Сами по себе устанавливаются программы not-a-virus:RiskTool.Win32.AdvancedPcCare.a, not-a-virus:AdWare.MSIL.Eorezo.bm при открывании страницы перекидывает на игровые сайты.

[ATTACH=CONFIG]613905[/ATTACH] [ATTACH=CONFIG]613906[/ATTACH]

Уважаемый(ая) [B]shlango071[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\users\Сергей\appdata\local\birds\birds365.exe');
TerminateProcessByName('c:\program files\groover230120161208\csrcc.exe');
TerminateProcessByName('c:\program files\groover230120161208\ebuofrej.exe');
TerminateProcessByName('c:\program files\groover230120161208\fucolo.exe');
TerminateProcessByName('C:\Program Files\groover230120161208\Fucolo64.exe');
TerminateProcessByName('c:\program files\groover230120161208\nocwhq.exe');
StopService('3F985544-B27F-44CF-85E6-B32FDFE5A0EE');
StopService('csrcc');
StopService('groover230120161208 Updater');
QuarantineFile('c:\users\Сергей\appdata\local\birds\birds365.exe', '');
QuarantineFile('c:\program files\groover230120161208\csrcc.exe', '');
QuarantineFile('c:\program files\groover230120161208\ebuofrej.exe', '');
QuarantineFile('c:\program files\groover230120161208\fucolo.exe', '');
QuarantineFile('C:\Program Files\groover230120161208\Fucolo64.exe', '');
QuarantineFile('c:\program files\groover230120161208\nocwhq.exe', '');
QuarantineFile('C:\Users\Сергей\AppData\Local\Birds\RuppellsVulture.dll', '');
QuarantineFile('C:\Users\Сергей\AppData\Local\Birds\RosyStarling.dll', '');
QuarantineFile('C:\Users\Сергей\AppData\Local\Birds\GrayPartridge.dll', '');
QuarantineFile('C:\Program Files\groover230120161208\Uuvie.DLL', '');
QuarantineFile('C:\Users\Сергей\AppData\Local\Birds\BlackSwan.dll', '');
QuarantineFile('C:\Users\Сергей\AppData\Local\Birds\Cassowary.dll', '');
QuarantineFile('Dumaze.sys', '');
QuarantineFile('C:\ProgramData\Tmp0x0x\P', '');
QuarantineFile('C:\Program Files\groover230120161208\Roetr.dll', '');
QuarantineFile('C:\Users\Сергей\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '');
QuarantineFile('C:\Users\Сергей\AppData\Local\Hostinstaller\2987258156_installcube.exe', '');
QuarantineFile('C:\Users\Сергей\AppData\Local\SystemMonitor2016\2987258156.exe', '');
QuarantineFile('C:\PROGRA~1\GROOVE~1\Lubbocfa.bat', '');
DeleteFile('c:\users\Сергей\appdata\local\birds\birds365.exe', '32');
DeleteFile('c:\program files\groover230120161208\csrcc.exe', '32');
DeleteFile('c:\program files\groover230120161208\ebuofrej.exe', '32');
DeleteFile('c:\program files\groover230120161208\fucolo.exe', '32');
DeleteFile('C:\Program Files\groover230120161208\Fucolo64.exe', '32');
DeleteFile('c:\program files\groover230120161208\nocwhq.exe', '32');
DeleteFile('C:\Users\Сергей\AppData\Local\Birds\RuppellsVulture.dll', '32');
DeleteFile('C:\Users\Сергей\AppData\Local\Birds\RosyStarling.dll', '32');
DeleteFile('C:\Users\Сергей\AppData\Local\Birds\GrayPartridge.dll', '32');
DeleteFile('C:\Program Files\groover230120161208\Uuvie.DLL', '32');
DeleteFile('C:\Users\Сергей\AppData\Local\Birds\BlackSwan.dll', '32');
DeleteFile('C:\Users\Сергей\AppData\Local\Birds\Cassowary.dll', '32');
DeleteFile('Dumaze.sys', '32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUdisk64.sys', '32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TS888x64.sys', '32');
DeleteFile('C:\ProgramData\Tmp0x0x\P', '32');
DeleteFile('C:\Program Files\groover230120161208\Roetr.dll', '32');
DeleteFile('C:\Users\Сергей\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '32');
