После установки "русификатора" вирусы берутся из ниоткуда
 

Всем приветы. Уважаемые, выручайте. Решил долго не затягивать, рассчитывая только на собственные силы, сразу попрошу ваших советов.
Запустил "русификатор", проигнорировав подозрительную информацию от UAC (да простит меня Вадим :sorry: ), и понеслось... Кое что Panda сразу же пресекла, но, судя по всему, осталась большая куча мусора, которая периодически даёт о себе знать. Никаких СМС-троянов нет, но сначала была явная проблема с браузерами (как минимум с одной "оперой"): иногда открывалось новое окно (не вкладка, а именно в новом окне) при переходе на некоторые ссылки и при наведении курсора на картинки они разворачивались обратной стороной (как рекламные стенды на улице, по типу жалюзей). Я прошёл всё той же "пандой" несколько раз весь системный раздел, критические зоны, потом просканировал весь компьютер. Было найдено и удалено несколько файлов, в общей сложности не больше десяти. Вроде, всё прошло, но только что я проснулся (компьютер был включен, я его не выключал) и увидел очередной "звоночек": https://snap.ashampoo.com/ddJjTgR8 Сразу же прошёлся ещё раз антивирусом и в очередной раз было найдено и удалено 2 файла: https://snap.ashampoo.com/wNrOek7g (информация о файле: http://www.pandasecurity.com/ukraine...IDVIRUS=195131, https://snap.ashampoo.com/tCbHGFQA.
Странно, что замечены cookie-файлы в папках Edge, но пользуюсь я в основном сейчас "оперой" и окна открывает она.
Подскажите, откуда лучше копать, стоит ли чистить всю папку Temp, cookie браузеров?
P. S. Снова замечены открытые новые окна браузера.
P. P. S. Так же была такая ситуация: я выключил компьютер, вентиляторы выключились и через секунду-две он включился.
Проверка Kaspersky VRT: https://snap.ashampoo.com/1ID8eH0d Это вирусы или нет? Не пойму.
Обнаружено ещё два процесса, ведущие по следующим IP:
DDCD.tmp.exe http://snap.ashampoo.com/wJuobCcR
BCA9.tmp.exe https://snap.ashampoo.com/UiD2m020
"Веселье" продолжается: https://snap.ashampoo.com/Db56Gsyu

regist, "да" ни к чему не привело (точнее, отправило на страницу Trend Micro), "нет" зависает на этом моменте. Процесс оказался немного затяжным.
Отчёт AutoLogger

Было куча рекламы в "опере": всплывающие "сообщения вконтакте" на любых сайтах и кучи флешей с рекламой. Поискал файлы и папки по времени, удалил всё подозрительное вручную, вроде, помогло.
Конкретно в "опере" скрипты лежали здесь.

Присоедините к сообщению архив с логом. Не у всех есть возможность скачивать с файлообменника. И нужен только CollectionLog , не нужно архивировать и присоединять все утилиты из автосборщика логов.

+

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, подробнее здесь . Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt

iskander-k, .txt нет https://snap.ashampoo.com/30vapnFY

1) по логу ошибки не видно, что делали, что ошибка появлялась, либо что сделали, что сделали что она ушла?
При запуске из автологера ошибка вообще не должна была выводиться (запускается в силент режиме и ошибка просто пишется в лог).

2)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

3) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Там вопрос какой-то был. Ошибок не было, просто долго шёл сам процесс реакции на нажатие, как я понял.
Минут 30 уже такое окно. Это нормально? Всё, понял.
AVZ нестабилен.

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


По MBAM деинсталируйте установленную у вас версию. Потом

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.

regist, он обновляется до 2.2.0 вместе с базами без возможности отменить это.

Установите версию скачанную по ссылке регист , установите , когда появится сообщение , что последняя версия ПО загружено и готово к установке , нажмите отмена , появится еще одно окно где будет показана загрузка обновления , дождитесь и появится сообщение что база версии 2013.*** успешно обновлена до версии 2016 **** и все . делайте лог если в директории лог не появляется повторите сканирование и результат скопируйте в блокнот .

iskander-k, понял, спасибо. Вроде, ничего опасного не наблюдаю, появляется только вот такой процесс, по-моему, это связано с софтом Ashampoo, но я не уверен, поэтому в карантине лежат два таких экзешника. Можно ли их признавать безвредными?

Мусор из корзины выбросьте.

+ удалите
проблема решена?

regist, в браузерах проблема решена давно, но вот это ещё вызывает у меня сомнения. Можно ли как-то узнать, что запускает этот процесс? И связан ли он с этими файлами?

Обычно в папке темр лежат временные файлы, легальные программы с папки темр не работают, из легала в этой папке могут быть временные файлы использованные для настройки или удаления ПО или версии установщика , или антивирусных сканеров и отработав они больше оттуда не запускаются. Если из папки темр постоянно висит какой-то процесс то скорее всего это может быть вирус.

Некоторые программы для скриншотов могут там сохранять изображения и т.д

Судя по всему, APC.exe был таки каким-то вредоносным, но не мог запустить BCA9.temp.exe и DDCD.tmp.exe т. к. эти файлы в карантине.
Вот результат его проверки на VirusTotal, добавил в карантин и его и после старта ОС пока ошибка не наблюдается. В свою очередь, DDCD.tmp.exe был скачан отсюда. Время их создания/скачивания совпадает с временем заражения.
Пока не понимаю одного: что запускало APC.exe? Не мог же он сам из Temp запускаться?