Закрыто Левые программы

Тема в разделе "Лечение компьютерных вирусов", создана пользователем ИЛЬЯ83, 25 фев 2016.

Статус темы:
Закрыта.
  1. ИЛЬЯ83
    Оффлайн

    ИЛЬЯ83 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Всем доброе время суток. Я новичок, прошу не судить строго, если в чем то допущу ошибку. Суть проблемы такова, в браузере хром, постоянно открывается реклама в нижнем левом углу, убрать которую можно лишь открыв ее, что уже злит, так как очень мешает. Так же открываются страницы произвольно браузера Интернет Эксплорер. И третье, загружаются иногда не понятно откуда левые программы, тобишь утилиты. Например MPS с какими то иероглифами, удалить которую было целое дело. Выручайте пожалуйста.!!
     

    Вложения:

  2. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    ИЛЬЯ83, через панель управления удалите следующее ПО:
    Код (Text):
    WebSecurity Extension version 9.35
    следующее ПО вам знакомо?
    Код (Text):
    doPDF
    doPDF 8
    IconHandler 32 bit
    MetaTrader 4
    SocialAdverts for Google Chrome
    UmmyVideoDownloader
    Unity Web Player
    VKMusic 4
    Vkmusicdownloader
    Windows Player
    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
    TerminateProcessByName('c:\program files\win_en_77\win_en_77.exe');
    TerminateProcessByName('c:\programdata\xwdmx\wdman.exe');
    TerminateProcessByName('c:\program files\sfk\ssfk.exe');
    TerminateProcessByName('c:\programdata\microsoft\windows\start menu\programs\startup\scvost.bat');
    TerminateProcessByName('c:\programdata\msiql.exe');
    StopService('WdMan');
    StopService('SSFK');
    QuarantineFileF('C:\SecurityCheck', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\noah.dat', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Main.dat', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\agent.dat', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\IndigoIs.exe', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Installer.dat', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Sparta.lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sparta\Sparta.lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gаmе - Тоtаl Dоminаtiоn.lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Gооglе Сhrоmе.lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Панель запуска приложений Сhrоmе.lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Plarium\Gаmе - Тоtаl Dоminаtiоn.lnk', '');
    QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
    QuarantineFile('C:\Users\Public\Desktop\ZaxarGameBrowser.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser\ZaxarGameBrowser.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser\ZaxarUpdate.lnk', '');
    QuarantineFile('C:\Users\Public\Desktop\Тhе Witсhеr 2.Аssаssins Оf Кings.(Лаунчер).lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\The Witcher 2.Assassins Of Kings.v 3.2.1.0 + 13 DLC\Тhе Witсhеr 2.Аssаssins Оf Кings.(Лаунчер).lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sound+ 1.0\Sound+.lnk', '');
    QuarantineFile('"C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sound+ 1.0\Uninstall.lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpaceSoundPro 1.0\SpaceSoundPro.lnk', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpaceSoundPro 1.0\Uninstall.lnk', '');
    QuarantineFileF('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sound+ 1.0', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpaceSoundPro 1.0', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Program Files\MTV20160128', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFile('C:\ProgramData\MTViewbuildmtview_316.exe', '');
    QuarantineFileF('C:\Users\Игорь\AppData\Roaming\wps', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Users\Игорь\AppData\Roaming\kingsoft', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Users\Игорь\AppData\Roaming\PriceFountain', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\ByteFence', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Users\Игорь\AppData\Roaming\sparta111', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Users\Игорь\AppData\Roaming\Tencent', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\Tencent', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFile('C:\ProgramData\HomePage.exe', '');
    QuarantineFile('C:\ProgramData\LightGate.exe', '');
    QuarantineFileF('C:\Users\Игорь\AppData\Roaming\UPUpdata', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Program Files\gmsd_ru_005010243', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Program Files\SpaceSoundPro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Program Files\ppt', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Program Files\win_en_77', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('Program Files\Sound+', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Program Files\SFK', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\XWdMX', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFile('C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat', '');
