Решена Нашествие вирусов

Тема в разделе "Лечение компьютерных вирусов", создана пользователем xeno, 19 ноя 2015.

Статус темы:
Закрыта.
  1. xeno
    Оффлайн

    xeno Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Добрый вечер.
    Такая проблема. Обратился сосед, пропадают ярлыки с рабочего стола. Куча неизвестных процессов. Посмотрите пожалуйста, в чем проблема.
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Здравствуйте.
    Удалите через установку и удаление программ:
    CiPlus-4.5vV16.10
    CiPlus-4.5vV25.10
    Crossbrowse
    GamesDesktop 033.005010117
    GamesDesktop 033.005010119
    GamesDesktop 033.005010121
    GamesDesktop 033.005010122
    GamesDesktop 033.005010123
    GamesDesktop 033.005010126
    GamesDesktop 033.005010129
    GamesDesktop 033.005010131
    GamesDesktop 033.005010142
    GamesDesktop 033.005010144
    GamesDesktop 033.005010145
    GamesDesktop 033.005010146
    GamesDesktop 033.005010149
    GamesDesktop 033.005010150
    MyBrowser 1.0.2V26.10
    Search App by Ask
    Shop and Save Up
    SmartWeb
    SpaceSoundPro Service
    swMSM
    Time tasks
    ZaxarGameBrowser

    Так же не рекомендую использовать Auslogics BoostSpeed:
    Auslogics Disk Defrag( для информации)!

    PPT美化大师,Skype Click to Call - эти программы вам знакомы?

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    QuarantineFile('C:\Users\Admin\AppData\Local\Yandex\yapin\Yandex.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехрlоrеr Вrоwsеr.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Коmеta.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Мail.Ru.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Маil.Ru.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Еxplorеr (64-bit).lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr (64-bit).lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kometa\Кomеta.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk', '');
    QuarantineFile('C:\Users\илья\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
    QuarantineFile('C:\Users\илья\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
    QuarantineFile('C:\Users\илья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk', '');
    QuarantineFile('C:\Users\илья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
    QuarantineFile('C:\Users\илья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
    QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех (2).lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe\Амиго.Музыка.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zaxar Games Browser.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zaxar Update.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse\Crossbrowse.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser\ZaxarGameBrowser.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser\ZaxarUpdate.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld of Tаnks.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zаxаr Gamеs Вrowsеr.lnk', '');
    QuarantineFile('C:\Users\Admin\Desktop\Wоrld of Tаnks.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk', '');
    QuarantineFile('C:\Users\Public\Desktop\WarThunder.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{404F499E-28C9-449A-9422-606153DB7F1F}\SupportTasks\0\Игры от Майкрософт.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{404F499E-28C9-449A-9422-606153DB7F1F}\SupportTasks\1\Поддержка.lnk', '');
    QuarantineFile('C:\Users\илья\Desktop\Grand Theft Auto San Andreas.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\B5T\605~1.2\5469C~1.URL', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\B5T\605~1.2\55F68~1.URL', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\B5T\6.0.5.2\?5?????.url', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\.minecraft\ru-m.org.url', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\.minecraft\libraries\ru-m.org.url', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru\Armored Warfare\Armored Warfare.url', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru\Armored Warfare\Uninstall Armored Warfare.url', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru\Warface\Веб-сайт игры.url', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru\Warface\Запустить Warface.url', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru\Warface\Удалить игру.url', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Сайт игры в Интернете.url', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Zbshareware Lab\UninstallReason.url', '');
    QuarantineFile('C:\Users\Admin\Documents\www.gtavicecity.ru mods\1774-vkl-vykl-dvigatelya-i-far\www.GTAViceCity.RU.url', '');
    QuarantineFile('C:\Users\Admin\Favorites\Mail.Ru Агент - используй для общения!.url', '');
    QuarantineFile('C:\Users\Admin\Favorites\Mail.Ru.url', '');
    QuarantineFile('C:\Users\Admin\Favorites\www.GTAViceCity.RU.url', '');
    QuarantineFile('C:\Users\Admin\Favorites\Links\Почта.url', '');
    QuarantineFile('C:\Users\Admin\Favorites\Links\Яндекс.url', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AdBlocker\О программе AdBlocker Free.url', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Plants vs. Zombies Garden Warfare\Plants vs. Zombies Garden Warfare on the Web.url', '');
    QuarantineFile('C:\ProgramData\KwGkfKwzPutogc\JGRcAPl5.bat', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\XIoIChychBtX\UTctm1.bat', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.atemok.bat', '');
    QuarantineFile('C:\ProgramData\FGZXTK\MEWMFmEe5.bat', '');
    QuarantineFile('C:\ProgramData\CufdkpjFXV\jbVnDaSG0.bat', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\YandexWorking.bat', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.resworbemagraxaz.bat', '');
    QuarantineFile('C:\ProgramData\pZlKHe\lsXJGbB3.bat', '');
    QuarantineFileF('C:\ProgramData\KwGkfKwzPutogc', '*', true, '', 0 , 0);
    QuarantineFileF('C:\Users\Admin\AppData\Local\XIoIChychBtX', '*', true, '', 0 , 0);
    QuarantineFileF('C:\ProgramData\FGZXTK', '*', true, '', 0 , 0);
    QuarantineFileF('C:\ProgramData\CufdkpjFXV', '*', true, '', 0 , 0);
    QuarantineFileF('C:\ProgramData\pZlKHe', '*', true, '', 0 , 0);
    DeleteFile('C:\ProgramData\KwGkfKwzPutogc\JGRcAPl5.bat', '');
    DeleteFile('C:\Users\Admin\AppData\Local\XIoIChychBtX\UTctm1.bat', '');
    DeleteFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.atemok.bat', '');
    DeleteFile('C:\ProgramData\FGZXTK\MEWMFmEe5.bat', '');
    DeleteFile('C:\ProgramData\CufdkpjFXV\jbVnDaSG0.bat', '');
    DeleteFile('C:\Users\Admin\AppData\Local\YandexWorking.bat', '');
    DeleteFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
    DeleteFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.resworbemagraxaz.bat', '');
    DeleteFile('C:\ProgramData\pZlKHe\lsXJGbB3.bat', '');
    DeleteFileMask('C:\ProgramData\KwGkfKwzPutogc', '*', true);
    DeleteFileMask('C:\Users\Admin\AppData\Local\XIoIChychBtX', '*', true);
    DeleteFileMask('C:\ProgramData\FGZXTK', '*', true);
    DeleteFileMask('C:\ProgramData\CufdkpjFXV', '*', true);
    DeleteFileMask('C:\ProgramData\pZlKHe', '*', true);
    DeleteDirectory('C:\ProgramData\KwGkfKwzPutogc', '');
    DeleteDirectory('C:\Users\Admin\AppData\Local\XIoIChychBtX', '');
    DeleteDirectory('C:\ProgramData\FGZXTK', '');
    DeleteDirectory('C:\ProgramData\CufdkpjFXV', '');
    DeleteDirectory('C:\ProgramData\pZlKHe', '');
    QuarantineFileF('C:\Users\Admin\AppData\Roaming\Browsers\', '*', true, '', 0, 0);
    DeleteFileMask('C:\Users\Admin\AppData\Roaming\Browsers\', '*', true);
    DeleteDirectory('C:\Users\Admin\AppData\Roaming\Browsers\');
    QuarantineFile('C:\Users\Admin\LOCALS~1\Temp\msqowqpxy.pif','');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\afght\wnqeot\pwdym.exe','');
    DeleteFile('C:\Users\Admin\AppData\Roaming\afght\wnqeot\pwdym.exe','32');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ccfey');
    DeleteFile('C:\Users\Admin\LOCALS~1\Temp\msqowqpxy.pif','32');
    ExecuteRepair(3);
    ExecuteRepair(4);
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
    Код (Text):

