Setup wizard не могу удалить [not-a-virus:AdWare.Win32.Eorezo.fmdh, not-a-virus:HEUR:AdWare.Win32.ELEX.gen ]

Printable View

27.01.2016, 11:20
muflic .

Setup wizard не могу удалить [not-a-virus:AdWare.Win32.Eorezo.fmdh, not-a-virus:HEUR:AdWare.Win32.ELEX.gen ]

Установил я с шрифтом эту программу и теперь никак не могу ее удалить
27.01.2016, 11:21
Info_bot

Уважаемый(ая) [B]muflic .[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
27.01.2016, 11:42
muflic .

istartpageing тоже беспокоит постоянно
27.01.2016, 13:25
Vvvyg

А средство удалённого управления RMS: c:\windows\syswow64\vipcatalog\rfusclient.exe - беспокоит? Ваше?
27.01.2016, 15:11
muflic .

не мое.не беспокоило

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

не моё, не мешало
27.01.2016, 16:01
Vvvyg

Раз не Ваше - значит, кто-то может управлять Вашим компьютером. Лучше удалим. Тем более местонахождение RMS характерно для скрытой установки.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\program files (x86)\00000000-1453821691-0000-0000-00241dce6f67\hnsyb140.tmp');
TerminateProcessByName('c:\program files (x86)\elex-tech\yac\isafetray.exe');
TerminateProcessByName('c:\program files (x86)\00000000-1453821691-0000-0000-00241dce6f67\jnss995a.tmp');
TerminateProcessByName('c:\program files (x86)\00000000-1453821691-0000-0000-00241dce6f67\knsx80c5.tmpfs');
TerminateProcessByName('c:\windows\syswow64\vipcatalog\rfusclient.exe');
TerminateProcessByName('c:\windows\syswow64\vipcatalog\rutserv.exe');
TerminateProcessByName('c:\users\goodwin\appdata\local\00000000-1453828948-0000-0000-00241dce6f67\snst54fd.tmp');
TerminateProcessByName('c:\users\goodwin\appdata\local\gmsd_re_005010219\upgmsd_re_005010219.exe');
StopService('RManService');
StopService('rowugoqo');
StopService('vuhufuzyzbt');
StopService('wucotusy');
StopService('iSafeKrnl');
StopService('iSafeKrnlKit');
StopService('iSafeKrnlMon');
StopService('iSafeKrnlR3');
StopService('iSafeNetFilter');
QuarantineFileF('c:\users\goodwin\appdata\local\gmsd_re_005010219', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 , 0);
QuarantineFileF('C:\Users\Goodwin\AppData\Roaming\MicrosoftUpdater', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 , 0);
QuarantineFile('c:\program files (x86)\00000000-1453821691-0000-0000-00241dce6f67\hnsyb140.tmp', '');
QuarantineFile('c:\program files (x86)\elex-tech\yac\isafetray.exe', '');
QuarantineFile('c:\program files (x86)\00000000-1453821691-0000-0000-00241dce6f67\jnss995a.tmp', '');
QuarantineFile('c:\program files (x86)\00000000-1453821691-0000-0000-00241dce6f67\knsx80c5.tmpfs', '');
QuarantineFile('c:\windows\syswow64\vipcatalog\rfusclient.exe', '');
QuarantineFile('c:\windows\syswow64\vipcatalog\rutserv.exe', '');
QuarantineFile('c:\users\goodwin\appdata\local\00000000-1453828948-0000-0000-00241dce6f67\snst54fd.tmp', '');
QuarantineFile('c:\users\goodwin\appdata\local\gmsd_re_005010219\upgmsd_re_005010219.exe', '');
QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys', '');
QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys', '');
QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys', '');
QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys', '');
QuarantineFile('C:\Windows\system32\DRIVERS\iSafeNetFilter.sys', '');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16792.224\QMUdisk64.sys', '');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16792.224\TsDefenseBT64.sys', '');
QuarantineFile('C:\Users\Goodwin\AppData\Roaming\MyDesktop\linkme0120.exe', '');
