Куча рекламы, посторонние процессы [Trojan-Downloader.MSIL.Crypted.ii, Trojan.Win32.Vilsel.codr ]

Printable View

29.11.2015, 19:19
zacenimoymir

Куча рекламы, посторонние процессы [Trojan-Downloader.MSIL.Crypted.ii, Trojan.Win32.Vilsel.codr ]

Реклама открывается на любом сайте на половину экрана, браузер сам открывает вкладки.
29.11.2015, 19:22
Info_bot

Уважаемый(ая) [B]zacenimoymir[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
30.11.2015, 14:18
regist

Здравствуйте!

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\hnstfa27.tmp');
TerminateProcessByName('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\jnsze267.tmp');
TerminateProcessByName('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\knsic6ca.tmpfs');
TerminateProcessByName('c:\program files (x86)\savepass 1.1\c156bda9-04bd-481a-9a92-a48043392a25.exe');
TerminateProcessByName('c:\program files (x86)\ciplus-4.5vv30.07\ae60b39b-ed0e-4287-9f18-d483c42d2363-6.exe');
TerminateProcessByName('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-6.exe');
TerminateProcessByName('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-1-6.exe');
SetServiceStart('{632f6d44-7348-49cf-a62d-8be1f536f088}Gw64', 4);
SetServiceStart('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64', 4);
SetServiceStart('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}Gw64', 4);
SetServiceStart('{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}Gw64', 4);
SetServiceStart('timolugo', 4);
SetServiceStart('bykesute', 4);
StopService('kororebi');
StopService('myfejozi');
StopService('skinapp');
StopService('{632f6d44-7348-49cf-a62d-8be1f536f088}Gw64');
StopService('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64');
StopService('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}Gw64');
StopService('{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}Gw64');
StopService('webinstrNewH');
StopService('nethfdrv');
StopService('ccnfd_1_10_0_2');
StopService('timolugo');
StopService('bykesute');
QuarantineFileF('C:\Users\Alexandr\AppData\Roaming\newSI_1001\', '*', true, '', 0 , 0);
QuarantineFileF('C:\Users\Alexandr\AppData\Local\SystemDir', '*', true, '', 0 , 0);
QuarantineFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\hnstfa27.tmp', '');
QuarantineFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\jnsze267.tmp', '');
QuarantineFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\knsic6ca.tmpfs', '');
QuarantineFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\knsx4E4A.tmp', '');
QuarantineFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\hnsp77AC.tmp', '');
QuarantineFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\jnsv60D6.tmp', '');
QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010055\gmsd_ru_005010055.exe', '');
QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010068\gmsd_ru_005010068.exe', '');
QuarantineFile('C:\Program Files (x86)\gmsd_ru_025010054\gmsd_ru_025010054.exe', '');
QuarantineFile('C:\Users\Alexandr\AppData\Local\Microsoft\Windows\system.exe', '');
QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.bat', '');
QuarantineFile('C:\Users\Alexandr\AppData\Local\Yandex\YandexBrowser\Application\browser.bat', '');
QuarantineFile('C:\Users\Alexandr\AppData\Local\Kometa\Application\kometa.bat', '');
QuarantineFile('C:\Users\Alexandr\AppData\Roaming\newSI_1001\s_inst.exe', '');
QuarantineFile('C:\Users\Alexandr\AppData\Local\SystemDir\nethost.exe', '');
QuarantineFile('C:\Users\Alexandr\AppData\Local\Temp\Updater.exe', '');
QuarantineFile('c:\task.vbs', '');
QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '');
QuarantineFile('C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe', '');
QuarantineFile('C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-bho.dll', '');
QuarantineFile('C:\Program Files (x86)\VK Downloader\Toolbar32.dll', '');
QuarantineFile('C:\Program Files (x86)\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll', '');
QuarantineFile('C:\Program Files (x86)\ver8BlockAndSurf\184.dll', '');
QuarantineFile('C:\Windows\skinapp.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\Drivers\webinstrNewH.sys', '');
QuarantineFile('C:\Program Files (x86)\03000200-1439845118-0500-0006-000700080009\knsx444E.tmp', '');
QuarantineFile('C:\Users\Alexandr\AppData\Local\retechno.exe', '');
QuarantineFile('C:\Windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}w64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\nethfdrv.sys', '');
QuarantineFile('C:\Windows\system32\drivers\ccnfd_1_10_0_2.sys', '');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV30.07\164f6110-e9b2-4136-9330-7214b1b4e22e.dll', '');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV17.08\96d3a5bb-d900-4d33-8644-df033650e2f2.dll', '');
QuarantineFile('c:\program files (x86)\savepass 1.1\c156bda9-04bd-481a-9a92-a48043392a25.exe', '');