    C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk
    C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехрlоrеr Вrоwsеr.lnk
    C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk
    C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Коmеta.lnk
    C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Мail.Ru.lnk
    C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Маil.Ru.lnk
    C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Еxplorеr (64-bit).lnk
    C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr (64-bit).lnk
    C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk
    C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk
    C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk
    C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk
    C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kometa\Кomеta.lnk
    C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk
    C:\Users\илья\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
    C:\Users\илья\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
    C:\Users\илья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
    C:\Users\илья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
    C:\Users\илья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
    C:\Users\Public\Desktop\Google Chrome.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
    C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех (2).lnk
    C:\Users\Admin\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe\Амиго.Музыка.lnk

    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

    Прокси сервер сами установили?
    Код (Text):
    89.108.86.33,8.8.8.8
    + по окончанию лечения не забудьте сменить пароли.
     
    Последнее редактирование модератором: 20 ноя 2015
  3. xeno
    Оффлайн

    xeno Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    эти программы не хотят удалятся
    нет, эти программы не знакомы, удалили их тоже
    прокси тоже не устанавливали, сбросил на автоматическое получение
    прикладываю новый лог
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Попробуйте из безопасного режима.
    Вот обновленный список к удалению:

    SmartWeb
    SpaceSoundPro
    SpaceSoundPro Service [20151110]
    SpaceSoundPro Service [20151113]
    SpaceSoundPro Service [20151117]
    swMSM [20150331]
    groover
    HP Defender
    WordWizard 1.10.0.24

