Зависает avz при выполнении стандартного скрипта [not-a-virus:AdWare.NSIS.ConvertAd.ltl]

Printable View

17.09.2015, 11:50
denthebest2008

Зависает avz при выполнении стандартного скрипта [not-a-virus:AdWare.NSIS.ConvertAd.ltl]

Здравствуйте,в общем лезут всякие рекламы и устанавливаются постоянно разные программы,при выполнении стандартного скрипта №3 зависает,получилось только сделать №2 и hijackthis лог. Заранее благодарю!
17.09.2015, 11:51
Info_bot

Уважаемый(ая) [B]denthebest2008[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
17.09.2015, 14:50
Vvvyg

[QUOTE=denthebest2008;1314920]при выполнении стандартного скрипта №3 зависает[/QUOTE]

Не зря ведь в разделе "Диагностика" правил оформления запроса написано:[QUOTE][COLOR="#FF0000"]Если у Вас 64-разрядная или серверная операционная система, выполнять п.1 данного раздела не следует. Переходите сразу к п.2.[/COLOR][/QUOTE]

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-1-6.exe');
TerminateProcessByName('c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-10.exe');
TerminateProcessByName('c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-6.exe');
TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010087\gmsd_ru_005010087.exe');
TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010089\gmsd_ru_005010089.exe');
TerminateProcessByName('C:\Program Files (x86)\SFK\SFKEX64.exe');
TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe');
TerminateProcessByName('c:\users\marina\appdata\local\gmsd_ru_005010087\upgmsd_ru_005010087.exe');
TerminateProcessByName('c:\programdata\xwdsmanprox\wdsmanpro.exe');
TerminateProcessByName('c:\programdata\1winmanpro1\winmanpro.exe');
TerminateProcessByName('c:\program files (x86)\wordsurfer_1.10.0.19\service\wsasvc.exe');
StopService('SSFK');
StopService('WdsManPro');
StopService('WindowsMangerProtect');
StopService('wsasvc_1.10.0.19');
StopService('wsafd_1_10_0_19');
QuarantineFileF('c:\program files (x86)\ciplus-4.5vv16.0', '*', true, '', 0 , 0);
QuarantineFileF('C:\Program Files (x86)\SFK', '*', true, '', 0 , 0);
QuarantineFileF('c:\programdata\xwdsmanprox', '*', true, '', 0 , 0);
QuarantineFileF('c:\programdata\1winmanpro1', '*', true, '', 0 , 0);
QuarantineFileF('c:\program files (x86)\wordsurfer', '*', true, '', 0 , 0);
QuarantineFileF('C:\Program Files (x86)\globalUpdate', '*', true, '', 0 , 0);
QuarantineFileF('C:\Users\Marina\AppData\Roaming\eTranslator', '*', true, '', 0 , 0);
QuarantineFileF('C:\Program Files (x86)\AnyProtectEx', '*', true, '', 0 , 0);
QuarantineFile('c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-1-6.exe', '');
QuarantineFile('c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-10.exe', '');
QuarantineFile('c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-6.exe', '');
QuarantineFile('c:\program files (x86)\gmsd_ru_005010087\gmsd_ru_005010087.exe', '');
QuarantineFile('c:\program files (x86)\gmsd_ru_005010089\gmsd_ru_005010089.exe', '');
QuarantineFile('C:\Program Files (x86)\SFK\SFKEX64.exe', '');
QuarantineFile('c:\program files (x86)\sfk\ssfk.exe', '');
QuarantineFile('c:\users\marina\appdata\local\gmsd_ru_005010087\upgmsd_ru_005010087.exe', '');
QuarantineFile('c:\programdata\xwdsmanprox\wdsmanpro.exe', '');
QuarantineFile('c:\programdata\1winmanpro1\winmanpro.exe', '');
QuarantineFile('c:\program files (x86)\wordsurfer_1.10.0.19\service\wsasvc.exe', '');
QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe', '');
QuarantineFile('C:\Program Files (x86)\03D40274-1440647493-05FC-8906-140700080009\knsp5D66.tmp', '');
QuarantineFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys', '');
QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
QuarantineFile('C:\Users\Marina\AppData\Local\gmsd_ru_005010089\upgmsd_ru_005010089.exe', '');
QuarantineFile('C:\Users\Marina\AppData\Roaming\eTranslator\eTranslator.exe', '');
QuarantineFile('C:\Users\Marina\AppData\Roaming\33nLlgN4l4CI.exe', '');
QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-1-7.exe', '');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-11.exe', '');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-3.exe', '');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-5.exe', '');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-7.exe', '');
QuarantineFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe', '');
DeleteFile('c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-1-6.exe', '32');
DeleteFile('c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-10.exe', '32');
DeleteFile('c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-6.exe', '32');
