ни как не поддаются удалению два ключа в реестре рекомендованные к очистке AdwCleaner, прошу подсказать дальнейшие действия:

# AdwCleaner v4.201 - Отчёт создан 20/04/2015 в 11:26:35
# Обновлено 08/04/2015 by Xplode
# База данных : 2015-04-19.4 [Сервер]
# Операционная система : Windows 7 Professional Service Pack 1 (x86)
# Пользователь : KusyakinKN - KRD28
# Запущено из : C:\Users\KusyakinKN\Downloads\adwcleaner_4.201.exe
# Режим : Сканировать

***** [ Службы ] *****


***** [ Файлы / Папки ] *****


***** [ Назначенные задания ] *****


***** [ Ярлыки ] *****


***** [ Реестр ] *****

Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{91397D20-1446-11D4-8AF4-0040CA1127B6}
Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D5FEC983-01DB-414A-9456-AF95AC9ED7B5}

***** [ веб браузеры ] *****

-\\ Internet Explorer v0.0.0.0


-\\ Mozilla Firefox v


-\\ Chromium v

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. (http://forum.oszone.net/thread-98169.html)

+ программы от яндекса, а в частности яндекс тулбар используете?

да яндекс тулбар использую.
не могу подкрепить файл логов, форум выдал сообщение:
AutoLogger.zip:
Ваш файл объемом 11.14 Mb превышает предел в 8.00 Mb, установленный на форуме для этого типа файлов.
поэтому даю ссылку на файл:
https://yadi.sk/d/8BxzeVQJg7G3T

да яндекс тулбар использую. »
это от него CLSID-ы. Так если вы им пользуетесь и удалять его не собираетесь, то удалять их не надо :).

AutoLogger.zip:
Ваш файл объемом 11.14 Mb превышает предел в 8.00 Mb, установленный на форуме для этого типа файлов.
поэтому даю ссылку на файл: »
потому что вы целиком папку AutoLogger прикрепляете вместо логов, а нужно было только CollectionLog-2015.04.20-13.21.zip

Skype Click to Call - советую деинсталировать.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице (http://avz.safezone.cc/).
Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost (http://rghost.ru/), Zalil (http://zalil.ru/), UkrShara (http://us.ua/) или WebFile (http://webfile.ru/)) и укажите ссылку на скачивание в своём следующем сообщении.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/threads/18577/).

Выполните скрипт в АВЗ (http://safezone.cc/threads/10/) (Файл - Выполнить скрипт):


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFileF('C:\Users\KusyakinKN\appdata\roaming\newsi_650\', '*', true, '', 0 , 0);
QuarantineFile('C:\Users\KusyakinKN\appdata\roaming\newsi_650\s_inst.exe', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\яндекс\Punto Switcher\Puntо Switсhеr.lnk', '');
QuarantineFile('C:\Users\KusyakinKN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\яндекс.ƒиск\—криншоты в яндекс.ƒиске.lnk', '');
QuarantineFile('C:\Users\KusyakinKN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\яндекс.ƒиск\яндекс.ƒиск.lnk', '');
QuarantineFile('C:\Users\KusyakinKN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе —hrоmе.lnk', '');
QuarantineFile('C:\Users\KusyakinKN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе —hrоmе.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\яндекс\Punto Switcher\ƒневник.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\яндекс\Punto Switcher\Ќастройка раскладок.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\яндекс\Punto Switcher\Ќовые возможности.lnk', '');
QuarantineFile('C:\PROGRA~1\Yandex\PUNTOS~1\" "C:\PROGRA~1\Yandex\PUNTOS~1\WELCOM~1.URL', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\яндекс\Punto Switcher\—правка.lnk', '');
QuarantineFile('C:\Program Files\punto.bat', '');
QuarantineFile('C:\Users\KusyakinKN\AppData\Roaming\YandexDiskScreenshotEditor.bat', '');
QuarantineFile('C:\Users\KusyakinKN\AppData\Roaming\YandexDiskStarter.bat', '');
QuarantineFile('C:\Program Files\Google\chrome.bat', '');
QuarantineFile('C:\Program Files\diary.bat', '');
QuarantineFile('C:\Program Files\layouts.bat', '');
QuarantineFile('C:\Program Files\WelcomeToPunto.bat', '');
QuarantineFile('C:\Program Files\ps.bat', '');
DeleteFile('C:\Program Files\Google\chrome.bat', '32');
DeleteFile('C:\Users\KusyakinKN\appdata\roaming\newsi_650\s_inst.exe', '32');
DeleteFile('C:\Program Files\punto.bat', '');
DeleteFile('C:\Users\KusyakinKN\AppData\Roaming\YandexDiskScreenshotEditor.bat', '');
DeleteFile('C:\Users\KusyakinKN\AppData\Roaming\YandexDiskStarter.bat', '');
DeleteFile('C:\Program Files\Google\chrome.bat', '');
DeleteFile('C:\Program Files\diary.bat', '');
DeleteFile('C:\Program Files\layouts.bat', '');
DeleteFile('C:\Program Files\WelcomeToPunto.bat', '');
DeleteFile('C:\Program Files\ps.bat', '');
DeleteFileMask('C:\Users\KusyakinKN\appdata\roaming\newsi_650\', '*', true);
DeleteDirectory('C:\Users\KusyakinKN\appdata\roaming\newsi_650\');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(9);
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.


после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK (http://safezone.cc/resources/102/). Отчёт о работе прикрепите.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.


Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Удалить).
Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157905).