    QuarantineFileF('C:\Users\Игорь\AppData\Roaming\yoursearching', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Program Files\Windows Player', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\MFAData', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\bDiPWyj', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\iQaqIKrsW', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\riwwfMpWkS', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\ymVFbfbV', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Program Files\MPC Cleaner', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Program Files\TData', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Users\Игорь\AppData\Roaming\WindowsUpdater', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Program Files\Adobe Update', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\UpService', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\ijgROFL', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\LYFuvnDC', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\IaSnxO', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\{972DC8CA-126D-23FD-11AA-92876DD12AFD}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\{827D21CC-A22D-45D6-23CA-451DDAC769BA}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Users\Игорь\AppData\Roaming\SmartSearch', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\Program Files\c98e27a2-4712-46df-8def-f77b5d9f8832', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFile('C:\Program Files\adobe update\keepup_svc.exe', '');
    QuarantineFile('C:\Users\Игорь\appdata\local\microsoft\extensions\safebrowser.exe', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\yoursearching\UninstallManager.exe', '');
    QuarantineFile('C:\ProgramData\UpService\UpService.exe', '');
    QuarantineFile('C:\Users\Игорь\AppData\Roaming\JWRTCHX.exe', '');
    QuarantineFile('C:\ProgramData\ijgROFL\YfZTLqEdRc1.bat', '');
    QuarantineFile('C:\Program Files\Windows Mail\wabfind.dll', '');
    QuarantineFile('C:\PROGRA~1\Cryptigo\P7MVIE~1\CRYPTI~1.OCX', '');
    QuarantineFile('C:\Program Files\Tango\Tango.exe', '');
    QuarantineFile('C:\Users\Игорь\AppData\Local\storegid\storegid.exe', '');
    QuarantineFile('C:\Program Files\ppt\ppt.exe', '');
    QuarantineFile('C:\Users\Игорь\AppData\Local\profitsaver\config.json', '');
    QuarantineFile('C:\Users\Игорь\AppData\Local\profitsaver\rft_sb.exe', '');
    QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
    QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '');
    QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '');
    QuarantineFile('C:\Program Files\MTV20160128\MTView.exe', '');
    QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys', '');
    QuarantineFile('C:\Windows\System32\drivers\MPCBase.sys', '');
    QuarantineFile('C:\ProgramData\service.exe', '');
    QuarantineFile('c:\program files\win_en_77\win_en_77.exe', '');
    QuarantineFile('c:\programdata\xwdmx\wdman.exe', '');
    QuarantineFile('c:\program files\sfk\ssfk.exe', '');
    QuarantineFile('c:\programdata\microsoft\windows\start menu\programs\startup\scvost.bat', '');
    QuarantineFile('c:\programdata\msiql.exe', '');
    DeleteFile('C:\Users\Игорь\AppData\Roaming\noah.dat', '32');
    DeleteFile('C:\Users\Игорь\AppData\Roaming\Main.dat', '32');
    DeleteFile('C:\Users\Игорь\AppData\Roaming\agent.dat', '32');
    DeleteFile('C:\Users\Игорь\AppData\Roaming\IndigoIs.exe', '32');
    DeleteFile('C:\Users\Игорь\AppData\Roaming\Installer.dat', '32');
    DeleteFile('C:\ProgramData\MTViewbuildmtview_316.exe', '32');
    DeleteFile('C:\ProgramData\HomePage.exe', '32');
    DeleteFile('C:\ProgramData\LightGate.exe', '32');
    DeleteFile('C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat', '32');
    DeleteFile('c:\programdata\xwdmx\wdman.exe', '32');
    DeleteFile('c:\program files\win_en_77\win_en_77.exe', '32');
    DeleteFile('C:\Windows\System32\drivers\MPCBase.sys', '32');
    DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys', '32');
    DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17315.206\TsNetHlp.sys', '32');
    DeleteFile('C:\Program Files\MTV20160128\MTView.exe', '32');
    DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '32');
    DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32');
    DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
    DeleteFile('C:\Users\Игорь\AppData\Local\profitsaver\config.json', '32');
    DeleteFile('C:\Program Files\ppt\ppt.exe', '32');
    DeleteFile('C:\ProgramData\msiql.exe', '32');
    DeleteFile('C:\Users\Игорь\AppData\Local\storegid\storegid.exe', '32');
    DeleteFile('C:\ProgramData\service.exe', '32');
    DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\scvost.bat', '32');
    DeleteFile('C:\ProgramData\ijgROFL\YfZTLqEdRc1.bat', '32');
    DeleteFile('C:\Users\Игорь\AppData\Roaming\JWRTCHX.exe ', '32');
    DeleteFile('C:\Users\Игорь\AppData\Roaming\yoursearching\UninstallManager.exe', '32');
    DeleteFile('C:\Windows\Tasks\JWRTCHX.job', '32');
    DeleteFile('C:\Windows\system32\Tasks\{B2F31B57-3B2F-4783-8370-CEC5554AB745}', '32');
    DeleteFile('C:\Users\Игорь\appdata\local\microsoft\extensions\safebrowser.exe', '32');