DeleteFile('C:\Users\Сергей\AppData\Local\Hostinstaller\2987258156_installcube.exe', '32');
DeleteFile('C:\Users\Сергей\AppData\Local\SystemMonitor2016\2987258156.exe', '32');
DeleteFile('C:\PROGRA~1\GROOVE~1\Lubbocfa.bat', '32');
DeleteFile('C:\Users\Сергей\AppData\Roaming\WindowsUpdater\Updater.exe', '32');
DeleteService('3F985544-B27F-44CF-85E6-B32FDFE5A0EE');
DeleteService('csrcc');
DeleteService('groover230120161208 Updater');
DeleteService('Dumaze');
DeleteService('QMUdisk');
DeleteService('TS888x64');
DeleteFileMask('c:\users\Сергей\appdata\local\birds', '*', true);
DeleteFileMask('c:\program files\groover230120161208', '*', true);
DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true);
DeleteFileMask('C:\ProgramData\Tmp0x0x', '*', true);
DeleteFileMask('C:\Users\Сергей\AppData\Local\Mail.Ru', '*', true);
DeleteFileMask('C:\Users\Сергей\AppData\Local\Hostinstaller', '*', true);
DeleteFileMask('C:\Users\Сергей\AppData\Local\SystemMonitor2016', '*', true);
DeleteFileMask('C:\Users\Сергей\AppData\Roaming\WindowsUpdater', '*', true);
DeleteDirectory('c:\users\Сергей\appdata\local\birds');
DeleteDirectory('c:\program files\groover230120161208');
DeleteDirectory('C:\Program Files (x86)\Tencent');
DeleteDirectory('C:\ProgramData\Tmp0x0x');
DeleteDirectory('C:\Users\Сергей\AppData\Local\Mail.Ru');
DeleteDirectory('C:\Users\Сергей\AppData\Local\Hostinstaller');
DeleteDirectory('C:\Users\Сергей\AppData\Local\SystemMonitor2016');
DeleteDirectory('C:\Users\Сергей\AppData\Roaming\WindowsUpdater');
DelBHO('{8A647EB9-B2E6-4B02-a0F7-FEE60494DC97}');
DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Tisgi" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater4" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[ATTACH=CONFIG]614191[/ATTACH] [ATTACH=CONFIG]614192[/ATTACH] [ATTACH=CONFIG]614193[/ATTACH]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKLM-x32\...\Run: [gmsd_ru_005010213] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010215] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010212] => [X]
HKU\S-1-5-21-2570669229-90642131-1025611686-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=820475
SearchScopes: HKU\S-1-5-21-2570669229-90642131-1025611686-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL =
BHO: groover230120161208 -> {8A647EB9-B2E6-4B02-a0F7-FEE60494DC97} -> C:\Program Files\groover230120161208\Roetr64.dll => No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1453215781&z=3c98d745fa36919e80c652dg5z9wcc8ocg1w8m0tdg&from=face&uid=WDCXWD7500AADS-00M2B0_WD-WCAV5004924949249
FF DefaultSearchEngine: Поиск@Mail.Ru
FF SelectedSearchEngine: Поиск@Mail.Ru
FF Homepage: hxxp://mail.ru/cnt/10445?gp=820475
FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7B20FDC599-042F-4A49-A4BD-BDBFF17F84CC%7D&gp=820485
FF user.js: detected! => C:\Users\Сергей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2016-01-23]
FF HKLM\...\Firefox\Extensions: [{8A647EB9-B2E6-4B02-a0F7-FEE60494DC97}] - C:\Program Files\groover230120161208\Firefox\{8A647EB9-B2E6-4B02-a0F7-FEE60494DC97}.xpi => not found
FF HKLM-x32\...\Firefox\Extensions: [{8A647EB9-B2E6-4B02-a0F7-FEE60494DC97}] - C:\Program Files\groover230120161208\Firefox\{8A647EB9-B2E6-4B02-a0F7-FEE60494DC97}.xpi => not found
CHR HomePage: Default -> mail.ru/cnt/11956636
CHR Extension: (Kaspersky Protection) - C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpeeaghdjmhlakojjcgfdhgcejdaefmi [2016-01-31]