QuarantineFile('C:\Program Files (x86)\IObit\Advanced SystemCare 8\DiskDefrag.exe', '');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16792.224\plugins\FileSmash\QMSoftExt.dll', '');
QuarantineFile('C:\Users\Goodwin\AppData\Local\Mail.ru\Sputnik\ptls\mailruhomesearchvbm.exe', '');
QuarantineFile('Downloader.exe', '');
QuarantineFile('C:\Program Files (x86)\Torrent Search\IEEF\J9XxfYKVq7YT.dll', '');
QuarantineFile('C:\Program Files (x86)\TheTorntv V10\45c6c039-3021-4cd4-9206-d823a432d1ca.exe /agentregpath=' + Chr(39) + 'TheTorntv V10' + Chr(39) + ' /appid=63311 /srcid=' + Chr(39) + '001823' + Chr(39) + ' /subid=' + Chr(39) + '0' + Chr(39) + ' /zdata=' + Chr(39) + '0' + Chr(39) + ' /bic=D6D93E1DF37F421E9EB78792DD6A84ADIE /verifier=4ebe12450126b42ec789242b8bb4150c /installerversion=1_35_09_29 /installationtime=1412260932 /statsdomain=http://stats.newdatastatsserv.com /errorsdomain=http://errors.newdatastatsserv.com /extensionname=' + Chr(39) + 'Information' + Chr(39) + ' /torpedoiesleeps=1000 /torpedoieplugins=93-0, 102-0, 104-0, 184-0 /monetizationdomain=http://logs.newdatastatsserv.com /runfrom=' + Chr(39) + 'task' + Chr(39) + ' /externallog=' + Chr(39) + '' + Chr(39) + '', '');
QuarantineFile('C:\Program Files (x86)\TotalPlusHD-3.1V02.10\8ded3530-7e52-4873-8e18-e151f0d889c3.exe', '');
QuarantineFile('C:\Program Files (x86)\TotalPlusHD-3.1V02.10\de9bb56a-f677-4872-8bcd-ebfe9ebf6c70.exe /agentregpath=' + Chr(39) + 'TotalPlusHD-3.1V02.10' + Chr(39) + ' /appid=63285 /srcid=' + Chr(39) + '002173' + Chr(39) + ' /subid=' + Chr(39) + '0' + Chr(39) + ' /zdata=' + Chr(39) + '0' + Chr(39) + ' /bic=D6D93E1DF37F421E9EB78792DD6A84ADIE /verifier=4ebe12450126b42ec789242b8bb4150c /installerversion=1_35_09_29 /installationtime=1412261102 /statsdomain=http://stats.newdatastatsserv.com /errorsdomain=http://errors.newdatastatsserv.com /extensionname=' + Chr(39) + 'Information' + Chr(39) + ' /torpedoiesleeps=1000 /torpedoieplugins=93-0, 102-0, 104-0, 178-288, 179-288, 180-288, 223-288, 263-24 /monetizationdomain=http://logs.newdatastatsserv.com /runfrom=' + Chr(39) + 'task' + Chr(39) + ' /externallog=' + Chr(39) + '' + Chr(39) + '', '');
QuarantineFile('C:\Program Files (x86)\TotalPlusHD-3.1V02.10\de9bb56a-f677-4872-8bcd-ebfe9ebf6c70.exe', '');
QuarantineFile('C:\Users\Goodwin\AppData\Roaming\DOCPL.exe', '');
QuarantineFile('C:\Users\Goodwin\AppData\Roaming\NOROZNTM.exe', '');
QuarantineFile('C:\Users\Goodwin\AppData\Roaming\QT.exe', '');
QuarantineFile('C:\Users\Goodwin\AppData\Roaming\SZLM.exe', '');
QuarantineFile('C:\Program Files (x86)\TheTorntv V10\45c6c039-3021-4cd4-9206-d823a432d1ca.exe /agentregpath=' + Chr(39) + 'TheTorntv V10' + Chr(39) + ' /appid=63311 /srcid=' + Chr(39) + '001823' + Chr(39) + ' /subid=' + Chr(39) + '0' + Chr(39) + ' /zdata=' + Chr(39) + '0' + Chr(39) + ' /bic=D6D93E1DF37F421E9EB78792DD6A84ADIE /verifier=4ebe12450126b42ec789242b8bb4150c /installerversion=1_35_09_29 /installationtime=1412260932 /statsdomain=http://stats.newdatastatsserv.com /errorsdomain=http://errors.newdatastatsserv.com /extensionname=' + Chr(39) + 'Information' + Chr(39) + ' /torpedoiesleeps=1000 /torpedoieplugins=93-0, 102-0, 104-0, 184-0 /monetizationdomain=http://logs.newdatastatsserv.com /runfrom=' + Chr(39) + 'task' + Chr(39) + ' /externallog=' + Chr(39) + '' + Chr(39) + '', '');