DeleteFile('c:\program files (x86)\gmsd_ru_005010087\gmsd_ru_005010087.exe', '32');
DeleteFile('c:\program files (x86)\gmsd_ru_005010089\gmsd_ru_005010089.exe', '32');
DeleteFile('C:\Program Files (x86)\SFK\SFKEX64.exe', '32');
DeleteFile('c:\program files (x86)\sfk\ssfk.exe', '32');
DeleteFile('c:\users\marina\appdata\local\gmsd_ru_005010087\upgmsd_ru_005010087.exe', '32');
DeleteFile('c:\programdata\xwdsmanprox\wdsmanpro.exe', '32');
DeleteFile('c:\programdata\1winmanpro1\winmanpro.exe', '32');
DeleteFile('c:\program files (x86)\wordsurfer_1.10.0.19\service\wsasvc.exe', '32');
DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe', '32');
DeleteFile('C:\Program Files (x86)\03D40274-1440647493-05FC-8906-140700080009\knsp5D66.tmp', '32');
DeleteFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys', '32');
DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
DeleteFile('C:\Users\Marina\AppData\Local\gmsd_ru_005010089\upgmsd_ru_005010089.exe', '32');
DeleteFile('C:\Users\Marina\AppData\Roaming\eTranslator\eTranslator.exe', '32');
DeleteFile('C:\Users\Marina\AppData\Roaming\33nLlgN4l4CI.exe', '32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-1-7.exe', '32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-11.exe', '32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-3.exe', '32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-5.exe', '32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-7.exe', '32');
DeleteFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe', '32');
DeleteService('globalUpdate');
DeleteService('SSFK');
DeleteService('WdsManPro');
DeleteService('WindowsMangerProtect');
DeleteService('wsasvc_1.10.0.19');
DeleteService('bicuziwy');
DeleteService('wsafd_1_10_0_19');
DeleteFileMask('c:\program files (x86)\ciplus-4.5vv16.0', '*', true);
DeleteFileMask('C:\Program Files (x86)\SFK', '*', true);
DeleteFileMask('c:\programdata\xwdsmanprox', '*', true);
DeleteFileMask('c:\programdata\1winmanpro1', '*', true);
DeleteFileMask('c:\program files (x86)\wordsurfer', '*', true);
DeleteFileMask('C:\Program Files (x86)\globalUpdate', '*', true);
DeleteFileMask('C:\Users\Marina\AppData\Roaming\eTranslator', '*', true);
DeleteFileMask('C:\Program Files (x86)\AnyProtectEx', '*', true);
DeleteFileMask('C:\Program Files (x86)\03D40274-1440647493-05FC-8906-140700080009', '*', true);
DeleteDirectory('c:\program files (x86)\ciplus-4.5vv16.0');
DeleteDirectory('C:\Program Files (x86)\SFK');
DeleteDirectory('C:\Program Files (x86)\03D40274-1440647493-05FC-8906-140700080009');
DeleteDirectory('c:\programdata\1winmanpro1');
DeleteDirectory('c:\program files (x86)\wordsurfer');
DeleteDirectory('C:\Program Files (x86)\globalUpdate');
DeleteDirectory('C:\Users\Marina\AppData\Roaming\eTranslator');
DeleteDirectory('C:\Program Files (x86)\AnyProtectEx');
ExecuteFile('schtasks.exe', '/delete /TN "33nLlgN4l4CI" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP1" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "caf6752b-c61a-494b-bcb7-fd0c006d87be-1-6" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "caf6752b-c61a-494b-bcb7-fd0c006d87be-1-7" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "caf6752b-c61a-494b-bcb7-fd0c006d87be-10_user" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "caf6752b-c61a-494b-bcb7-fd0c006d87be-11" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "caf6752b-c61a-494b-bcb7-fd0c006d87be-3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "caf6752b-c61a-494b-bcb7-fd0c006d87be-5" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "caf6752b-c61a-494b-bcb7-fd0c006d87be-5_user" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "caf6752b-c61a-494b-bcb7-fd0c006d87be-6" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "caf6752b-c61a-494b-bcb7-fd0c006d87be-7" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineCore" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineUA" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "WordSurfer Auto Updater 1.10.0.19 Core" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "WordSurfer Auto Updater 1.10.0.19 Pending Update" /F', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_005010087');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_005010089');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_005010087.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_005010089.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'eTranslator Automatic Update');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
18.09.2015, 03:39
denthebest2008

Торопился и невнимательно читал,прошу прощения))) Завтра с утра всё сделаю!

