Приветствую уважаемых коллег!
Компьютеру ребенка два года. К сожалению, он (ПК) от рождения тугодум. Тем не менее, удовлетворительно проработал год под присмотром защитного пакета KIS. После того, как забыли вовремя продлить лицензию, начались проблемы. В основном, это касается браузера и почтового клиента. В браузере очень медленно открываются вкладки, при клике на пустом месте какого-нибудь сайта может открыться посторонняя вкладка или даже новое окно, а вот открытие нужных ссылок зачастую блокируется. Почта тоже работает нестабильно, часто зависая. Вообще, зависают практически все программы. Перед данным обращением на форум выполнено обновление Windows 10 методом восстановления поверх. Все указанные проблемы остались. Прошу помощи знатоков в восстановлении работоспособности компьютера. Логи прилагаю.

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):begin
TerminateProcessByName('c:\program files (x86)\premieropinion\pmropn.exe');
TerminateProcessByName('c:\progra~2\premie~1\pmropn32.exe');
TerminateProcessByName('C:\PROGRA~2\PREMIE~1\pmropn64.exe');
TerminateProcessByName('c:\program files (x86)\premieropinion\pmservice.exe');
StopService('PremierOpinion');
QuarantineFile('c:\program files (x86)\premieropinion\pmropn.exe', '');
QuarantineFile('c:\progra~2\premie~1\pmropn32.exe', '');
QuarantineFile('C:\PROGRA~2\PREMIE~1\pmropn64.exe', '');
QuarantineFile('c:\program files (x86)\premieropinion\pmservice.exe', '');
QuarantineFile('C:\Users\27972\AppData\Local\UpdateAdmin\UpdateAdmin.exe', '');
QuarantineFile('C:\Program Files (x86)\TNT2\2.0.0.1995\ietoolbar.dll', '');
QuarantineFile('C:\PROGRA~3\247c4a81\501d95ee.dll', '');
DeleteFile('c:\program files (x86)\premieropinion\pmropn.exe', '32');
DeleteFile('c:\progra~2\premie~1\pmropn32.exe', '32');
DeleteFile('C:\PROGRA~2\PREMIE~1\pmropn64.exe', '32');
DeleteFile('c:\program files (x86)\premieropinion\pmservice.exe', '32');
DeleteFile('C:\Users\27972\AppData\Local\UpdateAdmin\UpdateAdmin.exe', '32');
DeleteFile('C:\Program Files (x86)\TNT2\2.0.0.1995\ietoolbar.dll', '32');
DeleteFile('C:\PROGRA~3\247c4a81\501d95ee.dll', '32');
DeleteService('PremierOpinion');
DeleteFileMask('c:\program files (x86)\premieropinion', '*', true);
DeleteFileMask('c:\progra~2\premie~1', '*', true);
DeleteFileMask('c:\users\27972\appdata\local\updateadmin', '*', true);
DeleteFileMask('c:\program files (x86)\tnt2', '*', true);
DeleteFileMask('c:\progra~3\247c4a81', '*', true);
DeleteDirectory('c:\program files (x86)\premieropinion');
DeleteDirectory('c:\progra~2\premie~1');
DeleteDirectory('c:\users\27972\appdata\local\updateadmin');
DeleteDirectory('c:\program files (x86)\tnt2');
DeleteDirectory('c:\progra~3\247c4a81');
DelBHO('{898E8883-5181-4959-B230-E3C01F807653}');
ExecuteFile('schtasks.exe', '/delete /TN "UpdateAdmin" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{80EA4C6E-2102-0680-9C6D-7FDB0796CD2B}" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'UpdateAdmin');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK (http://www.oszone.net/go.php?url=http://safezone.cc/resources/102/). Отчёт о работе прикрепите.

Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Спасибо, 11-ый, за ответ. Ваши инструкции выполнил.

Файл quarantine.zip отослан с помощью формы.

Отчет о работе ClearLNK и логи прикрепляю.

PS: запутался в логах ClearLNK: если судить по времени создания файла, то нужно прикрепить верхний, если по сути - нижний. Прошу прощения.