QuarantineFile('C:\Program Files (x86)\TotalPlusHD-3.1V02.10\de9bb56a-f677-4872-8bcd-ebfe9ebf6c70.exe /agentregpath=' + Chr(39) + 'TotalPlusHD-3.1V02.10' + Chr(39) + ' /appid=63285 /srcid=' + Chr(39) + '002173' + Chr(39) + ' /subid=' + Chr(39) + '0' + Chr(39) + ' /zdata=' + Chr(39) + '0' + Chr(39) + ' /bic=D6D93E1DF37F421E9EB78792DD6A84ADIE /verifier=4ebe12450126b42ec789242b8bb4150c /installerversion=1_35_09_29 /installationtime=1412261102 /statsdomain=http://stats.newdatastatsserv.com /errorsdomain=http://errors.newdatastatsserv.com /extensionname=' + Chr(39) + 'Information' + Chr(39) + ' /torpedoiesleeps=1000 /torpedoieplugins=93-0, 102-0, 104-0, 178-288, 179-288, 180-288, 223-288, 263-24 /monetizationdomain=http://logs.newdatastatsserv.com /runfrom=' + Chr(39) + 'task' + Chr(39) + ' /externallog=' + Chr(39) + '' + Chr(39) + '', '');
QuarantineFile('C:\Users\Goodwin\AppData\Roaming\MicrosoftUpdater\MicrosoftUpdater.exe', '');
DeleteFile('C:\Windows\Tasks\45c6c039-3021-4cd4-9206-d823a432d1ca.job', '64');
DeleteFile('C:\Windows\Tasks\8ded3530-7e52-4873-8e18-e151f0d889c3.job', '64');
DeleteFile('C:\Windows\Tasks\de9bb56a-f677-4872-8bcd-ebfe9ebf6c70.job', '64');
DeleteFile('C:\Windows\Tasks\DOCPL.job', '64');
DeleteFile('C:\Windows\Tasks\NOROZNTM.job', '64');
DeleteFile('C:\Windows\Tasks\QT.job', '64');
DeleteFile('C:\Windows\Tasks\SZLM.job', '64');
DeleteFile('c:\program files (x86)\00000000-1453821691-0000-0000-00241dce6f67\hnsyb140.tmp', '32');
DeleteFile('c:\program files (x86)\elex-tech\yac\isafetray.exe', '32');
DeleteFile('c:\program files (x86)\00000000-1453821691-0000-0000-00241dce6f67\jnss995a.tmp', '32');
DeleteFile('c:\program files (x86)\00000000-1453821691-0000-0000-00241dce6f67\knsx80c5.tmpfs', '32');
DeleteFile('c:\windows\syswow64\vipcatalog\rfusclient.exe', '32');
DeleteFile('c:\windows\syswow64\vipcatalog\rutserv.exe', '32');
DeleteFile('c:\users\goodwin\appdata\local\00000000-1453828948-0000-0000-00241dce6f67\snst54fd.tmp', '32');
DeleteFile('c:\users\goodwin\appdata\local\gmsd_re_005010219\upgmsd_re_005010219.exe', '32');
DeleteFile('C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASCService.exe', '32');
DeleteFile('C:\Program Files (x86)\HP Defender\HHandler.exe', '32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16792.224\QQPCRtp.exe', '32');
DeleteFile('C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe', '32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys', '32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys', '32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys', '32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\iSafeNetFilter.sys', '32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16792.224\QMUdisk64.sys', '32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16792.224\TsDefenseBT64.sys', '32');
DeleteFile('C:\Users\Goodwin\AppData\Roaming\MyDesktop\linkme0120.exe', '32');
DeleteFile('C:\Program Files (x86)\IObit\Advanced SystemCare 8\DiskDefrag.exe', '32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16792.224\plugins\FileSmash\QMSoftExt.dll', '32');
DeleteFile('C:\Users\Goodwin\AppData\Local\Mail.ru\Sputnik\ptls\mailruhomesearchvbm.exe', '32');
DeleteFile('Downloader.exe', '32');
DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\J9XxfYKVq7YT.dll', '32');
DeleteFile('C:\Program Files (x86)\TheTorntv V10\45c6c039-3021-4cd4-9206-d823a432d1ca.exe /agentregpath=' + Chr(39) + 'TheTorntv V10' + Chr(39) + ' /appid=63311 /srcid=' + Chr(39) + '001823' + Chr(39) + ' /subid=' + Chr(39) + '0' + Chr(39) + ' /zdata=' + Chr(39) + '0' + Chr(39) + ' /bic=D6D93E1DF37F421E9EB78792DD6A84ADIE /verifier=4ebe12450126b42ec789242b8bb4150c /installerversion=1_35_09_29 /installationtime=1412260932 /statsdomain=http://stats.newdatastatsserv.com /errorsdomain=http://errors.newdatastatsserv.com /extensionname=' + Chr(39) + 'Information' + Chr(39) + ' /torpedoiesleeps=1000 /torpedoieplugins=93-0, 102-0, 104-0, 184-0 /monetizationdomain=http://logs.newdatastatsserv.com /runfrom=' + Chr(39) + 'task' + Chr(39) + ' /externallog=' + Chr(39) + '' + Chr(39) + '', '32');