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

полный образ автозапуска
18.09.2015, 09:34
Vvvyg

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
offsgnsave

; C:\PROGRAM FILES (X86)\MINILITE\PROTECTSERVICE.EXE
addsgn 1A60749A5583008CF42B5194E09A53054F8694F6F9BB1F90D1C2C5BCD3B3954CA84ACFDCFDDEE059242F4314331E4A0AF4AAE0F13026B063A40AB457CB2DD1FA 8 Adware.Mutabaha.679 [DrWeb]

; C:\USERS\MARINA\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Adware.ConvertAd.YX.gen [ESET-NOD

zoo C:\PROGRAM FILES (X86)\MINILITE\PROTECTSERVICE.EXE
zoo C:\USERS\MARINA\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE
regt 28
regt 29
regt 27

chklst
delvir

deldir C:\PROGRAM FILES (X86)\MINILITE

zoo %SystemDrive%\PROGRAM FILES (X86)\CROSSBROWSE\CROSSBROWSE\APPLICATION\CROSSBROWSE.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\CROSSBROWSE\CROSSBROWSE\APPLICATION\UTILITY.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\CROSSBROWSE\CROSSBROWSE\APPLICATION\CROSSBROWSE.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\CROSSBROWSE\CROSSBROWSE\APPLICATION\UTILITY.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\CROSSBROWSE\CROSSBROWSE\APPLICATION\39.6.2171.95\DELEGATE_EXECUTE.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\CROSSBROWSE

zoo %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0\GLOBALUPDATEBROKER.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0\GLOBALUPDATEONDEMAND.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0\GLOBALUPDATEBROKER.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0\GLOBALUPDATEONDEMAND.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0\PSMACHINE.DLL
deldir %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE

delall %Sys32%\DRIVERS\WSAFD_1_10_0_19.SYS

zoo %SystemDrive%\PROGRAMDATA\3WDSMANPRO3\WDSMANPRO.EXE
delall %SystemDrive%\PROGRAMDATA\3WDSMANPRO3\WDSMANPRO.EXE
deldir %SystemDrive%\PROGRAMDATA\3WDSMANPRO3

del %SystemDrive%\USERS\MARINA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.BAT
delall %SystemDrive%\PROGRAM FILES (X86)\GMSD_RU_005010089\GAMESDESKTOP_WIDGET.EXE
;-------------------------------------------------------------

zoo %SystemDrive%\USERS\MARINA\APPDATA\LOCAL\9BA36914-4C14-469E-8EBA-74C4BFC2194A\9BA36914-4C14-469E-8EBA-74C4BFC2194A.EXE
uidel C:\Program Files (x86)\CiPlus-4.5vV16.09\Uninstall.exe /fcp=1 /runexe='C:\Program Files (x86)\CiPlus-4.5vV16.09\UninstallBrw.exe' /url='http://notif.randkeygen.com/notf_sys/index.html' /brwtype='uni' /onerrorexe='C:\Program Files (x86)\CiPlus-4.5vV16.09\utils.exe' /crregname='CiPlus-4.5vV16.09' /appid='74261' /srcid='003082' /bic='bad39e07c3325ecb46fc99f69f2894e8IE' /verifier='3326661aec3f4b618d5233b4d8526574' /brwshtoms='15000' /installerversion='1_36_01_22' /statsdomain='http://stats.randkeygen.com/utility.gif?' /errorsdomain='http://errors.randkeygen.com/utility.gif?' /monetizationdomain='http://logs.randkeygen.com/monetization.gif?'
uidel C:\Program Files (x86)\CiPlus-4.5vV17.09\Uninstall.exe /fcp=1 /runexe='C:\Program Files (x86)\CiPlus-4.5vV17.09\UninstallBrw.exe' /url='http://notif.randkeygen.com/notf_sys/index.html' /brwtype='uni' /onerrorexe='C:\Program Files (x86)\CiPlus-4.5vV17.09\utils.exe' /crregname='CiPlus-4.5vV17.09' /appid='74261' /srcid='003082' /bic='bad39e07c3325ecb46fc99f69f2894e8IE' /verifier='3326661aec3f4b618d5233b4d8526574' /brwshtoms='15000' /installerversion='1_36_01_22' /statsdomain='http://stats.randkeygen.com/utility.gif?' /errorsdomain='http://errors.randkeygen.com/utility.gif?' /monetizationdomain='http://logs.randkeygen.com/monetization.gif?'
uidel "C:\Users\Marina\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall
uidel "C:\Program Files (x86)\gmsd_ru_005010087\unins000.exe"
uidel "C:\Program Files (x86)\gmsd_ru_005010089\unins000.exe"
uidel C:\Program Files (x86)\WordSurfer_1.10.0.19\Uninstall.exe
uidel "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\39.6.2171.95\Installer\setup.exe" --uninstall --system-level
uidel "C:\Users\Marina\AppData\Roaming\ASPackage\Uninstall.exe"
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLMENURIGHT64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\OBNOVI SOFT\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\OBNOVI SOFT\OBNOVISOFT.EXE
deltmp
czoo
restart[/code]Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
18.09.2015, 10:45
denthebest2008