Сделайте лог Farbar Recovery Scan Tool (http://safezone.cc/threads/kak-podgotovit-log-farbar-recovery-scan-tool.17759/).

Выполнено. Файлы FRST.txt, Additional.txt прикреплены.

Файл Shortcut.txt из-за превышения лимита на внешнем источнике:
https://yadi.sk/d/nkzxjtsOt3CoB

Удалите программы:

eShield Browser Security
FlvPlayer
DNSUnlocker

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:CreateRestorePoint:
Tcpip\..\Interfaces\{1db4209b-00a7-4763-a63f-6d8371fb4ac5}: [NameServer] 82.163.142.7 95.211.158.134
SearchScopes: HKU\S-1-5-21-2825347086-2981257662-4213469737-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.eshield.com/serp?guid={1ED4791B-A481-4AE8-89EE-AF6F81FDEFAD}&action=default_search&k={searchTerms}
SearchScopes: HKU\S-1-5-21-2825347086-2981257662-4213469737-1000 -> {5FBC36E2-AD3B-4E43-A2BC-E81DD96FE970} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11467
SearchScopes: HKU\S-1-5-21-2825347086-2981257662-4213469737-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=custom2
Toolbar: HKLM - eShield - {898E8883-5181-4959-B230-E3C01F807653} - C:\Program Files (x86)\TNT2\2.0.0.1995\IEToolbar64.dll No File
FF Plugin HKU\S-1-5-21-2825347086-2981257662-4213469737-1000: @tnt2npapi.com/Plugin -> C:\Users\27972\AppData\Local\TNT2\2.0.0.1995\npTNT2.dll [2015-08-12] (Eshield)
FF Extension: eShield - C:\Users\27972\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\toolbar11467@esh ield.com [2015-08-12] [not signed]
FF HKLM-x32\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files (x86)\PremierOpinion\firefox => not found
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=custom2"
CHR Extension: (eShield) - C:\Users\27972\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp [2016-05-27]
CHR HKLM-x32\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mkndcbhcgphcfkkddanakjiepeknbgle] - C:\Program Files (x86)\PremierOpinion\pmcm.crx <not found>
2016-06-27 00:21 - 2016-06-27 00:21 - 00768416 _____ (Reimage) C:\Users\27972\Downloads\ReimageRepair.exe
2016-06-26 21:50 - 2016-06-26 21:50 - 00000000 ____D C:\Users\Все пользователи\db7f6d9d-75c1-0
2016-06-26 21:44 - 2016-06-26 21:44 - 00000000 ____D C:\ProgramData\db7f6d9d-02f3-0
2016-06-26 21:44 - 2016-06-26 21:44 - 00000000 ____D C:\ProgramData\{26866dc3-512c-1}
2016-06-26 21:44 - 2016-06-26 21:44 - 00000000 ____D C:\ProgramData\{09b7bbd4-712c-0}
2016-06-26 21:44 - 2016-06-26 21:44 - 00000000 ____D C:\ProgramData\{0162428d-412c-0}
2016-06-26 21:44 - 2016-05-27 00:26 - 00000000 ____D C:\ProgramData\3126b259-3dd3-1
2016-06-26 21:46 - 2016-05-27 00:26 - 00000000 ____D C:\ProgramData\3126b259-4237-0
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E1527582-8509-4011-B922-29E3FB548882}_is1" /f
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E1527582-8509-4011-B922-29E3FB548882}_is1" /f /reg:32
CustomCLSID: HKU\S-1-5-21-2825347086-2981257662-4213469737-1000_Classes\CLSID\{898E8883-5181-4959-B230-E3C01F807653}\InprocServer32 -> C:\Program Files (x86)\TNT2\2.0.0.1995\IEToolbar64.dll => No File
Task: {04286734-0F4D-43E1-BE2A-CF0B7DD01ED6} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {0AAC9C26-4AAF-4C4D-B90D-2489D61714ED} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {0B7BBD80-430A-476D-B678-8EDDCA121BA9} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {12B838E5-C1C1-4EA9-8535-D6935A0C9E94} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {1BCAB131-35CA-4C39-8B40-A2098BB4F383} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {207D6D67-D876-4965-9483-CAC6E342D97E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {4506E1FD-1940-479E-9FE8-5696BE4EF939} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {459AFBDA-EC2E-482F-BD05-02DD7F03E868} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {90887EF0-1C10-43DD-81D9-03145CBEF6FF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {BF49698C-208E-4ADA-9D68-596C02EFE74B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {EB591647-3C8C-420B-B1CB-C991F132BDC5} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {F500A4D5-360F-4335-8DCF-7186F3402AE8} - System32\Tasks\DNSPLUM => dnsplum.exe <==== ATTENTION
FirewallRules: [{867E74C6-BA1E-496C-9941-3EEAAE6A9635}] => (Allow) C:\Users\27972\AppData\Local\TNT2\2.0.0.1995\TNT2User.exe
FirewallRules: [{53A4E74B-F476-4903-A7D6-02B5FCCE3A40}] => (Allow) C:\Program Files (x86)\PremierOpinion\pmropn.exe
FirewallRules: [{A6656C16-9533-45E2-84B2-0D8BFDFFE242}] => (Allow) C:\Program Files (x86)\PremierOpinion\pmropn.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UpdateAdmin
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PremierOpinion
C:\Users\27972\AppData\Local\TNT2
CMD: ipconfig /flushdns
EmptyTemp:
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