DeleteFile('C:\Program Files (x86)\TotalPlusHD-3.1V02.10\8ded3530-7e52-4873-8e18-e151f0d889c3.exe', '32');
DeleteFile('C:\Program Files (x86)\TotalPlusHD-3.1V02.10\de9bb56a-f677-4872-8bcd-ebfe9ebf6c70.exe /agentregpath=' + Chr(39) + 'TotalPlusHD-3.1V02.10' + Chr(39) + ' /appid=63285 /srcid=' + Chr(39) + '002173' + Chr(39) + ' /subid=' + Chr(39) + '0' + Chr(39) + ' /zdata=' + Chr(39) + '0' + Chr(39) + ' /bic=D6D93E1DF37F421E9EB78792DD6A84ADIE /verifier=4ebe12450126b42ec789242b8bb4150c /installerversion=1_35_09_29 /installationtime=1412261102 /statsdomain=http://stats.newdatastatsserv.com /errorsdomain=http://errors.newdatastatsserv.com /extensionname=' + Chr(39) + 'Information' + Chr(39) + ' /torpedoiesleeps=1000 /torpedoieplugins=93-0, 102-0, 104-0, 178-288, 179-288, 180-288, 223-288, 263-24 /monetizationdomain=http://logs.newdatastatsserv.com /runfrom=' + Chr(39) + 'task' + Chr(39) + ' /externallog=' + Chr(39) + '' + Chr(39) + '', '32');
DeleteFile('C:\Program Files (x86)\TotalPlusHD-3.1V02.10\de9bb56a-f677-4872-8bcd-ebfe9ebf6c70.exe', '32');
DeleteFile('C:\Users\Goodwin\AppData\Roaming\DOCPL.exe', '32');
DeleteFile('C:\Users\Goodwin\AppData\Roaming\NOROZNTM.exe', '32');
DeleteFile('C:\Users\Goodwin\AppData\Roaming\QT.exe', '32');
DeleteFile('C:\Users\Goodwin\AppData\Roaming\SZLM.exe', '32');
DeleteFile('C:\Program Files (x86)\TheTorntv V10\45c6c039-3021-4cd4-9206-d823a432d1ca.exe /agentregpath=' + Chr(39) + 'TheTorntv V10' + Chr(39) + ' /appid=63311 /srcid=' + Chr(39) + '001823' + Chr(39) + ' /subid=' + Chr(39) + '0' + Chr(39) + ' /zdata=' + Chr(39) + '0' + Chr(39) + ' /bic=D6D93E1DF37F421E9EB78792DD6A84ADIE /verifier=4ebe12450126b42ec789242b8bb4150c /installerversion=1_35_09_29 /installationtime=1412260932 /statsdomain=http://stats.newdatastatsserv.com /errorsdomain=http://errors.newdatastatsserv.com /extensionname=' + Chr(39) + 'Information' + Chr(39) + ' /torpedoiesleeps=1000 /torpedoieplugins=93-0, 102-0, 104-0, 184-0 /monetizationdomain=http://logs.newdatastatsserv.com /runfrom=' + Chr(39) + 'task' + Chr(39) + ' /externallog=' + Chr(39) + '' + Chr(39) + '', '32');
DeleteFile('C:\Program Files (x86)\IObit\Advanced SystemCare 8\Monitor.exe', '32');
DeleteFile('C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe', '32');
DeleteFile('C:\Program Files (x86)\TotalPlusHD-3.1V02.10\de9bb56a-f677-4872-8bcd-ebfe9ebf6c70.exe /agentregpath=' + Chr(39) + 'TotalPlusHD-3.1V02.10' + Chr(39) + ' /appid=63285 /srcid=' + Chr(39) + '002173' + Chr(39) + ' /subid=' + Chr(39) + '0' + Chr(39) + ' /zdata=' + Chr(39) + '0' + Chr(39) + ' /bic=D6D93E1DF37F421E9EB78792DD6A84ADIE /verifier=4ebe12450126b42ec789242b8bb4150c /installerversion=1_35_09_29 /installationtime=1412261102 /statsdomain=http://stats.newdatastatsserv.com /errorsdomain=http://errors.newdatastatsserv.com /extensionname=' + Chr(39) + 'Information' + Chr(39) + ' /torpedoiesleeps=1000 /torpedoieplugins=93-0, 102-0, 104-0, 178-288, 179-288, 180-288, 223-288, 263-24 /monetizationdomain=http://logs.newdatastatsserv.com /runfrom=' + Chr(39) + 'task' + Chr(39) + ' /externallog=' + Chr(39) + '' + Chr(39) + '', '32');
DeleteFile('D:\Download\Dr.Web6Portable_Scanner_by_HA3APET_v10\Update.bat', '32');
DeleteFile('C:\Users\Goodwin\AppData\Roaming\MicrosoftUpdater\MicrosoftUpdater.exe', '32');
DeleteService('RManService');