Лог
18.09.2015, 11:08
Vvvyg

Хорошо, жду образ для контроля:
[QUOTE]Сделайте новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.[/QUOTE]
18.09.2015, 11:41
denthebest2008

[url]http://rghost.ru/8yJ5frk4F[/url]
18.09.2015, 12:12
Vvvyg

Выполните скрипт в uVS:[CODE];uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
offsgnsave
; C:\PROGRAM FILES (X86)\PHRASEPROFESSOR_1.10.0.24\SERVICE\PPSVC.EXE
addsgn 1AA4139A5583378CF42BFB3A889B995835DDCF090C216A6C6DDADABC5011715A2317C3BF526C9D4918406FEC107EF5F97DDF8273BD9E8B2C2DFC54769E83D407 8 Adware.Plugin.1181 [DrWeb]

zoo C:\PROGRAM FILES (X86)\PHRASEPROFESSOR_1.10.0.24\SERVICE\PPSVC.EXE

chklst
delvir

deldir C:\PROGRAM FILES (X86)\PHRASEPROFESSOR_1.10.0.24

delref %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV17.09\4F7D952E-06C7-479A-A44C-43CE5B970ACB-1-6.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV17.09\4F7D952E-06C7-479A-A44C-43CE5B970ACB-1-7.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV17.09\4F7D952E-06C7-479A-A44C-43CE5B970ACB-10.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV17.09\4F7D952E-06C7-479A-A44C-43CE5B970ACB-11.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV17.09\4F7D952E-06C7-479A-A44C-43CE5B970ACB-3.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV17.09\4F7D952E-06C7-479A-A44C-43CE5B970ACB-5.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV17.09\4F7D952E-06C7-479A-A44C-43CE5B970ACB-6.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV17.09\4F7D952E-06C7-479A-A44C-43CE5B970ACB-7.EXE
deldir %SystemDrive%\PROGRAM FILES (X86)\PHRASEPROFESSOR_1.10.0.24\UPDATE
delref %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0\NPGLOBALUPDATEUPDATE4.DLL
delref %SystemDrive%\USERS\MARINA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BFAOHPMJMHDGNJBLOJEKJLNADHEHIADJ\1.26.69_0\CIPLUS-4.5VV16.09
delref %SystemDrive%\USERS\MARINA\APPDATA\ROAMING\05VF7GUVG.EXE
uidel C:\Program Files (x86)\PhraseProfessor_1.10.0.24\Uninstall.exe
czoo
restart[/CODE]После перезагрузки отправьте новый файл ZOO_ по ссылке "Прислать запрошенный карантин.

Сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/URL].
24.09.2015, 10:03
denthebest2008

лог
24.09.2015, 10:40
Vvvyg

Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> [script][MASK] "C:\Users\Marina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk" -> ["C:\Windows\system32\cmd.exe" =>> /C "c:\users\marina\appdata\local\yandex\yandexbrowser\application\browser.bat"] -> ( BROWSER.BAT не существует )
>>> [modified][MASK] "C:\Users\Marina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr (64-bit).lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"]
>>> [modified][MASK] "C:\Users\Marina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"]
>>> [modified][MASK] "C:\Users\Marina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"]
>>> "C:\Users\Marina\Desktop\Мои программы\Mozilla Firefox.lnk" -> ["C:\firefox.bat" =>> "hxxp://helper365.ru" ]
>>> "C:\Users\Marina\Desktop\Мои программы\Opera.lnk" -> ["C:\opera.bat" =>> "hxxp://helper365.ru" ]
>>> "C:\Users\Marina\Desktop\Мои программы\Xpoм.lnk" -> ["C:\Documents and Settings\Administrator\Local Settings\Application Data\chrome.bat" =>> "hxxp://helper365.ru" ]
>>> "C:\Users\Marina\Desktop\Мои программы\Yandex.lnk" -> ["C:\Documents and Settings\Administrator\Local Settings\Application Data\Yandex\browser.bat" =>> "hxxp://helper365.ru" ]
>>> "C:\Users\Marina\Desktop\Мои программы\Вконтакте.lnk" -> ["C:\Documents and Settings\Admin\Local Settings\Application Data\Amigo\Application\vk.exe" =>> hxxp://r.mail.ru/n137257923]
>>> "C:\Users\Marina\Desktop\Мои программы\Войти в Интернет.lnk" -> ["C:\Documents and Settings\Admin\Local Settings\Application Data\chrome.bat" =>> "hxxp://helper365.ru" ]
>>> "C:\Users\Marina\Desktop\Мои программы\Искать в Интернете.lnk" -> ["C:\Documents and Settings\Administrator\Local Settings\Application Data\chrome.bat" =>> "hxxp://helper365.ru" ]
>>> "C:\Users\Marina\Desktop\Мои программы\Одноклассники.lnk" -> ["C:\Documents and Settings\Admin\Local Settings\Application Data\Amigo\Application\ok.exe" =>> hxxp://r.mail.ru/n137257727]
>>> [MASK] "C:\Users\Marina\Desktop\Мои программы\Хром.lnk" -> ["C:\Documents and Settings\Admin\Local Settings\Application Data\chrome.bat" =>> "hxxp://helper365.ru" ]
>>> [MASK] "C:\Users\Marina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk" -> ["C:\Users\Marina\AppData\Local\Yandex\YandexBrowser\Application\browser.bat"]
>>> "C:\Users\Marina\Desktop\Мои программы\Google Chrome.lnk" -> ["C:\Program Files\Google\Chrome\chrome.bat"]
- "C:\Users\Marina\Desktop\Мои программы\Kometa.lnk" -> ["C:\Documents and Settings\Admin\Local Settings\Application Data\Kometa\Application\kometa.exe"]
- "C:\Users\Marina\Desktop\Мои программы\Амиго.lnk" -> ["C:\Documents and Settings\Admin\Local Settings\Application Data\Amigo\Application\amigo.exe"]
- "C:\Users\Marina\Desktop\Мои программы\Амиго.Музыка.lnk" -> ["C:\Documents and Settings\Admin\Local Settings\Application Data\Amigo\Application\amigo.exe" =>> --profile-directory=Default --app-id=mbipmajmbfjakbcfnjdldckninlnmhoe]
-[HTTP] "C:\Users\Marina\Desktop\Мои программы\Поиcк в Интeрнете.lnk" -> ["(Internet Explorer)" =>> hxxp://go-search.ru/?utm_source=desktop]
>>> [RO] "C:\Users\Marina\Desktop\Мои программы\MozBackup.lnk" -> ["C:\MozBackup.bat" =>> "hxxp://helper365.ru" ]
>>> "C:\Users\Marina\Desktop\Отчетность\Диадок.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.bat" =>> hxxps://diadoc.kontur.ru/?from=desktop]
>>> "C:\Users\Marina\Desktop\Отчетность\Контур - Экстерн.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.bat" =>> hxxps://auth.kontur.ru/?from=desktop&authmode=certlogin&back=hxxps://portal.kontur.ru/srvselector/index.ashx]
>>> "C:\Users\Marina\Desktop\Отчетность\Норматив.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.bat" =>> hxxps://auth.kontur.ru/?from=desktop&authmode=certlogin&back=hxxps://normativ.kontur.ru/?from=desktop]
>>> "C:\Users\Marina\Desktop\Отчетность\Портал Контур.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.bat" =>> hxxps://auth.kontur.ru/?from=desktop&authmode=full&back=hxxps://kontur.ru/account/services]
>>> [modified] "C:\Users\Marina\Desktop\Мои программы\Диадок.lnk" -> ["C:\iexplore.bat" =>> "hxxp://helper365.ru" ]
>>> [modified] "C:\Users\Marina\Desktop\Мои программы\Контур - Экстерн.lnk" -> ["C:\iexplore.bat" =>> "hxxp://helper365.ru" ]
>>> [modified] "C:\Users\Marina\Desktop\Мои программы\Норматив.lnk" -> ["C:\iexplore.bat" =>> "hxxp://helper365.ru" ][/CODE]
Отчёт о работе прикрепите.