    DeleteFile('C:\Users\Игорь\appdata\local\profitsaver\rft_sb.exe', '32');
    DeleteFile('C:\Program Files\sfk\ssfk.exe', '32');
    DeleteFile('C:\Program Files\adobe update\keepup_svc.exe', '32');
    DeleteService('MPCBase');
    DeleteService('MPCKpt');
    DeleteService('tsnethlp');
    DeleteService('WdMan');
    DeleteService('SSFK');
    DeleteFileMask('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser', '*', true);
    DeleteFileMask('C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sound+ 1.0', '*', true);
    DeleteFileMask('C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpaceSoundPro 1.0', '*', true);
    DeleteFileMask('C:\Program Files\MTV20160128', '*', true);
    DeleteFileMask('C:\Users\Игорь\AppData\Roaming\kingsoft', '*', true);
    DeleteFileMask('C:\Users\Игорь\AppData\Roaming\PriceFountain', '*', true);
    DeleteFileMask('C:\Users\Игорь\AppData\Roaming\sparta111', '*', true);
    DeleteFileMask('C:\Users\Игорь\AppData\Roaming\Tencent', '*', true);
    DeleteFileMask('C:\ProgramData\Tencent', '*', true);
    DeleteFileMask('C:\Users\Игорь\AppData\Roaming\UPUpdata', '*', true);
    DeleteFileMask('C:\Program Files\gmsd_ru_005010243', '*', true);
    DeleteFileMask('C:\Program Files\SpaceSoundPro', '*', true);
    DeleteFileMask('C:\Program Files\ppt', '*', true);
    DeleteFileMask('C:\Program Files\win_en_77', '*', true);
    DeleteFileMask('Program Files\Sound+', '*', true);
    DeleteFileMask('C:\Program Files\SFK', '*', true);
    DeleteFileMask('C:\ProgramData\XWdMX', '*', true);
    DeleteFileMask('C:\Users\Игорь\AppData\Roaming\yoursearching', '*', true);
    DeleteFileMask('C:\ProgramData\bDiPWyj', '*', true);
    DeleteFileMask('C:\ProgramData\iQaqIKrsW', '*', true);
    DeleteFileMask('C:\ProgramData\riwwfMpWkS', '*', true);
    DeleteFileMask('C:\ProgramData\ymVFbfbV', '*', true);
    DeleteFileMask('C:\Program Files\MPC Cleaner', '*', true);
    DeleteFileMask('C:\Program Files\TData', '*', true);
    DeleteFileMask('C:\Users\Игорь\AppData\Roaming\WindowsUpdater', '*', true);
    DeleteFileMask('C:\Program Files\Adobe Update', '*', true);
    DeleteFileMask('C:\ProgramData\UpService', '*', true);
    DeleteFileMask('C:\ProgramData\ijgROFL', '*', true);
    DeleteFileMask('C:\ProgramData\LYFuvnDC', '*', true);
    DeleteFileMask('C:\ProgramData\IaSnxO', '*', true);
    DeleteFileMask('C:\Users\Игорь\AppData\Roaming\SmartSearch', '*', true);
    DeleteDirectory('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser');
    DeleteDirectory('C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sound+ 1.0');
    DeleteDirectory('C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpaceSoundPro 1.0');
    DeleteDirectory('C:\Program Files\MTV20160128');
    DeleteDirectory('C:\Users\Игорь\AppData\Roaming\kingsoft');
    DeleteDirectory('C:\Users\Игорь\AppData\Roaming\PriceFountain');
    DeleteDirectory('C:\Users\Игорь\AppData\Roaming\sparta111');
    DeleteDirectory('C:\Users\Игорь\AppData\Roaming\Tencent');
    DeleteDirectory('C:\ProgramData\Tencent');
    DeleteDirectory('C:\Users\Игорь\AppData\Roaming\UPUpdata');
    DeleteDirectory('C:\Program Files\gmsd_ru_005010243');
    DeleteDirectory('C:\Program Files\SpaceSoundPro');
    DeleteDirectory('C:\Program Files\ppt');
    DeleteDirectory('C:\Program Files\win_en_77');
    DeleteDirectory('Program Files\Sound+');
    DeleteDirectory('C:\Program Files\SFK');
    DeleteDirectory('C:\ProgramData\XWdMX');
    DeleteDirectory('C:\Users\Игорь\AppData\Roaming\yoursearching');
    DeleteDirectory('C:\ProgramData\bDiPWyj');
    DeleteDirectory('C:\ProgramData\iQaqIKrsW');
    DeleteDirectory('C:\ProgramData\riwwfMpWkS');
    DeleteDirectory('C:\ProgramData\ymVFbfbV');
    DeleteDirectory('C:\Program Files\MPC Cleaner');
    DeleteDirectory('C:\Program Files\TData');
    DeleteDirectory('C:\Users\Игорь\AppData\Roaming\WindowsUpdater');
    DeleteDirectory('C:\Program Files\Adobe Update');
    DeleteDirectory('C:\ProgramData\UpService');
    DeleteDirectory('C:\ProgramData\ijgROFL');
    DeleteDirectory('C:\ProgramData\LYFuvnDC');
    DeleteDirectory('C:\ProgramData\IaSnxO');
    DeleteDirectory('C:\Users\Игорь\AppData\Roaming\SmartSearch');
    DelBHO('{DDC460AD-FBC5-48E7-87DB-24F006161A64}');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'win_en_77');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'apphide');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'pcmgr');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'cessrs.exe -start');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'LightGate');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'HomePageHelper');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'svc');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MTview');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'profitsaver');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'msiql');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegid', 'command');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(3);
    ExecuteRepair(4);
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  3. ИЛЬЯ83
    Оффлайн