DeleteService('rowugoqo');
DeleteService('vuhufuzyzbt');
DeleteService('wucotusy');
DeleteService('AdvancedSystemCareService8');
DeleteService('HHandler Service');
DeleteService('QQPCRTP');
DeleteService('Updater.Mail.Ru');
DeleteService('iSafeKrnl');
DeleteService('iSafeKrnlKit');
DeleteService('iSafeKrnlMon');
DeleteService('iSafeKrnlR3');
DeleteService('iSafeNetFilter');
DeleteService('QMUdisk');
DeleteService('TsDefenseBt');
DeleteFileMask('c:\program files (x86)\elex-tech', '*', true);
DeleteFileMask('c:\windows\syswow64\vipcatalog', '*', true);
DeleteFileMask('c:\users\goodwin\appdata\local\gmsd_re_005010219', '*', true);
DeleteFileMask('C:\Program Files (x86)\IObit', '*', true);
DeleteFileMask('C:\Program Files (x86)\HP Defender', '*', true);
DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true);
DeleteFileMask('C:\Program Files (x86)\Mail.Ru', '*', true);
DeleteFileMask('C:\Users\Goodwin\AppData\Roaming\MyDesktop', '*', true);
DeleteFileMask('C:\Users\Goodwin\AppData\Local\Mail.ru', '*', true);
DeleteFileMask('C:\Program Files (x86)\Torrent Search', '*', true);
DeleteFileMask('C:\Program Files (x86)\TheTorntv V10', '*', true);
DeleteFileMask('C:\Program Files (x86)\TotalPlusHD-3.1V02.10', '*', true);
DeleteFileMask('C:\Users\Goodwin\AppData\Roaming\MicrosoftUpdater', '*', true);
DeleteDirectory('c:\program files (x86)\elex-tech');
DeleteDirectory('c:\windows\syswow64\vipcatalog');
DeleteDirectory('c:\users\goodwin\appdata\local\gmsd_re_005010219');
DeleteDirectory('C:\Program Files (x86)\IObit');
DeleteDirectory('C:\Program Files (x86)\HP Defender');
DeleteDirectory('C:\Program Files (x86)\Tencent');
DeleteDirectory('C:\Program Files (x86)\Mail.Ru');
DeleteDirectory('C:\Users\Goodwin\AppData\Roaming\MyDesktop');
DeleteDirectory('C:\Users\Goodwin\AppData\Local\Mail.ru');
DeleteDirectory('C:\Program Files (x86)\Torrent Search');
DeleteDirectory('C:\Program Files (x86)\TheTorntv V10');
DeleteDirectory('C:\Program Files (x86)\TotalPlusHD-3.1V02.10');
DeleteDirectory('C:\Users\Goodwin\AppData\Roaming\MicrosoftUpdater');
DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
DelBHO('{71e5e0fd-01f0-471d-a5c9-2c993fc20d85}');
ExecuteFile('schtasks.exe', '/delete /TN "45c6c039-3021-4cd4-9206-d823a432d1ca" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "8ded3530-7e52-4873-8e18-e151f0d889c3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ASC8_PerformanceMonitor" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ASC8_SkipUac_Goodwin" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "de9bb56a-f677-4872-8bcd-ebfe9ebf6c70" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "DOCPL" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Dr" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "MicrosoftUpdater" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "NOROZNTM" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "QT" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SZLM" /F', 0, 15000, true);
DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_re_005010219.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'mzbqprrefj');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MyDesktop');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\DefragPath', '');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{754DF2CE-51E8-4895-B53C-6381418B84AE}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mailruhomesearchvbm', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TornTv Downloader', 'command');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
27.01.2016, 18:07
muflic .