Цитата berligostr:
да яндекс тулбар использую. »
это от него CLSID-ы. Так если вы им пользуетесь и удалять его не собираетесь, то удалять их не надо .
Цитата berligostr:
AutoLogger.zip:
Ваш файл объемом 11.14 Mb превышает предел в 8.00 Mb, установленный на форуме для этого типа файлов.
поэтому даю ссылку на файл: »
потому что вы целиком папку AutoLogger прикрепляете вместо логов, а нужно было только CollectionLog-2015.04.20-13.21.zip »
исправляюсь)))
в процессе исполнения скрипта логирования увидел кучу дополнительного УЖОСА.. что дальше?

berligostr, вы скрипт и остальное написанное в предудущем посте выполняли? Выполните и потом сделайте свежие логи.

Ваши рекомендации выполнены:

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Удалить).
Подтвердите удаление нажав кнопку: Да.
Подробнее читайте в этом руководстве. »

файл virusinfo_auto_KRD28.zip отправлен
MD5: E759A2DE7294C36AB24A4B43A8556932

Файл quarantine.zip отправлен (система просто написала "Ваше сообщение отправлено")

Логи ClearLnk и CollectionLog во вложении

Удалить в adwcleaner.exe выполнено

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK (http://safezone.cc/resources/102/). Отчёт о работе прикрепите.

после этого сделайте свежий лог http://safezone.cc/resources/check-browsers-lnk-by-dragokas-regist.122/

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
после этого сделайте свежий лог http://safezone.cc/resources/check-b...as-regist.122/ »

Для порядка ещё

- Исправьте с помощью утилиты ClearLNK (http://safezone.cc/resources/102/) следующие ярлыки, отчёт о работе прикрепите:
C:\Users\KusyakinKN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Konstantin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Konstantin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\Konstantin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Konstantin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk



проблем больше нет?

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения (http://safezone.cc/threads/16715/).

Сделано.
Проблем на текущий момент не вижу.
Систему обновил по рекомендациям AVZ.
Спасибо за оперативность.

Появились сообщения от symantec:

Scan type: Auto-Protect Scan
Event: Risk Found!
Security risk detected: Trojan.Gen
File: C:\ProgramData\Symantec\DefWatch.DWH\dwh2c99.exe
Location: C:\ProgramData\Symantec\DefWatch.DWH
Computer: KRD28
User: система
Action taken: Pending Side Effects Analysis : Access denied
Date found: 22 апреля 2015 г. 4:56:04

Scan type: Auto-Protect Scan
Event: Risk Found!
Security risk detected: Trojan.Gen.2
File: C:\ProgramData\Symantec\DefWatch.DWH\dwh57bf.exe
Location: C:\ProgramData\Symantec\DefWatch.DWH
Computer: KRD28
User: система
Action taken: Pending Side Effects Analysis : Access denied
Date found: 22 апреля 2015 г. 4:56:09

Scan type: Auto-Protect Scan
Event: Risk Found!
Security risk detected: Trojan.Gen
File: C:\ProgramData\Symantec\DefWatch.DWH\dwh67a7.exe
Location: C:\ProgramData\Symantec\DefWatch.DWH
Computer: KRD28
User: система
Action taken: Pending Side Effects Analysis : Access denied
Date found: 22 апреля 2015 г. 4:56:13

Scan type: Auto-Protect Scan
Event: Risk Found!
Security risk detected: Trojan.Gen.2
File: C:\ProgramData\Symantec\DefWatch.DWH\dwh79a2.exe
Location: C:\ProgramData\Symantec\DefWatch.DWH
Computer: KRD28
User: система
Action taken: Pending Side Effects Analysis : Access denied
Date found: 22 апреля 2015 г. 4:56:17

Scan type: Auto-Protect Scan
Event: Risk Found!
Security risk detected: Trojan.Gen.2
File: C:\ProgramData\Symantec\DefWatch.DWH\dwh929f.exe
Location: C:\ProgramData\Symantec\DefWatch.DWH
Computer: KRD28
User: система
Action taken: Pending Side Effects Analysis : Access denied
Date found: 22 апреля 2015 г. 4:56:24

Scan type: Auto-Protect Scan
Event: Risk Found!
Security risk detected: Trojan.Gen.2
File: C:\ProgramData\Symantec\DefWatch.DWH\dwha48b.exe
Location: C:\ProgramData\Symantec\DefWatch.DWH
Computer: KRD28
User: система
Action taken: Pending Side Effects Analysis : Access denied
Date found: 22 апреля 2015 г. 4:56:28

Scan type: Auto-Protect Scan
Event: Risk Found!
Security risk detected: Trojan.Gen.2
File: C:\ProgramData\Symantec\DefWatch.DWH\dwhd434.exe
Location: C:\ProgramData\Symantec\DefWatch.DWH
Computer: KRD28
User: система
Action taken: Pending Side Effects Analysis : Access denied
Date found: 22 апреля 2015 г. 4:56:40

и так далее...

насколько я понимаю его лог, symantec ругается на собственный файл :biggrin: , причём гугол говорит, что такая бага в нём есть с 2013 года :o .

в общем если есть желание с этим разобраться, то писать в тех. поддержку симантека.

если бы эта "ругань" появилась до начала борьбы с хламом, я бы может и не запаниковал, но такое сообщение у меня впервые, симантек используется с 12 года

berligostr, это связано с обновлением баз антивируса. Вы же сами по логу видите, что угрозу он видит в собственном файле. Так это в тех. поддержку антивируса.
Исправят, также наверно с обновлением баз антивируса.

Навсякий случай проверьте любой из файлов на который симантек ругается на вирустотал и дайте здесь ссылку.