И, для контроля, такой ещё лог, только, желательно, не через неделю, а поскорее :>

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
25.09.2015, 04:07
denthebest2008

Пардон что так долго тянул,просто это в организации компьютер...выходные
25.09.2015, 09:34
Vvvyg

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKLM-x32\...\Run: [gmsd_ru_005010073] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010076] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010077] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010078] => [X]
HKLM-x32\...\Run: [rec_ru_65] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010079] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010082] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010083] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010089] => [X]
HKU\S-1-5-21-3697016963-1577638211-1785811047-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130870157244761755&GUID=00000000-0000-0000-0000-000000000000
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3697016963-1577638211-1785811047-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn
SearchScopes: HKU\S-1-5-21-3697016963-1577638211-1785811047-1000 -> {A6F829AD-E9CD-40A2-AFF5-3BEF1FFB9029} URL = hxxp://rusearcher.com/search.php?us=searcher&pcid=71492457-B396-4E42-BAC3-8BAC20C76D86&pid=41&query={searchTerms}&sc=ie
SearchScopes: HKU\S-1-5-21-3697016963-1577638211-1785811047-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn
BHO-x32: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Marina\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2015-09-03] (Mail.Ru)
CHR HomePage: Default -> hxxps://mail.ru/cnt/11956636
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms}&fr=xtn9
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (No Name) - C:\Users\Marina\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-09-17]
CHR Extension: (Mail.Ru) - C:\Users\Marina\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2015-09-14]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Marina\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofdgafmdegfkhfdfkmllfefmcmcjllec [2015-09-14]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Marina\AppData\Local\Google\Chrome\User Data\Default\Extensions\pnooffjhclkocplopffdbcdghmiffhji [2015-09-14]
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (CiPlus-4.5vV16.09) - C:\Users\Marina\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-09-17]
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe http://www.mail.ru/
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
R1 ppfd_vt_1_10_0_24; C:\Windows\System32\drivers\ppfd_vt_1_10_0_24.sys [61328 2015-09-03] (PhraseProfessor)
2015-09-18 08:25 - 2015-09-18 08:25 - 00004212 _____ C:\Windows\System32\Tasks\PhraseProfessor Auto Updater 1.10.0.24 Pending Update
2015-09-18 08:25 - 2015-09-18 08:25 - 00004202 _____ C:\Windows\System32\Tasks\PhraseProfessor Auto Updater 1.10.0.24 Core
2015-09-18 08:06 - 2015-09-18 08:06 - 00000000 ____D C:\Users\Все пользователи\{2ACB8283-3DA0-4D9A-8EC6-CE39EEA98C97}
2015-09-18 08:06 - 2015-09-18 08:06 - 00000000 ____D C:\Users\Marina\AppData\Roaming\AMCPromote
2015-09-17 17:21 - 2015-09-17 17:21 - 00000000 ____D C:\Users\Marina\AppData\Local\globalUpdate
2015-09-17 15:25 - 2015-09-17 15:25 - 00000000 ____D C:\Windows\SysWOW64\MailProducts
2015-09-17 17:21 - 2015-09-18 11:17 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2015-08-28 16:55 - 2015-08-28 16:55 - 0613255 _____ (CMI Limited) C:\Users\Marina\AppData\Local\nsc65AC.tmp
2015-09-17 15:58 - 2015-09-17 15:58 - 0613255 _____ (CMI Limited) C:\Users\Marina\AppData\Local\nsc6CAD.tmp