[ATTACH=CONFIG]613201[/ATTACH]
27.01.2016, 21:47
Vvvyg

Запустите повторно [B]AdwCleaner (by Xplode) [/B](в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), нажмите кнопку [B]Сканировать[/B] (Scan), по окончании сканирования [B]если используете программы от Mail.Ru, Yandex (браузер, Яндекс.Диск, Punto Switcher), MediaGet, Zona[/B] - уберите галочки на вкладках [B]Папки[/B] (Folders), [B]Реестр[/B] (Registry) и вкладках браузеров со всех пунктов, где упоминются нужные Вам программы.

Установите в пункте меню "Настройки" (Settings) галочку "[B]Сброс политик Chrome[/B]" .
Затем нажмите [B]Очистка[/B] ([B]Cleaning[/B]) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
28.01.2016, 10:50
muflic .

когда делал первый скан и чистку программа вылетала, прикрепляю отчет с2
28.01.2016, 11:06
Vvvyg

Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
28.01.2016, 12:25
muflic .

вот образ

вот образ
28.01.2016, 13:03
Vvvyg

[URL="http://windows.microsoft.com/ru-ru/windows/start-computer-safe-mode#start-computer-safe-mode=windows-7"]Загрузите систему в безопасном режиме[/URL] и [url=http://virusinfo.info/showthread.php?t=121769]выполните скрипт в uVS:[/url][code];uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
cexec tools\CreateRestorePoint.exe BeforeCure
sreg
delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\ISAFESRVMON64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\ZLIB1.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\IPCPROXY.DLL
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://OVGORSKIY.RU
delref HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/
delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\ISAFEKRNL.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\ISAFEKRNLKIT.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\ISAFEKRNLMON.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\ISAFEKRNLR3.SYS
del %Sys32%\DRIVERS\ISAFENETFILTER.SYS
delref %Sys32%\DRIVERS\ISAFENETFILTER.SYS
deldir %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH
delref %SystemDrive%\USERS\GOODWIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BOFBPDMKBMLANCFIHDNCIKCIGPOKMDDA\0.420\QUICK SEARCHER
delref %SystemDrive%\USERS\GOODWIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CAGKFNOKDFOFOFNBLBPFJNAPDOJMOFFN\0.0.3\QUICK SEARCHER
delref %SystemDrive%\USERS\GOODWIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\GOODWIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\IFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI\5.0.1_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delref %SystemDrive%\USERS\GOODWIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\3.0.3_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\GOODWIN\APPDATA\LOCAL\AMIGO\APPLICATION\44.4.2403.3\DELEGATE_EXECUTE.EXE
delref HTTP://GO.MAIL.RU/SEARCH?FR=NTG&Q=
zoo %SystemDrive%\USERS\GOODWIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\{A00BEF25-F21A-4539-ADBB-B179B29E2B92}\INSTALL.RDF
delall %SystemDrive%\USERS\GOODWIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\{A00BEF25-F21A-4539-ADBB-B179B29E2B92}\INSTALL.RDF
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3198\NPQQPHONEMANAGEREXT.DLL
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC
uidel C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe
uidel C:\Program Files (x86)\HP Defender\uninstall.exe
uidel "C:\Program Files (x86)\InstallShield Installation Information\{0C021556-694B-43A1-9A60-2BAA870B792A}\setup.exe" -runfromtemp -l0x0419 -removeonly
delref %SystemDrive%\USERS\GOODWIN\APPDATA\ROAMING\MICROSOFTUPDATER\MICROSOFTUPDATER.EXE
deltmp
delnfr
areg[/code]Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
28.01.2016, 14:46
muflic .

