Компьютер шалит. Браузеры загрязнены различным спамом.

[Анна Мощенко]

Компьютер находится на последнем издыхании. Куча проблем с браузером, да и на самом компьютере постоянно вылазит реклама.Помогите пожалуйста. Очень нужна ваша помощь.

[Info_bot]

Уважаемый(ая) Анна Мощенко, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Nikkollo]

Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ (как выполнить):

Код:

begin
 TerminateProcessByName('c:\programdata\6wdsmanpro6\wdsmanpro.exe');
 TerminateProcessByName('c:\program files (x86)\wordwizard_1.10.0.24\service\wwsvc.exe');
 TerminateProcessByName('c:\program files (x86)\c10bc15e-1442262242-e111-a1d6-b888e33d0a50\hnsya2f.tmp');
 StopService('lehicewu');
 SetServiceStart('lehicewu', 4);
 StopService('nydoxelo');
 SetServiceStart('nydoxelo', 4);
 StopService('wwsvc_1.10.0.24');
 SetServiceStart('wwsvc_1.10.0.24', 4);
 StopService('WdsManPro');
 SetServiceStart('WdsManPro', 4);
 StopService('gyvixodu');
 SetServiceStart('gyvixodu', 4);
 ClearQuarantine;
 QuarantineFile('C:\Program Files (x86)\WordWizard_1.10.0.24\Service\wwsvc.exe','');
 QuarantineFile('C:\Users\1\appdata\local\smartweb\__u.exe','');
 QuarantineFile('C:\Users\1\appdata\local\smartweb\smartwebapp.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\istartsurf\UninstallManager.exe','');
 QuarantineFile('c:\task.vbs','');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\Updater.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-5.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-3.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-11.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-10.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-1-7.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-1-6.exe','');
 QuarantineFile('C:\ProgramData\6WdsManPro6\WdsManPro.exe','');
 QuarantineFile('C:\Program Files (x86)\C10BC15E-1442262242-E111-A1D6-B888E33D0A50\hnsyA2F.tmp','');
 QuarantineFile('c:\programdata\6wdsmanpro6\wdsmanpro.exe','');
 QuarantineFile('c:\program files (x86)\wordwizard_1.10.0.24\service\wwsvc.exe','');
 QuarantineFile('c:\program files (x86)\c10bc15e-1442262242-e111-a1d6-b888e33d0a50\hnsya2f.tmp','');
 DeleteService('gyvixodu');
 DeleteService('wwsvc_1.10.0.24');
 DeleteService('WdsManPro');
 DeleteService('nydoxelo');
 DeleteService('lehicewu');
 DeleteFile('c:\program files (x86)\c10bc15e-1442262242-e111-a1d6-b888e33d0a50\hnsya2f.tmp','32');
 DeleteFile('c:\program files (x86)\wordwizard_1.10.0.24\service\wwsvc.exe','32');
 DeleteFile('c:\programdata\6wdsmanpro6\wdsmanpro.exe','32');
 DeleteFile('C:\windows\system32\drivers\wwfd_vt_1_10_0_24.sys','32');
 DeleteFile('C:\Program Files (x86)\C10BC15E-1442262242-E111-A1D6-B888E33D0A50\hnsyA2F.tmp','32');
 DeleteFile('C:\ProgramData\6WdsManPro6\WdsManPro.exe','32');
 DeleteFile('C:\Program Files (x86)\WordWizard_1.10.0.24\Service\wwsvc.exe','32');
 DeleteFile('C:\Program Files (x86)\C10BC15E-1442262242-E111-A1D6-B888E33D0A50\jnstECCE.tmp','32');
 DeleteFile('C:\Program Files (x86)\C10BC15E-1442262242-E111-A1D6-B888E33D0A50\knsi36B2.tmp','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-1-6.exe','32');
 DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-1-6.job','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-1-7.exe','32');
 DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-1-7.job','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-10.exe','32');
 DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-10_user.job','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-11.exe','32');
 DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-11.job','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-3.exe','32');
 DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-3.job','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-5.exe','32');
 DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-5.job','32');
 DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-5_user.job','32');
 DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-6.job','32');
 DeleteFile('C:\windows\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-7.job','32');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-1-6','64');
 DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-1-7','64');
 DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-10_user','64');
 DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-11','64');
 DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-3','64');
 DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-5','64');
 DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-5_user','64');
 DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-6','64');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-6.exe','32');
 DeleteFile('C:\windows\system32\Tasks\3053ccfd-36e2-4320-a870-e3086df9aa3d-7','64');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\3053ccfd-36e2-4320-a870-e3086df9aa3d-7.exe','32');
 DeleteFile('C:\windows\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\windows\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\windows\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\Users\1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\windows\system32\Tasks\DealPly','64');
 DeleteFile('C:\windows\system32\Tasks\runTask','64');
 DeleteFile('C:\Users\1\AppData\Local\Temp\Updater.exe','32');
 DeleteFile('C:\windows\system32\Tasks\updateTask','64');
 DeleteFile('c:\task.vbs','32');
 DeleteFile('C:\windows\system32\Tasks\{E066E766-90B7-4840-9412-696E11EF87DA}','64');
 DeleteFile('C:\Users\1\AppData\Roaming\istartsurf\UninstallManager.exe','32');
 DeleteFile('C:\Users\1\appdata\local\smartweb\smartwebapp.exe','32');
 DeleteFile('C:\Users\1\appdata\local\smartweb\__u.exe','32');
ExecuteWizard('SCU',2,2,true);
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Запускайте HijackThis правой кнопкой мыши - "Запуск от имени Администратора".
Пофиксите в HijackThis только указанные строки (как пофиксить):