2015-09-07 09:33 - 2015-09-07 09:33 - 0613255 _____ (CMI Limited) C:\Users\Marina\AppData\Local\nscC339.tmp
2015-09-09 10:11 - 2015-09-09 10:11 - 0613255 _____ (CMI Limited) C:\Users\Marina\AppData\Local\nscC642.tmp
2015-09-03 08:33 - 2015-09-03 08:33 - 0613255 _____ (CMI Limited) C:\Users\Marina\AppData\Local\nscF354.tmp
2015-09-01 09:09 - 2015-09-01 09:09 - 0613255 _____ (CMI Limited) C:\Users\Marina\AppData\Local\nseFD7.tmp
2015-09-01 16:00 - 2015-09-01 16:00 - 0613255 _____ (CMI Limited) C:\Users\Marina\AppData\Local\nsh1FF2.tmp
2015-09-08 08:30 - 2015-09-08 08:30 - 0613255 _____ (CMI Limited) C:\Users\Marina\AppData\Local\nsh5F10.tmp
2015-09-15 08:39 - 2015-09-15 08:39 - 0613255 _____ (CMI Limited) C:\Users\Marina\AppData\Local\nshB8F9.tmp
2015-09-02 08:34 - 2015-09-02 08:34 - 0613255 _____ (CMI Limited) C:\Users\Marina\AppData\Local\nss9679.tmp
2015-08-28 14:37 - 2015-08-28 14:37 - 0613255 _____ (CMI Limited) C:\Users\Marina\AppData\Local\nsx1299.tmp
2015-09-04 08:35 - 2015-09-04 08:34 - 0613255 _____ (CMI Limited) C:\Users\Marina\AppData\Local\nsx97C0.tmp
2015-09-10 08:36 - 2015-09-10 08:36 - 0613255 _____ (CMI Limited) C:\Users\Marina\AppData\Local\nsxC149.tmp
2015-08-28 14:37 - 2015-08-28 14:37 - 00000000 __SHD C:\Users\Marina\AppData\Roaming\AnyProtectEx
2015-08-28 14:34 - 2015-09-10 08:36 - 00000102 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-08-28 14:34 - 2015-09-10 08:36 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-09-01 15:40 - 2015-09-10 08:13 - 00000000 ____D C:\Users\Marina\AppData\Roaming\Obnovi Soft
2015-09-01 15:39 - 2015-09-01 15:39 - 00000177 _____ C:\Users\Marina\Desktop\Искать в Интернете.url
2015-09-01 15:38 - 2015-09-01 15:38 - 00000000 ____D C:\Users\Marina\AppData\Roaming\MailProducts
2015-08-27 13:54 - 2015-09-18 11:58 - 00000000 ____D C:\Program Files (x86)\IObit
2015-08-27 13:54 - 2015-09-18 08:06 - 00000000 ____D C:\Users\Все пользователи\ProductData
2015-08-27 13:54 - 2015-08-27 13:54 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-08-27 13:51 - 2015-09-18 16:18 - 00000000 ____D C:\Users\Marina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage
2015-08-27 13:51 - 2015-09-18 16:18 - 00000000 ____D C:\Users\Marina\AppData\Roaming\ASPackage
2015-08-26 23:04 - 2015-08-27 08:04 - 00000000 ____D C:\ProgramData\boost_interprocess
2015-09-03 06:10 - 2015-09-03 06:10 - 00061328 _____ (PhraseProfessor) C:\Windows\system32\Drivers\ppfd_vt_1_10_0_24.sys
2015-09-03 06:10 - 2015-09-03 06:10 - 00057744 _____ (PhraseProfessor) C:\Windows\system32\Drivers\ppfd_vw_1_10_0_24.sys
2015-09-08 11:37 - 2015-09-08 11:37 - 00000000 ____D C:\Program Files (x86)\predm
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
Task: {387555BD-4AE8-4639-93AF-18A5F0DDB315} - System32\Tasks\PhraseProfessor Auto Updater 1.10.0.24 Pending Update => C:\Program Files (x86)\PhraseProfessor_1.10.0.24\Update\PhraseProfessorAutoUpdateClient.exe <==== ATTENTION
Task: {3C280B44-E8CC-42DB-A2DE-31C8764B3429} - \Uninstaller_SkipUac_Marina -> No File <==== ATTENTION
Task: {DEB76C43-6107-4923-A2AC-986D85E18027} - \Driver Booster SkipUAC (Marina) -> No File <==== ATTENTION
Task: {FC6FF45E-4D00-483B-A26A-BAE1497C78E3} - System32\Tasks\PhraseProfessor Auto Updater 1.10.0.24 Core => C:\Program Files (x86)\PhraseProfessor_1.10.0.24\Update\PhraseProfessorAutoUpdateClient.exe <==== ATTENTION
FirewallRules: [{F3FD1015-FD79-40DA-BEEC-5D66B694B276}] => (Allow) C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Удалите программу globalupdate Helper, а также Mail.Ru Агент 6.5 и Служба автоматического обновления программ (MailRuUpdater) если осознанно их не устанавливали.
28.09.2015, 07:45
denthebest2008

