба-грешка, накрая с Bootable Disk направих рекавъри с един бекъп отпреди двадесетина дни. Така че, според мен, системата вече не е същата и няма mail.ru. Така ли е, или се лъжа?

Между другото, тъй като коментирам тези проблеми с приятели, един от тях, който се занимава със софтуер, настойчиво ми препоръча това: http://mechbgon.com/srp/

Какво мислите за него?

Линк към коментара
Сподели в други сайтове

Щом сте върнали бекъп, то просто копието е било направено преди да се заразите с Mail.ru и затова системата е чиста. Но Mail.ru като цяло не бе проблем, защото ние също го почистихме, но после започнаха проблемите ви и се наложи да върнем поправеното с FRST при което бе нормално и Mail.ru да се върне, а проблемите да останат, защото както изглежда не са софтуерно базирани (както ви казаха и в другата тема). Няма как зависването на системата още при POST екрана (когато имате възможността за влизане в БИОС) да е причинен от софтуер или омазан Windows, защото тогава Windows още не е стартиран дори. Това, което се опитвам да кажа, е че премахването на Mail.ru ви е (и беше) най-малкия проблем, както и инсталиране на защитна програма. Ако проблемите със засиването продължат ще е най-добре да потърсите сервиз в който да направят диагностика на компонентите и да подменят дефектиралите такива (ако бъдат открити такива). Колкото до линка, то той е доста полезен, но не е панацея за всички видове зарази и не е съвсем удобен за ежедневна употреба, защото наред със зловредните програми, подобни правила биха блокирали действията и на някои легитимни програми и ако това се случи ще се наложи да търсите източника на проблема и да конфигурирате/разрешите дадено правило ръчно за конкретната програма, която има проблеми след прилагането на правилото/правилата. С други думи, това е мощен инструмент в ръцете на напредналите потребители, но може да бъде досадно при ежедневна употреба и да създаде проблеми на начинаещите потребители.

Поздрави!

Линк към коментара
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.

  • Разглеждащи това в момента   0 потребители

    • Няма регистрирани потребители разглеждащи тази страница.
  • Подобни теми

    • от Rusttyy1
      Здравейте, съмнявам се, че системата ми е заразена. Крашват ми приложения/игри и почти винаги процесора ми стои на над 90% в таск мениджър-а
      Addition.txt FRST.txt
    • от kre10
      Здравейте, от скоро в диспечъра се появи този процес search.exe, някой знае ли за какво е? Намерих противоречиви информации в интернет. Дърпаше по 100~ MB г/д и не може да се спре.
    • от ivanralchev
      Здравейте, 
      малко я позакъсахме
      На едни мои познати им криптираха компютър с важна информация.
      Разширението на файловете е exlock. Доколкото разбирам от google, вируса е от семейство medusa.
      Прикачвам два скрийншота, един с разширението на файла, и друг с автоматично генерирания htm файл с инструкциите за откуп. Искат 7000$ след пазарене - непосилна сума.
      Прикачвам и двата файла. addition и FRST генерирани след сканиране с farbar.
      Ако някой може да помогне да пише. Разбира се ако оправим нещата няма да се размине само с черпене.


      Addition.txt FRST.txt
    • от Емил Костов
      Моля да се провери дали тази машина е заразена или всичко е наред. При мен всичко работи, но когато се включи на мястото в офиса върви бавно, лентата със задачи на Windows блокира както и половината му команди.
      Прикачам съдържанието от FRST64
      Addition.txt FRST.txt
    • от Alpine Trail
      Здравейте!Преди около 2 месеца Avast взе да алармира за заплаха Експлойт.Изглежда това се оказа провокирано от Adobe Flash Player,защото след като го деинсталирах нещата се оправиха.Наскоро пак имах съмнения че нещо не е наред със системата ми,затова инсталирах MBAM,която почна да изкарва съобщения че блокирва някои неща от мюторент,както и от тракера p2p,но пробният му период изтече и ето че сега Avast пропищя.Изкарва съобщения:"Заплахата е обезвредена.Безопасно прекъснахме връзката на udp://172.86.180.122.9777,тъй като беше заразена с/ъс Botnet:Blacklist."
      Ето логовете от FRST:
      FRST.txt Addition.txt
×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване