Здравствуйте, добавлю инфо того, чего нет в логах, о ОС и оборудовании:

- ОС установленная 20.08.2014 года (до недавнего момента работала нормально);
- Работаю под встроенной учетной записью администратора. (Знаю, что глупо, раньше надоедал запрос на выполнение от имени администратора, так и привык работать во встроенной учетке чтобы было - без запросов);
- Антивирусных программ не установлено;
- В ноутбуке 2 жестких диска и два раздела:
1-й ssd – диск С под Windows.(С:\)
2-й SATA под остальные файлы.(D:\)

Предпосылки к проблеме начались после установки и удалении игры GTA 5. Каждый раз после установки какой – либо программы захожу в AnVir Task Manager проверяю автозагрузку и процессы. Удалял GTA 5 и связанные с ней программы программой Revo Uninstaller pro c подчисткой остаточных файлов и очисткой реестра.

Проблемы:

1) Когда ирга была установленная, пропала языковая панель. Восстановить не получалось, никакими методами. После удаления игры, помогло добавление ключа в реестр. Но и после этого бывает мигает (пропадет на 2 сек. и снова появляется).

2) Файл: steamwebhelper.exe (Клиент стим устанавливался с игрой) – не удаляется с автозагрузки и как не чистил разные папки и реестр, ничего не помогло. (Заново установить и удалить не пробовал).

3) Основная проблема, появление Файлов: windowsmngr.exe и win32.exe. Кажется после обновления Remote Manipulator System поверял автозагрузку и процессы в AnVir Task Manager, и заметил два новых файла, которые пытаются добавится в автозагрузку: windowsmngr.exe и win32.exe. Раньше их я не видел.
Файл - windowsmngr.exe в папке - C:\Temp - после удаления возвращается. Удаление процесса скидывает систему в BSoD, с автозагрузки и с реестра не помогает, через безопасный режим тоже самое.
Dr.Web CureIt(новая версия) видит их ка backdoor, при удалении с процессов или же доктором вебом пролечить, переименовать, удалить - win32.exe – скидает систему в BSoD c ошибкой: «0x000000f4 (0x0000000000000003, 0xfffffa8006dd7b30, 0xfffffa8006dd7e10, 0xfffff800041e5db0)»
Последнее что пробовал установить программу SpyHunter_4.17.6.4336 для удаления Backdoor:MSIL/Bladabindi, но при запуске установочного файла система летит в BSoD

(В архив с логами добавил 5 скриншотов, отчеты Dr.Web и скриншоты с AnVir Task Manager)
Заранее большое спасибо!

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в AVZ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\temp\windowsmngr.exe');
QuarantineFile('C:\Program Files (x86)\Large\server.exe','');
QuarantineFile('C:\Users\Администратор\AppData\Local\Microsoft\Windows\toolbar.exe','');
QuarantineFile('c:\program files (x86)\kingsoft\kingsoft antivirus\security\kxescan\kdhacker64.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','');
QuarantineFile('c:\temp\windowsmngr.exe', '');
QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\db250d80da4978d1a89efebbd1c48ecf.exe', '');
QuarantineFile('C:\Windows\SysWOW64\Windows Services\win32.exe', '');
DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
DeleteFile('c:\program files (x86)\kingsoft\kingsoft antivirus\security\kxescan\kdhacker64.sys','32');
DeleteFile('C:\Users\Администратор\AppData\Local\Microsoft\Windows\toolbar.exe','32');
DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
DeleteFile('C:\Program Files (x86)\Large\server.exe','32');
DeleteFile('c:\temp\windowsmngr.exe', '32');
DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\db250d80da4978d1a89efebbd1c48ecf.exe', '32');
DeleteFile('C:\Windows\SysWOW64\Windows Services\win32.exe', '32');
DelCLSID('{MB3JKSW-Y883-WE0K-IY6U-SL6N6I178}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run ','Policies');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run' ,'Policies');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','db250d80da4978d 1a89efebbd1c48ecf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','db250d80da4978d1 a89efebbd1c48ecf');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
DeleteService('KDHacker');
DeleteService('BAPIDRV');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(9);
ExecuteRepair(22);
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.



Компьютер перезагрузится.


Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (http://forum.oszone.net/post-1430293-2.html) (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1416598815&from=free&uid=ADATAXSP900_2E2220006891
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?un_449343_1583
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1416598815&from=free&uid=ADATAXSP900_2E2220006891
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1416598815&from=free&uid=ADATAXSP900_2E2220006891&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1416598815&from=free&uid=ADATAXSP900_2E2220006891&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?un_449343_1583
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8896;https=127.0.0.1:8896
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O9 - Extra button: &Naycaiiua caiaoee OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)
O9 - Extra 'Tools' menuitem: &Naycaiiua caiaoee OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)





Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

Не могу выполнить скрипт в AVZ: система сразу уходит в BSoD. Не установленная ни одна с Антивирусных программ.

Код ошибки в BSod c включенным брандмауэром, stop: 0x000000F4 (0x0000000000000003, 0xFFFFFA8007CAB060, 0xFFFFFA8007CAB340, 0xFFFFF800041CEDB0).

Код ошибки в BSod c отключенным брандмауэром, stop: 0x000000F4 (0x0000000000000003, 0xFFFFFA800B9DBB30, 0xFFFFFA800B9DBE10, 0xFFFFF800041DADB0).

Попробуйте выполнить скрипт из безопасного режима, если опять не получится то переходите сразу к созданию лога AdwCleaner (by Xplode).

Файл quarantine.zip из папки с распакованной утилитой AVZ отправил.

Профиксил 3 файла в HijackThis:
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O9 - Extra button: &Naycaiiua caiaoee OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)
O9 - Extra 'Tools' menuitem: &Naycaiiua caiaoee OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)

Лог hijackthis.log - прилагаю.
Отчет AdwCleaner - AdwCleaner[R0].txt прилагаю.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157088).

Отчет AdwCleaner - AdwCleaner[S0].txt прилагаю.

Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

+
Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Удалить).
Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157905).

После очистки AdwCleaner два проблемных процесса с п. 3) Основная проблема - убрались.

прилагаю новый лог.

Это все, что нужно сделать или же еще нужно будет пофиксить строки в HiJackThis, после того как хелперы проведут анализ лога и дадут необходимые рекомендации по фиксу?

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

отчеты FRST.txt, Addition.txt, Shortcut.txt в архиве.

что делать, если объем вложений превышает допущенный объем?

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
start
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1045678912-724783471-634780572-500\...\Winlogon: [Shell] explorer.exe,"C:\Windows\SysWOW64\Windows Services\win32.exe" <==== ATTENTION
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-1045678912-724783471-634780572-500 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
FF Plugin: @iqiyi.com/npclient -> D:\IQIYI Video\LStyle\npclient.dll No File
FF Plugin: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin-x32: @iqiyi.com/npclient -> D:\IQIYI Video\LStyle\npclient.dll No File
FF Plugin-x32: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin-x32: @kingsfot.com/npkws -> c:\program files (x86)\kingsoft\kingsoft antivirus\npkws.dll No File
FF Plugin HKU\S-1-5-21-1045678912-724783471-634780572-500: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\42gum68x.default\extens ions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}.xpi [not found]
FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\42gum68x.default\extens ions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}.xpi [not found]
FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\42gum68x.default\extens ions\yasearch@yandex.ru [not found]
FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\42gum68x.default\extens ions\vb@yandex.ru [not found]
FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\42gum68x.default\extensions\{95778f0 c-827d-4aba-b416-f07dd840fd6a} [not found]
FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [not found]
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-12]
CHR HKLM-x32\...\Chrome\Extension: [bkjpmnbenanmfadohbgmenmdgjfanlpc] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nbmnllhadpgckepmjpeekfcfhhfbfmcm] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

Профиксил

что с проблемой?

Проблема исчезла еще в 9 сообщении - "После очистки AdwCleaner два проблемных процесса с п. 3) Основная проблема - убрались."

После чего выполнял рекомендации, теперь жду чтобы мне сказали и я отмечу решенной, или чего - то еще сделать.

Для контроля еще раз повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

ссылка на архив - "CollectionLog-2015.06.02-16.28.zip"

https://drive.google.com/file/d/0B8gKvhSG1peVWVFWbDROeFV2em8/view?usp=sharing