лог
28.09.2015, 13:29
Vvvyg

Что с проблемой?
29.09.2015, 12:34
denthebest2008

Да вроде всё хорошо,до этого вкладки с рекламой открывались...сейчас вроде всё ок!Спасибо!
29.09.2015, 12:59
Vvvyg

Удалите папку C:\FRST со всем содержимым.

В Avast: Настойки -> Антивирусная защита -> Экран файловой системы -> чувствительность -> поставить галку на "Искать потенциально нежелательные программы (ПНП)".
Убедитесь также, что включены в разделе настройки -> Антивирус DeepScreen и Усиленный режим хотя бы как "Умеренный". Это хоть как-то оградит от запуска разных мусорных программ, коих Вы словили просто огромное количество.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
29.09.2015, 13:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]54[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \aspackage.exe._d386ccd2ea2335e69e0b7daa36f46d8fb7847e4d - [B]not-a-virus:AdWare.NSIS.ConvertAd.ltl[/B][*] c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-10.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B][*] c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-11.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.vv1@kOVQetfO )[*] c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-1-6.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B][*] c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-1-7.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.7u1@kGa5H6kO )[*] c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-3.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.vv1@kOVQetfO )[*] c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-5.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.!u1@kmkatdhO )[*] c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-6.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.mz1@kmfzovbi )[*] c:\program files (x86)\ciplus-4.5vv16.09\caf6752b-c61a-494b-bcb7-fd0c006d87be-7.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.7u1@kGa5H6kO )[*] c:\program files (x86)\globalupdate\update\globalupdate.exe - [B]not-a-virus:RiskTool.Win32.GlobalUpdate.dx[/B][*] c:\program files (x86)\globalupdate\update\1.3.25.0\globalupdatebroker.exe - [B]not-a-virus:AdWare.Win32.Goopdate.a[/B] ( DrWEB: Adware.Boxore.2 )[*] c:\program files (x86)\globalupdate\update\1.3.25.0\globalupdatecrashhandler.exe - [B]not-a-virus:RiskTool.Win32.GlobalUpdate.dx[/B][*] c:\program files (x86)\globalupdate\update\1.3.25.0\globalupdate.exe - [B]not-a-virus:RiskTool.Win32.GlobalUpdate.dx[/B][*] c:\program files (x86)\globalupdate\update\1.3.25.0\globalupdateondemand.exe - [B]not-a-virus:AdWare.Win32.Goopdate.b[/B] ( DrWEB: Adware.Boxore.2 )[*] c:\program files (x86)\globalupdate\update\1.3.25.0\goopdate.dll - [B]not-a-virus:AdWare.Win32.Goopdate.c[/B][*] c:\program files (x86)\globalupdate\update\1.3.25.0\goopdateres_en.dll - [B]not-a-virus:AdWare.Win32.Goopdate.d[/B][*] c:\program files (x86)\globalupdate\update\1.3.25.0\npglobalupdateupdate4.dll - [B]not-a-virus:AdWare.Win32.Goopdate.e[/B][*] c:\program files (x86)\globalupdate\update\1.3.25.0\psmachine.dll - [B]not-a-virus:AdWare.Win32.Goopdate.f[/B][*] c:\program files (x86)\globalupdate\update\1.3.25.0\psuser.dll - [B]not-a-virus:AdWare.Win32.Goopdate.f[/B][*] c:\program files (x86)\gmsd_ru_005010087\gmsd_ru_005010087.exe - [B]not-a-virus:AdWare.Win32.Eorezo.afob[/B][*] c:\program files (x86)\gmsd_ru_005010089\gmsd_ru_005010089.exe - [B]not-a-virus:AdWare.Win32.Eorezo.afob[/B][*] c:\program files (x86)\sfk\sfkex.exe - [B]not-a-virus:AdWare.Win32.ELEX.bq[/B][*] c:\program files (x86)\sfk\sfkex64.exe - [B]not-a-virus:AdWare.Win64.Agent.be[/B][*] c:\program files (x86)\sfk\ssfk.exe - [B]HEUR:Trojan.Win32.Generic[/B][*] c:\program files (x86)\wordsurfer_1.10.0.19\service\wsasvc.exe - [B]not-a-virus:AdWare.Win32.Vitruvian.q[/B][*] c:\program files (x86)\wordsurfer_1.10.0.19\update\wordsurferautoupdateclient.exe - [B]not-a-virus:AdWare.MSIL.Surfer.ak[/B][*] c:\program files (x86)\03d40274-1440647493-05fc-8906-140700080009\knsp5d66.tmp - [B]not-a-virus:AdWare.Win32.Agent.jfml[/B][*] c:\users\marina\appdata\local\gmsd_ru_005010087\upgmsd_ru_005010087.exe - [B]not-a-virus:AdWare.Win32.Eorezo.afob[/B][*] c:\users\marina\appdata\local\gmsd_ru_005010089\upgmsd_ru_005010089.exe - [B]not-a-virus:AdWare.Win32.Eorezo.afob[/B][*] c:\users\marina\appdata\roaming\etranslator\etranslator.exe - [B]not-a-virus:AdWare.Win32.Agent.jgio[/B][*] c:\users\marina\appdata\roaming\33nllgn4l4ci.exe - [B]not-a-virus:WebToolbar.Win32.CroRi.fte[/B][*] c:\windows\system32\drivers\wsafd_1_10_0_19.sys - [B]not-a-virus:NetTool.Win64.NetFilter.l[/B][/LIST][/LIST]