    Выполните загрузку windows в безопасном режиме.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    TerminateProcessByName('c:\program files (x86)\wordwizard_1.10.0.24\service\wwsvc.exe');
    TerminateProcessByName('c:\programdata\mwminiprom\wminipro.exe');
    TerminateProcessByName('c:\program files (x86)\vk downloader\ieef\us6klugees.exe');
    TerminateProcessByName('c:\users\admin\appdata\roaming\tsv\tsvr.exe');
    TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe');
    TerminateProcessByName('c:\users\admin\appdata\local\c48de7dc-1444934551-11e1-b3c1-44c982d765d1\snsqdaa8.tmp');
    TerminateProcessByName('c:\users\admin\appdata\local\smartweb\smartwebhelper.exe');
    TerminateProcessByName('c:\users\admin\appdata\local\smartweb\smartwebapp.exe');
    TerminateProcessByName('c:\program files\groover181120150724\sewruqbu.exe');
    TerminateProcessByName('c:\users\admin\appdata\local\c48de7dc-1448044194-11e1-b3c1-44c982d765d1\qnso5d00.tmp');
    TerminateProcessByName('c:\program files (x86)\xtab\protectservice.exe');
    TerminateProcessByName('c:\program files (x86)\baidu\ppt.exe');
    TerminateProcessByName('c:\program files\groover181120150724\pooslteiqgo.exe');
    TerminateProcessByName('c:\program files\groover181120150724\nuwaju.exe');
    TerminateProcessByName('c:\program files (x86)\c48de7dc-1444923660-11e1-b3c1-44c982d765d1\knsub0c4.tmp');
    TerminateProcessByName('c:\program files (x86)\c48de7dc-1444923660-11e1-b3c1-44c982d765d1\jnsab145.tmp');
    TerminateProcessByName('c:\program files\groover181120150724\ipexzopja.exe');
    TerminateProcessByName('c:\program files (x86)\c48de7dc-1444923660-11e1-b3c1-44c982d765d1\hnsqc7e3.tmp');
    TerminateProcessByName('c:\program files (x86)\hp defender\hhandler.exe');
    TerminateProcessByName('C:\Program Files\groover181120150724\Gajsoekr64.exe');
    TerminateProcessByName('c:\program files\groover181120150724\gajsoekr.exe');
    TerminateProcessByName('c:\program files\groover181120150724\csrcc.exe');
    TerminateProcessByName('C:\Program Files\Content Defender\ContentDefender.exe');
    TerminateProcessByName('c:\users\admin\appdata\local\b5t\share\b5tservice.exe');
    TerminateProcessByName('c:\users\admin\appdata\local\b5t\6.0.5.2\b5tpopup.exe');
    TerminateProcessByName('C:\Program Files\AmazingTab\amztab.exe');
    SetServiceStart('wwfd_vt_1_10_0_24', 4);
    SetServiceStart('updaiqarodposdoonioa', 4);
    SetServiceStart('ginoquci', 4);
    SetServiceStart('WdsManPro', 4);
    SetServiceStart('SSFK', 4);
    SetServiceStart('ruqutyhu', 4);
    SetServiceStart('kuludosy', 4);
    SetServiceStart('Ipexzopja', 4);
    SetServiceStart('IhPul', 4);
    SetServiceStart('IHProtect Service', 4);
    SetServiceStart('hidekoqe', 4);
    SetServiceStart('HHandler Service', 4);
    SetServiceStart('groover181120150724 Updater', 4);
    SetServiceStart('FotwOgubje', 4);
    SetServiceStart('dijojyvi', 4);
    SetServiceStart('D9E5782F-B636-468B-8F9C-387FEED0FB08', 4);
    SetServiceStart('cyxupudi', 4);
    SetServiceStart('csrcc', 4);
    SetServiceStart('ContentDefender', 4);
    SetServiceStart('B5TService', 4);
    SetServiceStart('AmazingTab Update', 4);
    StopService('wwfd_vt_1_10_0_24');
    StopService('updaiqarodposdoonioa');
    StopService('ginoquci');
    StopService('WdsManPro');
    StopService('SSFK');
    StopService('ruqutyhu');
    StopService('kuludosy');
    StopService('Ipexzopja');
    StopService('IhPul');
    StopService('IHProtect Service');
    StopService('hidekoqe');
    StopService('HHandler Service');
    StopService('groover181120150724 Updater');
    StopService('FotwOgubje');
    StopService('dijojyvi');
    StopService('D9E5782F-B636-468B-8F9C-387FEED0FB08');
    StopService('cyxupudi');
    StopService('csrcc');
    StopService('ContentDefender');
    StopService('B5TService');
    StopService('AmazingTab Update');
    QuarantineFile('C:\ProgramData\MWMi', '');
    QuarantineFile('C:\ProgramData\WindowsMangerPro', '');
    QuarantineFile('C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\Temp\start.exe', '');
    QuarantineFile('C:\PROGRA~1\GROOVE~1\Cylepooj.bat', '');
    QuarantineFile('C:\Program Files (x86)\ShopperPro\updater.exe', '');
    QuarantineFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\SystemDir\nethost.exe', '');
    QuarantineFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll', '');
    QuarantineFile('Booster\DriverBooster.exe', '');
    QuarantineFile('C:\Program Files (x86)\IObit\Driver', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\afght\wnqeot\pwdym.exe', '');
    QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe', '');
    QuarantineFile('C:\ProgramData\ShopperPro\ShopperPro.dll', '');
    QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '');
    QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1489.0.0.0\jsdrv.exe', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\MediaGet2\mediaget.exe', '');
    QuarantineFile('C:\Users\Admin\LOCALS~1\Temp\msqowqpxy.pif', '');
    QuarantineFile('C:\ProgramData\illfjhlagjbb.dll', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\Vaiahigh.exe', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\Temp\nsh4DE9.tmp', '');
    QuarantineFile('C:\Windows\system32\drivers\wwfd_vt_1_10_0_24.sys', '');
    QuarantineFile('C:\Windows\system32\drivers\bsdriver.sys', '');
    QuarantineFile('C:\Windows\system32\Ipexzopja.dll', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\SmartWeb\swhk.dll', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\B5T\Plugin\B5TShoppingAssistant.dll', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\B5T\6.0.5.2\resconfig.dll', '');
    QuarantineFile('C:\Program Files\groover181120150724\Gugoa.DLL', '');
    QuarantineFile('C:\Program Files\groover181120150724\Cavke.dll', '');
    QuarantineFile('C:\Program Files (x86)\XTab\SupTab.dll', '');
    QuarantineFile('C:\Program Files (x86)\VK Downloader\IEEF\Interfaces32.dll', '');
    QuarantineFile('C:\Program Files (x86)\VK Downloader\IEEF\c9pPYtag0O.dll', '');
    QuarantineFile('c:\program files (x86)\wordwizard_1.10.0.24\service\wwsvc.exe', '');
    QuarantineFile('c:\programdata\mwminiprom\wminipro.exe', '');
    QuarantineFile('c:\program files (x86)\vk downloader\ieef\us6klugees.exe', '');
    QuarantineFile('c:\users\admin\appdata\roaming\tsv\tsvr.exe', '');
    QuarantineFile('c:\program files (x86)\sfk\ssfk.exe', '');
    QuarantineFile('c:\users\admin\appdata\local\c48de7dc-1444934551-11e1-b3c1-44c982d765d1\snsqdaa8.tmp', '');
    QuarantineFile('c:\users\admin\appdata\local\smartweb\smartwebhelper.exe', '');
    QuarantineFile('c:\users\admin\appdata\local\smartweb\smartwebapp.exe', '');
    QuarantineFile('c:\program files\groover181120150724\sewruqbu.exe', '');
    QuarantineFile('c:\users\admin\appdata\local\c48de7dc-1448044194-11e1-b3c1-44c982d765d1\qnso5d00.tmp', '');
    QuarantineFile('c:\program files (x86)\xtab\protectservice.exe', '');
    QuarantineFile('c:\program files (x86)\baidu\ppt.exe', '');
    QuarantineFile('c:\program files\groover181120150724\pooslteiqgo.exe', '');
    QuarantineFile('c:\program files\groover181120150724\nuwaju.exe', '');
    QuarantineFile('c:\program files (x86)\c48de7dc-1444923660-11e1-b3c1-44c982d765d1\knsub0c4.tmp', '');
    QuarantineFile('c:\program files (x86)\c48de7dc-1444923660-11e1-b3c1-44c982d765d1\jnsab145.tmp', '');
    QuarantineFile('c:\program files\groover181120150724\ipexzopja.exe', '');
    QuarantineFile('c:\program files (x86)\c48de7dc-1444923660-11e1-b3c1-44c982d765d1\hnsqc7e3.tmp', '');
    QuarantineFile('c:\program files (x86)\hp defender\hhandler.exe', '');
    QuarantineFile('C:\Program Files\groover181120150724\Gajsoekr64.exe', '');
    QuarantineFile('c:\program files\groover181120150724\gajsoekr.exe', '');
    QuarantineFile('c:\program files\groover181120150724\csrcc.exe', '');
    QuarantineFile('C:\Program Files\Content Defender\ContentDefender.exe', '');
    QuarantineFile('c:\users\admin\appdata\local\b5t\share\b5tservice.exe', '');
    QuarantineFile('c:\users\admin\appdata\local\b5t\6.0.5.2\b5tpopup.exe', '');
    QuarantineFile('C:\Program Files\AmazingTab\amztab.exe', '');
    QuarantineFile('C:\ProgramData\sByFXDSBmyYTWvK\KGQWYrVwLtv5.bat', '');
    QuarantineFile('C:\ProgramData\xHdecwP\ogzusddcFgKBjIU5.bat', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.atemok.bat', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\YandexWorking.bat', '');
    QuarantineFile('C:\ProgramData\KwGkfKwzPutogc\JGRcAPl5.bat', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\XIoIChychBtX\UTctm1.bat', '');
    QuarantineFile('C:\ProgramData\FGZXTK\MEWMFmEe5.bat', '');
    QuarantineFile('C:\ProgramData\CufdkpjFXV\jbVnDaSG0.bat', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.resworbemagraxaz.bat', '');
    QuarantineFile('C:\ProgramData\pZlKHe\lsXJGbB3.bat', '');
    QuarantineFileF('c:\program files (x86)\c48de7dc-1444923660-11e1-b3c1-44c982d765d1', '*', true, '', 0 , 0);
    QuarantineFileF('c:\users\admin\appdata\local\c48de7dc-1444934551-11e1-b3c1-44c982d765d1', '*', true, '', 0 , 0);