QuarantineFile('c:\program files (x86)\ciplus-4.5vv30.07\ae60b39b-ed0e-4287-9f18-d483c42d2363-6.exe', '');
QuarantineFile('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-6.exe', '');
QuarantineFile('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-1-6.exe', '');
DeleteFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\hnstfa27.tmp', '32');
DeleteFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\jnsze267.tmp', '32');
DeleteFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\knsic6ca.tmpfs', '32');
DeleteFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\knsx4E4A.tmp', '32');
DeleteFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\hnsp77AC.tmp', '32');
DeleteFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\jnsv60D6.tmp', '32');
DeleteFile('C:\Program Files (x86)\gmsd_ru_005010055\gmsd_ru_005010055.exe', '32');
DeleteFile('C:\Program Files (x86)\gmsd_ru_005010068\gmsd_ru_005010068.exe', '32');
DeleteFile('C:\Program Files (x86)\gmsd_ru_025010054\gmsd_ru_025010054.exe', '32');
DeleteFile('C:\Users\Alexandr\AppData\Local\Microsoft\Windows\system.exe', '32');
DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.bat', '32');
DeleteFile('C:\Users\Alexandr\AppData\Local\Yandex\YandexBrowser\Application\browser.bat', '32');
DeleteFile('C:\Users\Alexandr\AppData\Local\Kometa\Application\kometa.bat', '32');
DeleteFile('C:\Users\Alexandr\AppData\Roaming\newSI_1001\s_inst.exe', '32');
DeleteFile('C:\Users\Alexandr\AppData\Local\SystemDir\nethost.exe', '32');
DeleteFile('C:\Users\Alexandr\AppData\Local\Temp\Updater.exe', '32');
DeleteFile('c:\task.vbs', '32');
DeleteFile('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-1-6.exe', '32');
DeleteFile('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-6.exe', '32');
DeleteFile('c:\program files (x86)\ciplus-4.5vv30.07\ae60b39b-ed0e-4287-9f18-d483c42d2363-6.exe', '32');
DeleteFile('c:\program files (x86)\savepass 1.1\c156bda9-04bd-481a-9a92-a48043392a25.exe', '32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV17.08\96d3a5bb-d900-4d33-8644-df033650e2f2.dll', '32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV30.07\164f6110-e9b2-4136-9330-7214b1b4e22e.dll', '32');
DeleteFile('C:\Windows\system32\drivers\nethfdrv.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}w64.sys', '32');
DeleteFile('C:\Program Files (x86)\03000200-1439845118-0500-0006-000700080009\knsx444E.tmp', '32');
DeleteFile('C:\Windows\skinapp.sys', '32');
DeleteFile('C:\Program Files (x86)\ver8BlockAndSurf\184.dll', '32');
DeleteFile('C:\Program Files (x86)\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll', '32');
DeleteFile('C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-bho.dll', '32');
DeleteFile('C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe', '32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '32');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "c156bda9-04bd-481a-9a92-a48043392a25.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "newSI_1001.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "c156bda9-04bd-481a-9a92-a48043392a25" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "newSI_1001" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "runTask" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "updateTask" /F', 0, 15000, true);
DeleteService('kororebi');
DeleteService('myfejozi');
DeleteService('cidocuvy');
DeleteService('comyninu');
DeleteService('hyverumu');
DeleteService('skinapp');
DeleteService('{632f6d44-7348-49cf-a62d-8be1f536f088}Gw64');
DeleteService('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64');
DeleteService('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}Gw64');
DeleteService('{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}Gw64');
DeleteService('nethfdrv');
DeleteService('timolugo');
DeleteService('bykesute');
DeleteFileMask('C:\Users\Alexandr\AppData\Roaming\newSI_1001\', '*', true);
DeleteFileMask('C:\Users\Alexandr\AppData\Local\SystemDir', '*', true);
DeleteDirectory('C:\Users\Alexandr\AppData\Roaming\newSI_1001\');
DeleteDirectory('C:\Users\Alexandr\AppData\Local\SystemDir');
DelBHO('{11111111-1111-1111-1111-110611191111}');
DelBHO('{11111111-1111-1111-1111-110611341129}');
DelBHO('{A18EA34C-6D33-4298-8A54-7F16499904C0}');
DelBHO('{ECFE940D-D51F-7BC6-C852-EA86E896B721}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010068', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\prbjolzosu', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010055', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_025010054', 'command');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

- сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK_dbg.zip"]Check Browsers' LNK by Dragokas & regist[/URL]. Заархивируйте его и прикрепите к сообщению.