логи

логи
28.01.2016, 15:33
Vvvyg

Что с проблемами?
28.01.2016, 16:10
muflic .

пока ничего не всплывает, никуда не проситься.
28.01.2016, 19:49
Vvvyg

Запустите AdwCleaner и нажмите [B]Деинсталлировать (Uninstall)[/B].

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
28.01.2016, 19:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\elex-tech\yac\isafekrnlkit.sys - [B]not-a-virus:HEUR:AdWare.Win32.ELEX.gen[/B] ( DrWEB: Adware.Mutabaha.469 )[*] c:\program files (x86)\elex-tech\yac\isafekrnlmon.sys - [B]not-a-virus:HEUR:AdWare.Win32.ELEX.gen[/B] ( DrWEB: Adware.Mutabaha.565 )[*] c:\program files (x86)\elex-tech\yac\isafekrnlr3.sys - [B]not-a-virus:HEUR:AdWare.Win32.ELEX.gen[/B] ( DrWEB: Adware.Mutabaha.470 )[*] c:\program files (x86)\elex-tech\yac\isafekrnl.sys - [B]not-a-virus:HEUR:AdWare.Win32.ELEX.gen[/B] ( DrWEB: Adware.Mutabaha.490 )[*] c:\program files (x86)\elex-tech\yac\isafetray.exe - [B]not-a-virus:HEUR:AdWare.Win32.ELEX.gen[/B] ( DrWEB: Adware.Mutabaha.564 )[*] c:\program files (x86)\00000000-1453821691-0000-0000-00241dce6f67\hnsyb140.tmp - [B]not-a-virus:AdWare.Win32.Vopak.atd[/B] ( AVAST4: Win32:Dropper-gen [Drp] )[*] c:\program files (x86)\00000000-1453821691-0000-0000-00241dce6f67\jnss995a.tmp - [B]not-a-virus:AdWare.Win32.ConvertAd.bjn[/B] ( AVAST4: Win32:Adware-gen [Adw] )[*] c:\users\goodwin\appdata\local\gmsd_re_005010219\download\majmp_gentlerow.exe - [B]not-a-virus:AdWare.Win32.Eorezo.fmdh[/B] ( DrWEB: archive: )[*] c:\users\goodwin\appdata\local\gmsd_re_005010219\upgmsd_re_005010219.exe - [B]not-a-virus:AdWare.Win32.Eorezo.feyg[/B][*] c:\windows\system32\drivers\isafenetfilter.sys - [B]not-a-virus:HEUR:AdWare.Win32.ELEX.gen[/B] ( DrWEB: Adware.Mutabaha.565 )[*] c:\windows\syswow64\vipcatalog\rfusclient.exe - [B]not-a-virus:RemoteAdmin.Win32.RMS.nd[/B][*] c:\windows\syswow64\vipcatalog\rutserv.exe - [B]not-a-virus:RemoteAdmin.Win32.RMS.nd[/B][/LIST][/LIST]