    QuarantineFileF('C:\ProgramData\WindowsMangerPro', '*', true, '', 0 , 0);
    QuarantineFileF('C:\Program Files\AmazingTab', '*', true, '', 0 , 0);
    QuarantineFileF('c:\users\admin\appdata\local\b5t', '*', true, '', 0 , 0);
    QuarantineFileF('C:\Program Files\Content Defender', '*', true, '', 0 , 0);
    QuarantineFileF('C:\Program Files\groover181120150724', '*', true, '', 0 , 0);
    QuarantineFileF('c:\program files (x86)\baidu', '*', true, '', 0 , 0);
    QuarantineFileF('c:\users\admin\appdata\local\smartweb', '*', true, '', 0 , 0);
    QuarantineFileF('c:\program files (x86)\vk downloader', '*', true, '', 0 , 0);
    QuarantineFileF('c:\program files (x86)\wordwizard_1.10.0.24', '*', true, '', 0 , 0);
    QuarantineFileF('C:\Program Files (x86)\HP Defender', '*', true, '', 0 , 0);
    QuarantineFileF('C:\Program Files (x86)\XTab', '*', true, '', 0 , 0);
    QuarantineFileF('C:\Users\Admin\AppData\Roaming\TSv', '*', true, '', 0 , 0);
    QuarantineFileF('C:\Program Files (x86)\Crossbrowse', '*', true, '', 0 , 0);
    QuarantineFileF('C:\ProgramData\ShopperPro', '*', true, '', 0 , 0);
    QuarantineFileF('C:\Users\Admin\AppData\Roaming\afght', '*', true, '', 0 , 0);
    QuarantineFileF('C:\Program Files (x86)\IObit', '*', true, '', 0 , 0);
    QuarantineFileF('C:\ProgramData\sByFXDSBmyYTWvK', '*', true, '', 0 , 0);
    QuarantineFileF('C:\ProgramData\xHdecwP', '*', true, '', 0 , 0);
    QuarantineFileF('C:\ProgramData\KwGkfKwzPutogc', '*', true, '', 0 , 0);
    QuarantineFileF('C:\Users\Admin\AppData\Local\XIoIChychBtX', '*', true, '', 0 , 0);
    QuarantineFileF('C:\ProgramData\FGZXTK', '*', true, '', 0 , 0);
    QuarantineFileF('C:\ProgramData\CufdkpjFXV', '*', true, '', 0 , 0);
    DeleteFile('c:\program files (x86)\c48de7dc-1444923660-11e1-b3c1-44c982d765d1\hnsqc7e3.tmp');
    DeleteFile('c:\program files (x86)\c48de7dc-1444923660-11e1-b3c1-44c982d765d1\jnsab145.tmp');
    DeleteFile('c:\program files (x86)\c48de7dc-1444923660-11e1-b3c1-44c982d765d1\knsub0c4.tmp');
    DeleteFile('c:\users\admin\appdata\local\c48de7dc-1448044194-11e1-b3c1-44c982d765d1\qnso5d00.tmp');
    DeleteFile('c:\users\admin\appdata\local\c48de7dc-1444934551-11e1-b3c1-44c982d765d1\snsqdaa8.tmp');
    DeleteFile('c:\users\admin\appdata\local\temp\nsh4de9.tmp');
    DeleteFile('C:\ProgramData\MWMi');
    DeleteFile('C:\ProgramData\WindowsMangerPro');
    DeleteFile('C:\Users\Admin\LOCALS~1\Temp\msqowqpxy.pif');
    DeleteFile('C:\ProgramData\illfjhlagjbb.dll');
    DeleteFile('C:\ProgramData\sByFXDSBmyYTWvK\KGQWYrVwLtv5.bat');
    DeleteFile('C:\Program Files\AmazingTab\amztab.exe', '32');
    DeleteFile('c:\users\admin\appdata\local\b5t\6.0.5.2\b5tpopup.exe', '32');
    DeleteFile('C:\Program Files\Content Defender\ContentDefender.exe', '32');
    DeleteFile('c:\program files\groover181120150724\gajsoekr.exe', '32');
    DeleteFile('C:\Program Files\groover181120150724\Gajsoekr64.exe', '32');
    DeleteFile('c:\program files (x86)\baidu\ppt.exe', '32');
    DeleteFile('c:\users\admin\appdata\local\smartweb\smartwebapp.exe', '32');
    DeleteFile('c:\program files (x86)\vk downloader\ieef\us6klugees.exe', '32');
    DeleteFile('c:\program files (x86)\wordwizard_1.10.0.24\service\wwsvc.exe', '32');
    DeleteFile('C:\Program Files (x86)\VK Downloader\IEEF\c9pPYtag0O.dll', '32');
    DeleteFile('C:\Program Files (x86)\VK Downloader\IEEF\Interfaces32.dll', '32');
    DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll', '32');
    DeleteFile('C:\Program Files\groover181120150724\Cavke.dll', '32');
    DeleteFile('C:\Program Files\groover181120150724\Gugoa.DLL', '32');
    DeleteFile('C:\Users\Admin\AppData\Local\B5T\6.0.5.2\resconfig.dll', '32');
    DeleteFile('C:\Users\Admin\AppData\Local\B5T\Plugin\B5TShoppingAssistant.dll', '32');
    DeleteFile('C:\Users\Admin\AppData\Local\SmartWeb\swhk.dll', '32');
    DeleteFile('C:\Windows\system32\Ipexzopja.dll', '32');
    DeleteFile('C:\Windows\system32\drivers\bsdriver.sys', '32');
    DeleteFile('C:\Windows\system32\drivers\wwfd_vt_1_10_0_24.sys', '32');
    DeleteFile('C:\Users\Admin\AppData\Local\B5T\Share\B5TService.exe', '32');
    DeleteFile('C:\Program Files\groover181120150724\csrcc.exe', '32');
    DeleteFile('C:\Program Files (x86)\C48DE7DC-1444923660-11E1-B3C1-44C982D765D1\jnsaB145.tmp', '32');
    DeleteFile('C:\Program Files\groover181120150724\Nuwaju.exe', '32');
    DeleteFile('C:\Program Files (x86)\C48DE7DC-1444923660-11E1-B3C1-44C982D765D1\hnsqC7E3.tmp', '32');
    DeleteFile('C:\Program Files\groover181120150724\PooslTeiqgo.exe', '32');