Уточните, пож-ста, удаление трех вышеуказанных программ это отдельное задание для меня или это делает FRST согласно присланному вами коду?

удаление трех вышеуказанных программ это отдельное задание для меня »
Отдельное задание. Вы должно самостоятельно удалить их через установку и удаление программ.

+ уточните, пожалуйста, если кликнуть на ярлык
C:\Users\27972\Links\Яндекс.Диск.lnk
Яндекс Диск открывается?

+
Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.


архив Report.7z из папки с AutoLogger пожалуйста прикрепите к своему сообщению.

1. Все три программы удалены штатными средствами Win10.

2. FRST>Fix - выполнено, отчет прикреплен.

3. Проверен ярлык Яндекс-Диска - работает, папка Яндекс-Диска открывается. Сам Яндекс-Диск открывается кликом по ярлыку в системном трее.

4. AVZ - скрипт выполнен, отчет прикреплен.

Основная проблема ушла - посторонние вкладки и окна Яндекс-браузера больше не открываются. Тормоза тоже ушли, браузер работает значительно быстрей.

Пожалуйста, чтобы бы могли улучшить свои утилиты, посмотрите файл
C:\Users\27972\Documents\Автосборщик логов\AutoLogger\HijackThis\HiJackThis.log
Есть? Если да, то пришлите его.

+ - выполните такой скрипт в AVZ

begin
ClearQuarantineEx(true);
QuarantineFile('C:\Users\27972\Links\Яндекс.Диск.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'yandex_lnk.zip');
end.


- Файл "yandex_lnk.zip" также прикрепите к сообщению.

Не уверен, что вам понравится моя инициатива, но я специально сделал лог HijackThis - прикреплен.

Прикреплен также отчет AVZ. Что касается yandex_lnk.zip, такой файл не обнаружен.

папку C:\FRST удалите.

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения (http://safezone.cc/threads/16715/).


Просьба только тему не забрасывать. Может ещё что-то попросим проверить.
И когда AutoLogger-ом логи собирали никаких ошибок не выскакивало?

+ Пожалуйста, заново скачайте AutoLogger, соберите логи свежим AutoLogger-ом и прикрепите свежий CollectionLog.

Просьба только тему не забрасывать. Может ещё что-то попросим проверить. »
Ни в коем случае не заброшу. К сожалению, в течение ближайшей недели у меня не будет доступа к зараженному компьютеру, но дальше обязательно продолжим. Зловред вверг меня в такое глубокое уныние, что желание во всем хорошенько разобраться велико. На собственном рабочем ПК у меня защитный пакет Kaspersky Crystal, поэтому никаких проблем никогда не наблюдалось, а вот за этим компом в другом городе не уследил. Так что, прошу извинить меня за вынужденный перерыв.