скрытый вирус грузит ЦП на 100, при открытии диспетчера все проходит

mnnmnmmn@vk · Отправлено: **02:13, 20-10-2017** | #2

через монитор ресурсов увидел что при закрытии диспетчера зада,цп начинают грузить два одинаковых файла windir.exe только при открытии закрытии диспетчера id их постоянно меняются

Sandor · Отправлено: **08:34, 20-10-2017** | #3

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\ProgramData\System32\Logs\servise.exe');
 TerminateProcessByName('C:\ProgramData\WindowsTask\windir.exe');
 TerminateProcessByName('c:\users\89\appdata\local\temp\csrss\proxy\tor\tor.exe');
 TerminateProcessByName('c:\windows\system32\hale.exe');
 TerminateProcessByName('C:\Windows\Temp\g5E36.tmp.exe');
 StopService('TCPSvc');
 QuarantineFile('C:\Program Files\ATI\AUJQAJHRTR\VEQWCAAREP.exe', '');
 QuarantineFile('C:\ProgramData\0036458fe7674c3f83c9c2ac15fb886e\chipset.exe', '');
 QuarantineFile('C:\ProgramData\91d21502ed034ab1bb7e9a98d54adb01\chipset.exe', '');
 QuarantineFile('C:\ProgramData\91d21502ed034ab1bb7e9a98d54adb01\PTEPRESOCG.exe', '');
 QuarantineFile('C:\ProgramData\System32\Logs\servise.exe', '');
 QuarantineFile('C:\ProgramData\WindowsTask\windir.exe', '');
 QuarantineFile('C:\Users\89\AppData\Local\081a1314444b49a09887f95e4b5d337f\chipset.exe', '');
 QuarantineFile('C:\Users\89\AppData\Local\446b880b69e4463b95537f57d66df96c\chipset.exe', '');
 QuarantineFile('c:\users\89\appdata\local\temp\csrss\proxy\tor\tor.exe', '');
 QuarantineFile('C:\Users\89\AppData\Local\Temp\e3ddad81fdf84a01999deecb3988e8cd\chipset.exe', '');
 QuarantineFile('C:\Users\89\AppData\Roaming\3a04a4f8800646f2b6f10c4d794bbfcd\chipset.exe', '');
 QuarantineFile('C:\Users\89\AppData\Roaming\4abcd95c65c640c9a0cb08be7bff222d\chipset.exe', '');
 QuarantineFile('C:\Users\89\AppData\Roaming\6124773a27944022b717bd3d0c10d5df\chipset.exe', '');
 QuarantineFile('C:\Users\89\AppData\Roaming\dc6d8a7569d74a929573fa8d76baf1a5\chipset.exe', '');
 QuarantineFile('c:\windows\system32\hale.exe', '');
 QuarantineFile('C:\Windows\Temp\g5E36.tmp.exe', '');
 DeleteFile('C:\Program Files\ATI\AUJQAJHRTR\VEQWCAAREP.exe', '32');
 DeleteFile('C:\ProgramData\0036458fe7674c3f83c9c2ac15fb886e\chipset.exe', '32');
 DeleteFile('C:\ProgramData\91d21502ed034ab1bb7e9a98d54adb01\chipset.exe', '32');
 DeleteFile('C:\ProgramData\91d21502ed034ab1bb7e9a98d54adb01\PTEPRESOCG.exe', '32');
 DeleteFile('C:\ProgramData\System32\Logs\servise.exe', '32');
 DeleteFile('C:\ProgramData\WindowsTask\windir.exe', '32');
 DeleteFile('C:\Users\89\AppData\Local\081a1314444b49a09887f95e4b5d337f\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Local\446b880b69e4463b95537f57d66df96c\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Local\f455f3647c6f402a8e60bb66c44e6f51\chipset.exe', '32');
 DeleteFile('c:\users\89\appdata\local\temp\csrss\proxy\tor\tor.exe', '32');
 DeleteFile('C:\Users\89\AppData\Local\Temp\e3ddad81fdf84a01999deecb3988e8cd\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Roaming\3a04a4f8800646f2b6f10c4d794bbfcd\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Roaming\4abcd95c65c640c9a0cb08be7bff222d\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Roaming\6124773a27944022b717bd3d0c10d5df\chipset.exe', '32');
 DeleteFile('C:\Users\89\AppData\Roaming\dc6d8a7569d74a929573fa8d76baf1a5\chipset.exe', '32');
 DeleteFile('c:\windows\system32\hale.exe', '32');
 DeleteFile('C:\Windows\Temp\g5E36.tmp.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_BZ" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_CA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_HH" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_LH" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_NX" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_SU" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_TG" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_UP" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_VO" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_WT" /F', 0, 15000, true);
 DeleteService('TCPSvc');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'oypllaplep');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PTEPRESOCG.exe');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'service');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'VEQWCAAREP.exe');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

mnnmnmmn@vk · CollectionLog-2017.10.20-13.09.zip

цп больше не грузит, вроде все прошло) спасибище)

Sandor · Отправлено: **13:35, 20-10-2017** | #5

Не спешите.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('C:\Windows\Temp\gE475.tmp.exe');
 QuarantineFile('C:\Windows\Temp\gE475.tmp.exe', '');
 DeleteFile('C:\Windows\Temp\gE475.tmp.exe', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

mnnmnmmn@vk · Отправлено: **14:11, 20-10-2017** | #6

сначала комп не хотел запускать адвклинер, писало заблокировано в целях защиты, в панели усправления в редакторе локальной груповой политики разрешил, и запустилось от имени адменистратора

mnnmnmmn@vk · Отправлено: **14:17, 20-10-2017** | #7

при загрузке ноута заметил что в самом начале выскакивает выбор что запустить(вин7 и еще какието 2 строки для выбора) не успел прочесть по тому что появляется на мгновенье и резко исчерает

Sandor · Отправлено: **14:21, 20-10-2017** | #8

1.