    ИЛЬЯ83 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    WebSecurity Extension version 9.35 не удаляется, ошибка, пишет не удается разрешить имя или адрес сервера. Остальное По половина знакомо, половина нет, то что не знакомо я удалил.
    --- Объединённое сообщение, 27 фев 2016 ---
    quarantine.zip архив пустой почему то.
    --- Объединённое сообщение, 27 фев 2016 ---
    ...
     

    Вложения:

  4. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочкой также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  5. ИЛЬЯ83
    Оффлайн

    ИЛЬЯ83 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Удалял AdwCleaner-ом незадолго до обращения к вам. Прикрепляю все логи. Отчет Shortcut.txt в папке не обнаружился, хотя галочкой отмечал.
    --- Объединённое сообщение, 27 фев 2016 ---
    На данный момент, тех проблем, о которых было изложено в начале, не обнаружено! Благодарю Вас!!!
     

    Вложения:

  6. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    не торопитесь, то что внешне у вас нет проблем еще не означает что все вирусы удалены. Я посмотрю логи и дам вам дальнейшие инструкции.

    Мне нужен лог удаления AdwCleaner который получился сегодня. после зачистки. вы его не прикрепили
     
    Последнее редактирование: 27 фев 2016
  7. ИЛЬЯ83
    Оффлайн

    ИЛЬЯ83 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Хорошо, не буду) S5 прикрепленный, сегодняшний лог.
     
  8. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    ИЛЬЯ83, это файл с логом, мне нужен лог очистки, там будет не S5 а C1 например.
     
  9. ИЛЬЯ83
    Оффлайн

    ИЛЬЯ83 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Извиняюсь)
     

    Вложения:

  10. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    ваши расширения в Mozilla?
    FF Extension: TrollBar - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\exemotes@new-talk.ua [2013-12-09] [not signed]
    FF Extension: Popup Currency Converter - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{1FE48F08-A2AC-44AC-A21C-0556D91C50DA} [2014-11-15] [not signed]
    FF Extension: I Like It Extension - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{5F50F845-0528-401D-85D5-999E20B13DF5} [2014-11-26] [not signed]

    В Google Chrome ваши расширения?
    CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-07-22]

    Панель управления - Администрирование - Управление компьютером - Локальные пользователи и группы посмотрите есть ли пользователь 袗写屑懈薪懈褋褌褉邪褌芯褉 и 袠谐芯褉褜, если есть попробуйте удалить.