    DeleteFile('C:\Program Files\groover181120150724\Sewruqbu.exe', '32');
    DeleteFile('C:\Program Files (x86)\HP Defender\HHandler.exe', '32');
    DeleteFile('C:\Users\Admin\AppData\Local\C48DE7DC-1448044194-11E1-B3C1-44C982D765D1\qnso5D00.tmp', '32');
    DeleteFile('C:\Program Files (x86)\XTab\ProtectService.exe', '32');
    DeleteFile('C:\Users\Admin\AppData\Roaming\TSv\TSvr.exe', '32');
    DeleteFile('C:\Program Files\groover181120150724\Ipexzopja.exe', '32');
    DeleteFile('C:\Program Files (x86)\C48DE7DC-1444923660-11E1-B3C1-44C982D765D1\knsuB0C4.tmp', '32');
    DeleteFile('C:\Users\Admin\AppData\Local\C48DE7DC-1444934551-11E1-B3C1-44C982D765D1\snsqDAA8.tmp', '32');
    DeleteFile('C:\Program Files (x86)\SFK\SSFK.exe', '32');
    DeleteFile('C:\ProgramData\MWMiniProM\WMiniPro.exe', '32');
    DeleteFile('C:\Users\Admin\AppData\Local\Temp\nsh4DE9.tmp', '32');
    DeleteFile('C:\Users\Admin\AppData\Local\Vaiahigh.exe', '32');
    DeleteFile('C:\ProgramData\illfjhlagjbb.dll', '32');
    DeleteFile('C:\Users\Admin\LOCALS~1\Temp\msqowqpxy.pif', '32');
    DeleteFile('C:\Users\Admin\AppData\Local\MediaGet2\mediaget.exe', '32');
    DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1489.0.0.0\jsdrv.exe', '32');
    DeleteFile('C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
    DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '32');
    DeleteFile('C:\ProgramData\sByFXDSBmyYTWvK\KGQWYrVwLtv5.bat', '32');
    DeleteFile('C:\ProgramData\ShopperPro\ShopperPro.dll', '32');
    DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe', '32');
    DeleteFile('C:\Windows\Tasks\Crossbrowse.job', '32');
    DeleteFile('C:\Windows\Tasks\jjk  Files Update Ver 20151029.job', '32');
    DeleteFile('C:\Users\Admin\AppData\Roaming\afght\wnqeot\pwdym.exe', '32');
    DeleteFile('C:\Program Files (x86)\IObit\Driver', '32');
    DeleteFile('C:\Windows\system32\Tasks\Driver Booster SkipUAC (Admin)', '64');
    DeleteFile('Booster\DriverBooster.exe', '32');
    DeleteFile('C:\Windows\system32\Tasks\jjk  Files Update Ver 20151029', '64');
    DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Maintenance\SMupdate2', '64');
    DeleteFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll', '32');
    DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\SMupdate3', '64');
    DeleteFile('C:\Windows\system32\Tasks\nethost task', '64');
    DeleteFile('C:\Users\Admin\AppData\Local\SystemDir\nethost.exe', '32');
    DeleteFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe', '32');
    DeleteFile('C:\Windows\system32\Tasks\ShopperPro', '64');
    DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd', '64');
    DeleteFile('C:\Program Files (x86)\ShopperPro\updater.exe', '32');
    DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task', '64');
    DeleteFile('C:\Windows\system32\Tasks\SMupdate1', '64');
    DeleteFile('C:\Windows\system32\Tasks\Sogqaj', '64');
    DeleteFile('C:\PROGRA~1\GROOVE~1\Cylepooj.bat', '32');
    DeleteFile('C:\ProgramData\sByFXDSBmyYTWvK\KGQWYrVwLtv5.bat', '');
    DeleteFile('C:\ProgramData\xHdecwP\ogzusddcFgKBjIU5.bat', '');
    DeleteFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.atemok.bat', '');
    DeleteFile('C:\Users\Admin\AppData\Local\YandexWorking.bat', '');
    DeleteFile('C:\ProgramData\KwGkfKwzPutogc\JGRcAPl5.bat', '');
    DeleteFile('C:\Users\Admin\AppData\Local\XIoIChychBtX\UTctm1.bat', '');
    DeleteFile('C:\ProgramData\FGZXTK\MEWMFmEe5.bat', '');
    DeleteFile('C:\ProgramData\CufdkpjFXV\jbVnDaSG0.bat', '');
    DeleteFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
    DeleteFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.resworbemagraxaz.bat', '');
    DeleteFile('C:\ProgramData\pZlKHe\lsXJGbB3.bat', '');
    DeleteFile('C:\Windows\system32\Tasks\SPDriver', '64');
    DeleteFile('C:\Windows\system32\Tasks\WdfHG', '64');
    DeleteFile('C:\Users\Admin\AppData\Local\Temp\start.exe', '32');
    DeleteFile('C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe', '32');
    DeleteFile('C:\Windows\system32\Tasks\WordWizard Auto Updater 1.10.0.24 Core', '64');
    DeleteFile('C:\Windows\system32\Tasks\WordWizard Auto Updater 1.10.0.24 Pending Update', '64');
    DeleteFile('C:\PROGRA~1\GROOVE~1\Cylepooj.bat');
    DeleteFile('C:\Users\Admin\AppData\Local\Temp\start.exe');
    DeleteService('wwfd_vt_1_10_0_24');
    DeleteService('updaiqarodposdoonioa');
    DeleteService('WdsManPro');
    DeleteService('SSFK');
    DeleteService('Ipexzopja');
    DeleteService('IhPul');
    DeleteService('IHProtect Service');