[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
05.12.2015, 18:05
zacenimoymir

Не мог попасть к компьютеру, выполнил и прислал вроде бы все, что Вы просили, проблема не после выполнения скрипта не исчезла, при подключении к интернету, в браузере всплывают окна с многочисленной рекламой.
05.12.2015, 19:12
regist

[quote="zacenimoymir;1338755"]при подключении к интернету, в браузере всплывают окна с многочисленной рекламой.[/quote]
ещё бы, такой зоопарк разнообразной адвари установлен.

[quote="regist;1337097"]- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.[/quote]
Где ссылка на отчёт? Жду.

Потом

- Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]).[*]В меню [b]Настройки[/b] отметьте:
[list][*]Сброс политик IE[*]Сброс политик Chrome[/list][*]Нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончанию сканирования нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистка"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[C1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
05.12.2015, 23:43
zacenimoymir

Вот ссылка: [url]http://virusinfo.info/virusdetector/report.php?md5=2C50516ADC731865B3CAEE3F59398158[/url]
Дальнейшие указания проведу завтра! Компьютер родителей, к сожалению ежедневного доступа не имею к нему, а помочь нужно! Спасибо за понимание.
12.12.2015, 17:45
zacenimoymir

Реклама в браузере исчезла поле выполнения вашей инструкции, самопроизвольный запуск Opera, который происходил через определенный момент времени также исчез, огромное спасибо, логи прикрепил, жду дальнейших указаний.
12.12.2015, 19:08
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
SetServiceStart('{809da842-a636-4d48-aeda-93730ef23d66}Gw64', 4);
SetServiceStart('{7a3b1fa0-6acc-4a4a-9930-456a27e1b6c1}Gw64', 4);
SetServiceStart('prfoucrdow', 4);
StopService('{a081059f-4e06-4f49-9a1e-4b92e171ba25}w64');
StopService('{a081059f-4e06-4f49-9a1e-4b92e171ba25}Gw64');
StopService('{809da842-a636-4d48-aeda-93730ef23d66}Gw64');
StopService('{7a3b1fa0-6acc-4a4a-9930-456a27e1b6c1}Gw64');
StopService('prfoucrdow');
QuarantineFile('C:\Users\Alexandr\appdata\roaming\microsoft update\unload.exe', '');
QuarantineFile('C:\Users\Alexandr\appdata\roaming\gemware\deletewebkitcookie.exe', '');
QuarantineFile('C:\Users\Alexandr\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '');
QuarantineFile('C:\Program Files (x86)\baidu\pps.exe', '');
QuarantineFile('C:\Windows\system32\drivers\{a081059f-4e06-4f49-9a1e-4b92e171ba25}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{a081059f-4e06-4f49-9a1e-4b92e171ba25}w64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{809da842-a636-4d48-aeda-93730ef23d66}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{7a3b1fa0-6acc-4a4a-9930-456a27e1b6c1}Gw64.sys', '');
QuarantineFile('C:\Users\Alexandr\AppData\Local\retechno.exe', '');
DeleteFile('C:\Users\Alexandr\AppData\Local\retechno.exe', '32');
DeleteFile('C:\Windows\system32\drivers\{7a3b1fa0-6acc-4a4a-9930-456a27e1b6c1}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{809da842-a636-4d48-aeda-93730ef23d66}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{a081059f-4e06-4f49-9a1e-4b92e171ba25}w64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{a081059f-4e06-4f49-9a1e-4b92e171ba25}Gw64.sys', '32');
DeleteFile('C:\Program Files (x86)\baidu\pps.exe', '32');
DeleteFile('C:\Windows\Tasks\bc3e5259-216b-45ab-922d-6380dea9f0d0.job', '32');
DeleteFile('C:\Windows\Tasks\RMSchedule.job', '32');
DeleteFile('C:\Windows\system32\Tasks\bc3e5259-216b-45ab-922d-6380dea9f0d0', '64');
DeleteFile('C:\Windows\system32\Tasks\Uninstaller_SkipUac_Alexandr', '64');
DeleteFile('C:\Users\Alexandr\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '32');
DeleteFile('C:\Users\Alexandr\appdata\roaming\gemware\deletewebkitcookie.exe', '32');
DeleteFile('C:\Users\Alexandr\appdata\roaming\microsoft update\unload.exe', '32');
DeleteService('{a081059f-4e06-4f49-9a1e-4b92e171ba25}w64');
DeleteService('{a081059f-4e06-4f49-9a1e-4b92e171ba25}Gw64');
DeleteService('{809da842-a636-4d48-aeda-93730ef23d66}Gw64');
DeleteService('{7a3b1fa0-6acc-4a4a-9930-456a27e1b6c1}Gw64');
DeleteService('prfoucrdow');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\allskidkimos', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\moreskidki', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\prbjolzosu', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_ru_101', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TorProject', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader', 'command');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[LIST][*]Пожалуйста, запустите adwcleaner.exe[*]Нажмите [B]Uninstall[/B] ([B]Деинсталлировать[/B]).[*]Подтвердите удаление нажав кнопку: Да.[/LIST]
20.12.2015, 14:43
zacenimoymir