    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    Task: {57357C2B-8D1D-4364-8E79-DFD26C9219AF} - System32\Tasks\Microsoft\Windows\Apps\UpService => C:\ProgramData\UpService\UpService.exe <==== ATTENTION
    Task: {DC16594E-25A8-4FF5-AF17-A40BA6421050} - \{B2F31B57-3B2F-4783-8370-CEC5554AB745} -> No File <==== ATTENTION
    MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Kbupdater Utility.lnk => C:\Windows\pss\Kbupdater Utility.lnk.CommonStartup
    MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Kinoroom Browser.lnk => C:\Windows\pss\Kinoroom Browser.lnk.CommonStartup
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    CHR HKU\S-1-5-21-2888513872-2540976923-3594066660-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    SearchScopes: HKLM -> DefaultScope {ielnksrch} URL =
    Toolbar: HKU\S-1-5-21-2888513872-2540976923-3594066660-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
    Toolbar: HKU\S-1-5-21-2888513872-2540976923-3594066660-1000 -> No Name - {DDC460AD-FBC5-48E7-87DB-24F006161A64} -  No File
    FF Plugin HKU\S-1-5-21-2888513872-2540976923-3594066660-1000: @acestream.net/acestreamplugin,version=3.1.1.1 -> C:\Users\Игорь\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
    FF HKU\S-1-5-21-2888513872-2540976923-3594066660-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Игорь\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
    CHR HKLM\...\Chrome\Extension: [bopffmbifinmnkicomeofjemmnfdillm] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha6706\ch\WebexpEnhancedV1alpha6706.crx <not found>
    CHR HKLM\...\Chrome\Extension: [ecddaikfgnaeiaokinoalgmffmbbbjde] - C:\Program Files\MediaViewerV1\MediaViewerV1alpha678\ch\MediaViewerV1alpha678.crx <not found>
    CHR HKLM\...\Chrome\Extension: [ehcnghebdpbfklcdiedfoclmeaebmmin] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode6413\ch\MediaBuzzV1mode6413.crx <not found>
    CHR HKLM\...\Chrome\Extension: [flcgbcgolllamjjgnnkinclejilhnfce] - C:\Program Files\MediaViewV1\MediaViewV1alpha6055\ch\MediaViewV1alpha6055.crx <not found>
    CHR HKLM\...\Chrome\Extension: [hgejdakfkhkigocnfficjlbpicdemfhn] - C:\Program Files\RichMediaViewV1\RichMediaViewV1release2194\ch\RichMediaViewV1release2194.crx <not found>
    CHR HKLM\...\Chrome\Extension: [jlhemillcfmoojafmefjhhlambchaccl] - C:\Program Files\MediaViewV1\MediaViewV1alpha2071\ch\MediaViewV1alpha2071.crx <not found>
    CHR HKLM\...\Chrome\Extension: [miliahijiobkkolkikikpliegfdcljgo] - C:\Program Files\MediaWatchV1\MediaWatchV1home4828\ch\MediaWatchV1home4828.crx <not found>
    CHR HKLM\...\Chrome\Extension: [ndkljadnecaakfcfjfhohlfhclccmipa] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta251\ch\VideoPlayerV3beta251.crx <not found>
    S3 22134214; "C:\Windows\system32\rundll32.exe" "c:\Program Files\Super Optimizer\SupOptCrash.dll",ENT
    Folder: C:\SecurityCheck
    2016-02-25 17:18 - 2016-02-25 17:18 - 00064752 _____ C:\Users\Игорь\AppData\Roaming\Config.xml
    2016-02-25 17:18 - 2016-02-25 17:18 - 00005568 _____ C:\Users\Игорь\AppData\Roaming\md.xml
    2016-02-25 17:17 - 2016-02-25 17:17 - 00011424 _____ C:\Users\Игорь\AppData\Roaming\InstallationConfiguration.xml
    Folder: C:\Users\Администратор\AppData\Roaming\CrystalIdea Software
    Folder: C:\Users\Игорь\AppData\Roaming\wps
    Folder: C:\Users\Игорь\AppData\Local\kingsoft
    2016-02-20 14:40 - 2016-02-20 14:40 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\LightGate
    2016-02-20 14:40 - 2016-02-20 14:40 - 00000000 ____D C:\Users\Администратор\AppData\Local\win_en_77
    Folder: C:\Users\Игорь\AppData\Local\Sparta
    Folder: C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sparta
    2016-02-20 10:56 - 2016-02-20 10:56 - 00000000 ____D C:\Users\Игорь\AppData\Local\win_en_77
    2016-02-27 10:20 - 2016-01-20 12:15 - 00000000 ____D C:\Program Files\Adobe Update
    2016-02-27 10:05 - 2013-11-20 12:47 - 00000000 ____D C:\Users\Игорь\AppData\LocalLow\Unity
    2016-02-27 10:05 - 2013-11-20 12:47 - 00000000 ____D C:\Users\Игорь\AppData\Local\Unity
    2015-02-09 15:12 - 2015-02-09 15:12 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
    2015-01-25 20:12 - 2015-01-25 20:12 - 0001248 _____ () C:\Users\Игорь\AppData\Roaming\JWRTCHX
    Folder: C:\Users\Игорь\AppData\Local\{0D52B27B-713E-4783-B185-E2648C533ED2}
    Folder: C:\Users\Игорь\AppData\Local\{441BF632-74CD-4DF0-811C-EA238FCDB9F2}
    Folder: C:\Users\Игорь\AppData\Local\{76151491-09FC-4351-9F3F-2496901AC761}
    Folder: C:\Users\Игорь\AppData\Local\{813ED357-CEA1-42EC-92BC-B9C4FFBB6022}
    Folder: C:\Users\Игорь\AppData\Local\{976E74D1-5DF6-45C0-A486-6CCE793A4D2C}
    Folder: C:\Users\Игорь\AppData\Local\{CB871542-7D7F-4A31-8F51-6B1EDEF5A997}
    Folder: C:\Users\Игорь\AppData\Local\{D271D54C-9FD7-49BD-9E08-2737776B14AD}
    Folder: C:\Users\Игорь\AppData\Local\{FA73925A-2A22-4196-9C95-605DAC11298B}
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.
     