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.

Подготовьте лог AdwCleaner
http://virusinfo.info/showthread.php...=1#post1041844
и приложите его в теме.

Сделайте лог CheckBrowserLnk
и приложите в теме.

[Анна Мощенко]

Вкладываю 4 файла. Карантин не могу прикрепить. Пишет "Данный файл уже был отправлен". В чём может быть проблема?

- - - - -Добавлено - - - - -

А это нормально, что карантин весит всего 1кб? Или я может что-то неправильно делаю?

[Анна Мощенко]

Ну так что с карантином? Что мне делать?

[Nikkollo]

Удалите все найденное в AdwCleaner.
Как удалить:
http://virusinfo.info/showthread.php...=1#post1041864

Скачайте на рабочий стол эту утилиту.
Перетащите на нее мышью лог CheckBrowserLnk.log.

Проверьте что с проблемой.

[Анна Мощенко]

Прикрепляю файлы. Жду дальнейших указаний.

[mrak74]

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

Эту процедуру повторите, пришлите лог ClearLNK

[Анна Мощенко]

Вкладываю отчёт. Жду дальнейших указаний.

[mrak74]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Анна Мощенко]

Прикрепляю отчёт. Жду дальнейшего.

[mrak74]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKLM-x32\...\Run: [gmsd_ru_005010088] => [X]
  HKLM-x32\...\Run: [gmsd_ru_005010089] => [X]
  HKLM-x32\...\Run: [gmsd_ru_005010091] => [X]
  HKLM-x32\...\Run: [gmsd_ru_005010087] => [X]
  GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  CHR HKU\S-1-5-21-3134572543-4135458238-2603948863-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  => No File
  BHO-x32: AlterGeoBHO Class -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll => No File
  FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
  FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
  FF Extension: No Name - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
  CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1443737756&z=ab37fc516e9541884f595d8g4zcz6c3m3c2mew1w7t&from=cmi&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC505875
  CHR Extension: (Adblock Plus) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2015-10-13]
  CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vkplayerpro.ru/index.xml
  CHR HKLM-x32\...\Chrome\Extension: [nhgcieglcpdegkhamigiokdphfhhnlhh] - C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\altergeo.crx <not found>
  StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.mystartsearch.com/?type=sc&ts=1443737756&z=ab37fc516e9541884f595d8g4zcz6c3m3c2mew1w7t&from=cmi&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC505875
  StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe hxxp://www.mystartsearch.com/?type=sc&ts=1443730977&z=0ad2b9059ac02c812f6e8c6g8z4zfc6m3ceecm3m8t&from=cmi&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC505875
  Task: {324B14AF-2535-4EEB-B933-AC0AAFD72C53} - \updateTask -> No File <==== ATTENTION
  Task: {45182837-3119-4B44-8203-E8F9DA7212AF} - \runTask -> No File <==== ATTENTION
  Task: {9509F479-E80C-44EA-8284-AD78C2CE0B24} - \DealPly -> No File <==== ATTENTION
  Task: {E01C1619-487E-41FB-A4DA-57C591634E4F} - System32\Tasks\VKSaverUpdate => C:\ProgramData\VKSaver\VKSaver.exe [2012-12-26] (AudioVkontakte.ru) <==== ATTENTION
  Task: {E476072E-7415-42C4-97B0-DB6A61CEBD4A} - System32\Tasks\BitGuard => Sc.exe start BitGuard <==== ATTENTION
  Task: {E68226F1-E3AA-4645-95BE-6B7AB5CE4A29} - \{E066E766-90B7-4840-9412-696E11EF87DA} -> No File <==== ATTENTION
  Task: {FCC87BB4-88B9-4F4B-A4BA-3359401D4342} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Core => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe <==== ATTENTION
  EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Анна Мощенко]

Выкладываю. Жду.

[mrak74]

Что с проблемой ?