    DeleteService('HHandler Service');
    DeleteService('groover181120150724 Updater');
    DeleteService('FotwOgubje');
    DeleteService('D9E5782F-B636-468B-8F9C-387FEED0FB08');
    DeleteService('csrcc');
    DeleteService('ContentDefender');
    DeleteService('B5TService');
    DeleteService('AmazingTab Update');
    DeleteService('cyxupudi');
    DeleteService('dijojyvi');
    DeleteService('hidekoqe');
    DeleteService('kuludosy');
    DeleteService('ruqutyhu');
    DeleteService('ginoquci');
    DeleteFileMask('c:\program files (x86)\c48de7dc-1444923660-11e1-b3c1-44c982d765d1', '*', true);
    DeleteFileMask('c:\users\admin\appdata\local\c48de7dc-1444934551-11e1-b3c1-44c982d765d1', '*', true);
    DeleteFileMask('C:\ProgramData\WindowsMangerPro', '*', true);
    DeleteFileMask('C:\Program Files\AmazingTab', '*', true);
    DeleteFileMask('c:\users\admin\appdata\local\b5t', '*', true);
    DeleteFileMask('C:\Program Files\Content Defender', '*', true);
    DeleteFileMask('C:\Program Files\groover181120150724', '*', true);
    DeleteFileMask('c:\program files (x86)\baidu', '*', true);
    DeleteFileMask('c:\users\admin\appdata\local\smartweb', '*', true);
    DeleteFileMask('c:\program files (x86)\vk downloader', '*', true);
    DeleteFileMask('c:\program files (x86)\wordwizard_1.10.0.24', '*', true);
    DeleteFileMask('C:\Program Files (x86)\HP Defender', '*', true);
    DeleteFileMask('C:\Program Files (x86)\XTab', '*', true);
    DeleteFileMask('C:\Users\Admin\AppData\Roaming\TSv', '*', true);
    DeleteFileMask('C:\Program Files (x86)\Crossbrowse', '*', true);
    DeleteFileMask('C:\ProgramData\ShopperPro', '*', true);
    DeleteFileMask('C:\Users\Admin\AppData\Roaming\afght', '*', true);
    DeleteFileMask('C:\Program Files (x86)\IObit', '*', true);
    DeleteFileMask('C:\ProgramData\sByFXDSBmyYTWvK', '*', true);
    DeleteFileMask('C:\ProgramData\xHdecwP', '*', true);
    DeleteFileMask('C:\ProgramData\KwGkfKwzPutogc', '*', true);
    DeleteFileMask('C:\Users\Admin\AppData\Local\XIoIChychBtX', '*', true);
    DeleteFileMask('C:\ProgramData\FGZXTK', '*', true);
    DeleteFileMask('C:\ProgramData\CufdkpjFXV', '*', true);
    DeleteDirectory('c:\program files (x86)\c48de7dc-1444923660-11e1-b3c1-44c982d765d1', '');
    DeleteDirectory('c:\users\admin\appdata\local\c48de7dc-1444934551-11e1-b3c1-44c982d765d1', '');
    DeleteDirectory('C:\ProgramData\WindowsMangerPro', '');
    DeleteDirectory('C:\Program Files\AmazingTab', '');
    DeleteDirectory('c:\users\admin\appdata\local\b5t', '');
    DeleteDirectory('C:\Program Files\Content Defender', '');
    DeleteDirectory('C:\Program Files\groover181120150724', '');
    DeleteDirectory('c:\program files (x86)\baidu', '');
    DeleteDirectory('c:\users\admin\appdata\local\smartweb', '');
    DeleteDirectory('c:\program files (x86)\vk downloader', '');
    DeleteDirectory('c:\program files (x86)\wordwizard_1.10.0.24', '');
    DeleteDirectory('C:\Program Files (x86)\HP Defender', '');
    DeleteDirectory('C:\Program Files (x86)\XTab', '');
    DeleteDirectory('C:\Users\Admin\AppData\Roaming\TSv', '');
    DeleteDirectory('C:\Program Files (x86)\Crossbrowse', '');
    DeleteDirectory('C:\ProgramData\ShopperPro', '');
    DeleteDirectory('C:\Users\Admin\AppData\Roaming\afght', '');
    DeleteDirectory('C:\Program Files (x86)\IObit', '');
    DeleteDirectory('C:\ProgramData\sByFXDSBmyYTWvK', '');
    DeleteDirectory('C:\ProgramData\xHdecwP', '');
    DeleteDirectory('C:\ProgramData\KwGkfKwzPutogc', '');
    DeleteDirectory('C:\Users\Admin\AppData\Local\XIoIChychBtX', '');
    DeleteDirectory('C:\ProgramData\FGZXTK', '');
    DeleteDirectory('C:\ProgramData\CufdkpjFXV', '');
    DelBHO('{C79C4A1E-C2C4-42E1-81E3-83C3BA6532F2}');
    DelBHO('{A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C}');
    DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
    DelBHO('{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6}');
    DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
    DelBHO('{260669B1-FC2C-41C0-BAA2-6EF3BB188660}');
    DelCLSID('{646BAAE7-7538-4866-8EEE-974C0AA910AB}');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2', 'command');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver', 'command');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro', 'EventMessageFile');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect', 'EventMessageFile');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{646BAAE7-7538-4866-8EEE-974C0AA910AB}');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.