  11. ИЛЬЯ83
    Оффлайн

    ИЛЬЯ83 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Даже нет такого браузера Мозилла. Проверил папки, которые указали, они пустые. Пользователя с иероглифами через панель, администрирование и т.д. не нашел. Но нашел пользователя с иероглифами через диск С, пользователи, удалил, но там еще остались папки с иероглифами.
    --- Объединённое сообщение, 28 фев 2016 ---
    ...
    --- Объединённое сообщение, 28 фев 2016 ---
    В хроме таких расширений не нашел.
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      414 байт
      Просмотров:
      3
  12. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    ИЛЬЯ83, fix в FRSTне выполнили, потому что файл fixlist либо пустой (не сохранили) либо нету в каталоге с FRST. Fix надо выполнить.
     
  13. ИЛЬЯ83
    Оффлайн

    ИЛЬЯ83 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    ...
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      15,4 КБ
      Просмотров:
      4
  14. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ClearQuarantine;
    QuarantineFile('C:\Users\Игорь\AppData\Local\{0D52B27B-713E-4783-B185-E2648C533ED2}', '');
    QuarantineFile('C:\Users\Игорь\AppData\Local\{441BF632-74CD-4DF0-811C-EA238FCDB9F2}', '');
    QuarantineFile('C:\Users\Игорь\AppData\Local\{76151491-09FC-4351-9F3F-2496901AC761}', '');
    QuarantineFile('C:\Users\Игорь\AppData\Local\{813ED357-CEA1-42EC-92BC-B9C4FFBB6022}', '');
    QuarantineFile('C:\Users\Игорь\AppData\Local\{976E74D1-5DF6-45C0-A486-6CCE793A4D2C}', '');
    QuarantineFile('C:\Users\Игорь\AppData\Local\{CB871542-7D7F-4A31-8F51-6B1EDEF5A997}', '');
    QuarantineFile('C:\Users\Игорь\AppData\Local\{D271D54C-9FD7-49BD-9E08-2737776B14AD}', '');
    QuarantineFile('C:\Users\Игорь\AppData\Local\{FA73925A-2A22-4196-9C95-605DAC11298B}', '');
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
     
    Сделайте повторные логи по правилам (с помощью автологера)

    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
     
    Последнее редактирование: 28 фев 2016
Статус темы:
Закрыта.

Поделиться этой страницей