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Файл Hosts
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

mnnmnmmn@vk · Отправлено: **14:32, 20-10-2017** | #9

файл Shortcut.txt не создался

Sandor · Отправлено: **14:43, 20-10-2017** | #10

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

SafeFinder

Secure Driver Updater - если не самостоятельно ставили, тоже удалите.

Затем:

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
AppInit_DLLs: C:\ProgramData\Subair\Namhold.dll => No File
AppInit_DLLs-x32: C:\ProgramData\Subair\Damdax.dll => No File
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
Hosts:
SearchScopes: HKU\S-1-5-21-2765936551-2667526510-2789033726-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BFA5E264E-5037-4127-8C65-CDB4E152BEB4%7D&gp=811014
Toolbar: HKU\S-1-5-21-2765936551-2667526510-2789033726-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=8CE40919BE8D398C4FA77CD13385524E&utm_d=20171016
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7B3BDEA89A-F9D6-4A59-ADBD-2850BADC7377%7D&gp=811014
FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Subairs\ff.NT
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\89\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-10-17]
FF Extension: (Поиск@Mail.Ru) - C:\Users\89\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-10-17]
FF Extension: (Пульт) - C:\Users\89\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-10-17]
C:\Users\89\AppData\Local\Google\Chrome\User Data\Default\Extensions\knmnopfmccchnnfdoiddbihbcboeedll
C:\Users\89\AppData\Roaming\Opera Software\Opera Stable\Extensions\llkfnldljepopholdohmfjjlofppajii
2017-10-19 00:00 - 2017-10-20 00:00 - 000000000 ____D C:\Users\Все пользователи\0036458fe7674c3f83c9c2ac15fb886e
2017-10-19 00:00 - 2017-10-20 00:00 - 000000000 ____D C:\ProgramData\0036458fe7674c3f83c9c2ac15fb886e
2017-10-19 00:00 - 2017-10-19 00:00 - 000000000 ____D C:\Users\89\AppData\Roaming\6124773a27944022b717bd3d0c10d5df
2017-10-19 00:00 - 2017-10-19 00:00 - 000000000 ____D C:\Users\89\AppData\Roaming\4abcd95c65c640c9a0cb08be7bff222d
2017-10-19 00:00 - 2017-10-19 00:00 - 000000000 ____D C:\Users\89\AppData\Local\f455f3647c6f402a8e60bb66c44e6f51
2017-10-19 00:00 - 2017-10-19 00:00 - 000000000 ____D C:\Users\89\AppData\Local\081a1314444b49a09887f95e4b5d337f
2017-10-17 00:49 - 2017-10-20 12:58 - 000000000 ____D C:\Users\89\AppData\Roaming\dc6d8a7569d74a929573fa8d76baf1a5
2017-10-17 00:49 - 2017-10-20 12:58 - 000000000 ____D C:\Users\89\AppData\Roaming\3a04a4f8800646f2b6f10c4d794bbfcd
2017-10-17 00:49 - 2017-10-18 00:00 - 000000000 ____D C:\Users\89\AppData\Local\446b880b69e4463b95537f57d66df96c
2017-10-16 23:17 - 2017-10-20 12:58 - 000000000 ____D C:\Users\Все пользователи\WindowsTask
2017-10-16 23:17 - 2017-10-20 12:58 - 000000000 ____D C:\ProgramData\WindowsTask
2017-10-16 23:17 - 2017-10-17 14:58 - 000000000 ____D C:\Users\Все пользователи\temps
2017-10-16 23:17 - 2017-10-17 14:58 - 000000000 ____D C:\ProgramData\temps
Task: {4E82B1D1-73AC-4900-BA31-4DCAEBF8E1AC} - System32\Tasks\SHAlph => C:\Windows\system32\rundll32.exe "C:\Program Files\SHAlph\SHAlph.dll",QdbtVVGvNL <==== ATTENTION
FirewallRules: [{84D73AFC-4CFE-4CDB-B67A-F82B9404A084}] => (Allow) C:\Users\89\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{649C1069-725D-464B-B413-3CB1A8332AD5}] => (Allow) C:\Users\89\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{3E7D094E-A0DD-4FDA-9574-F3ED8DFB4BDD}] => (Allow) C:\Program Files\UBar\ubar.exe
FirewallRules: [{93CAA842-3B3E-43C6-B1A0-90433BD42259}] => (Allow) C:\Windows\rss\csrss.exe
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.