    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 21 ноя 2015
  5. xeno
    Оффлайн

    xeno Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    вот логи
     

    Вложения:

  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

    Сделайте новый лог Adwcleaner
     
  7. xeno
    Оффлайн

    xeno Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Извиняюсь за задержку, вот логи.
     

    Вложения:

  8. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
  9. xeno
    Оффлайн

    xeno Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Вот логи
     

    Вложения:

  10. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    GameXPService ваше?

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Admin\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '');
    QuarantineFile('C:\Users\Admin\appdata\local\couponriser\couponriser_stb.exe', '');
    QuarantineFileF('C:\Users\Admin\appdata\local\couponriser', '*', true, '', 0 , 0);
    QuarantineFile('C:\Users\Admin\Desktop\Launcher-Пиратка.exe', '');
    QuarantineFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe', '');
    QuarantineFileF('C:\Program Files (x86)\Crossbrowse', '*', true, '', 0 , 0);
    QuarantineFileF('C:\Program Files (x86)\YTDownloader', '*', true, '', 0 , 0);
    QuarantineFile('C:\Users\Admin\LOCALS~1\Temp\msqowqpxy.pif', '');
    QuarantineFile('C:\Users\Admin\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico', '');
    DeleteFile('C:\Users\Admin\LOCALS~1\Temp\msqowqpxy.pif');
    DeleteFile('C:\Users\Admin\LOCALS~1\Temp\msqowqpxy.pif', '32');
    DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe', '32');
    DeleteFile('C:\Users\Admin\appdata\local\couponriser\couponriser_stb.exe', '32');
    DeleteFile('C:\Users\Admin\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '32');
    DeleteFile('C:\Users\Admin\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico');
    DeleteFile('C:\Windows\win.ini');
    DeleteFileMask('C:\Users\Admin\appdata\local\couponriser', '*', true);
    DeleteFileMask('C:\Program Files (x86)\Crossbrowse', '*', true);
    DeleteFileMask('C:\Program Files (x86)\YTDownloader', '*', true);
    DeleteDirectory('C:\Users\Admin\appdata\local\couponriser', '');
    DeleteDirectory('C:\Program Files (x86)\Crossbrowse', '');
    DeleteDirectory('C:\Program Files (x86)\YTDownloader', '');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    • Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

      Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
      Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
      Отметьте галочками также "Shortcut.txt".

      Нажмите кнопку Scan.
      После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
      Подробнее читайте в этом руководстве.
     
Статус темы:
Закрыта.

Поделиться этой страницей