Все выполнил по Вашей инструкции.
20.12.2015, 15:14
regist

[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2YljqZp_YQlu2ojOULS2I4g89JVv2VxjflSuNwgNBdq6J5udM2PUzaJKqRA01w4LJFDMuxrNBiSPTc6kCgPER4lMw48ms_RWz6UkJmL1u6ZUwI0XeUOwYE7MMEApeS27BrmBiKcuxCbU7l2&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2YljqZp_YQlu2ojOULS2I4g89JVv2VxjflSuNwgNBdq6J5udM2PUzaJKqRA01w4LJFDMuxrNBiSPTc6kCgPER4lMw48ms_RWz6UkJmL1u6ZUwI0XeUOwYE7MMEApeS27BrmBiKcuxCbU7l2&q={searchTerms}
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
[/CODE]

[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

[URL='http://rghost.ru/private/752hQ9WmK/803c28b780a2e6064a05008d09b4a089']сделайте лог HiJackThis 2.0.6 Alfa 1.4[/URL]
20.12.2015, 15:24
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\baidu\pps.exe - [B]Trojan.Win32.Vilsel.codr[/B] ( DrWEB: Trojan.Siggen6.42230, AVAST4: Win32:Malware-gen )[*] c:\program files (x86)\vk downloader\toolbar32.dll - [B]not-a-virus:WebToolbar.Win32.Agent.bgn[/B] ( DrWEB: Adware.Downware.10995 )[*] c:\users\alexandr\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe - [B]not-a-virus:Downloader.Win32.LMN.afw[/B] ( DrWEB: Trojan.LoadMoney.491 )[*] c:\users\alexandr\appdata\local\retechno.exe - [B]Trojan-Downloader.MSIL.Crypted.ii[/B] ( DrWEB: Trojan.DownLoader17.28781, AVAST4: Win32:Malware-gen )[*] c:\users\alexandr\appdata\roaming\gemware\deletewebkitcookie.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.InstallCube.400, AVAST4: Win32:Malware-gen )[*] c:\users\alexandr\appdata\roaming\microsoft update\unload.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.DownLoader12.23010, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\drivers\ccnfd_1_10_0_2.sys - [B]not-a-virus:AdWare.Win32.Vitruvian.c[/B] ( DrWEB: Adware.Plugin.274 )[*] c:\windows\system32\drivers\webinstrnewh.sys - [B]not-a-virus:AdWare.Win64.AddLyrics.de[/B] ( DrWEB: Trojan.Lyrics.299 )[*] c:\windows\system32\drivers\{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}gw64.sys - [B]not-a-virus:NetTool.Win64.NetFilter.k[/B] ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.SwiftBrowse.CH )[*] c:\windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}gw64.sys - [B]not-a-virus:NetTool.Win64.NetFilter.k[/B] ( DrWEB: Trojan.Yontoo.1734, BitDefender: Adware.SwiftBrowse.CH )[*] c:\windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64.sys - [B]not-a-virus:NetTool.Win64.NetFilter.k[/B] ( DrWEB: Trojan.Yontoo.1734, BitDefender: Adware.SwiftBrowse.CH )[*] c:\windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}gw64.sys - [B]not-a-virus:AdWare.Win32.Yotoon.szx[/B] ( DrWEB: Trojan.Yontoo.1734, BitDefender: Adware.SwiftBrowse.CH )[*] c:\windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}w64.sys - [B]not-a-virus:AdWare.Win32.Yotoon.szx[/B] ( DrWEB: Trojan.Yontoo.1734, BitDefender: Adware.SwiftBrowse.CH )[/LIST][/LIST]