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-01-19] (DotC United Inc)
S1 cherimoya; system32\drivers\cherimoya.sys [X]
2016-01-23 17:01 - 2016-01-23 17:01 - 00000000 ____D C:\Users\Сергей\AppData\Local\Birds365
2016-01-23 17:01 - 2016-01-23 17:01 - 00000000 ____D C:\Users\Сергей\AppData\Local\Birds
2016-01-23 17:00 - 2016-01-23 17:00 - 00000000 ____D C:\Users\Сергей\AppData\LocalLow\Company
2016-01-23 17:00 - 2016-01-23 17:00 - 00000000 ____D C:\Users\Сергей\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}
2016-01-23 17:00 - 2016-01-23 17:00 - 00000000 ____D C:\uninst
016-01-23 16:42 - 2016-01-23 22:27 - 00000000 ____D C:\Users\Сергей\AppData\Local\34323030-1453567379-4438-4246-4242FFFFFFFF
2016-01-23 16:11 - 2016-01-23 22:27 - 00000000 ____D C:\Users\Сергей\AppData\Local\34323030-1453565498-4438-4246-4242FFFFFFFF
2016-01-23 16:10 - 2016-01-25 00:29 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\ASPackage
2016-01-23 16:10 - 2016-01-25 00:29 - 00000000 ____D C:\Program Files (x86)\34323030-1453554631-4438-4246-4242FFFFFFFF
2016-01-20 20:11 - 2016-01-20 20:11 - 00000000 ____D C:\Users\Все пользователи\RRhnHwEi
2016-01-20 20:11 - 2016-01-20 20:11 - 00000000 ____D C:\Users\Все пользователи\igeWZO
2016-01-19 18:38 - 2016-01-19 18:36 - 00060136 _____ (DotC United Inc) C:\WINDOWS\system32\Drivers\MPCKpt.sys
2016-01-19 18:36 - 2016-01-23 16:09 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
2016-01-19 18:27 - 2016-01-20 22:47 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\yoursearching
2016-01-19 18:11 - 2016-01-19 18:11 - 00000000 ____D C:\ProgramData\YynLPFPf
2016-01-19 18:02 - 2016-01-20 22:50 - 00000000 ____D C:\Program Files\Sound+
2016-01-19 17:53 - 2016-01-23 22:27 - 00000000 ____D C:\Users\Сергей\AppData\Local\34323030-1453226018-4438-4246-4242FFFFFFFF
2016-01-19 17:52 - 2016-01-25 01:03 - 00000000 ____D C:\Program Files (x86)\34323030-1453215130-4438-4246-4242FFFFFFFF
2016-01-19 17:52 - 2016-01-19 17:51 - 00001017 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2016-01-19 17:51 - 2016-01-19 17:51 - 00000000 ____D C:\Users\Сергей\AppData\Local\SystemMonitor2016
2016-01-11 20:44 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\Hzdioacsj
2016-01-11 20:44 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\cFMjnfFQ
2016-01-11 20:44 - 2016-01-11 23:01 - 00000000 ____D C:\ProgramData\hStlaUHpdnlNXZC
2016-01-11 14:54 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\xUbZqSLJ
2016-01-11 14:54 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\QDQVQmSlPk
2016-01-11 14:54 - 2016-01-23 22:26 - 00000000 ____D C:\Users\Все пользователи\fUuRmGb
2016-01-08 22:11 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\oDLYbAZ
2016-01-08 22:11 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\kBoOsa
2016-01-08 22:11 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\DefIrSb
2016-01-05 10:21 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\mRPkRHoAU
2016-01-05 10:21 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\kEdNnQYyJhz
2016-01-05 10:21 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\FbaZSKC
2016-01-04 18:37 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\pybjJKFnwHTda
2016-01-04 18:37 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\PpfIDM
2016-01-04 18:37 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\CgWpYYDpddhclN
2016-01-02 17:51 - 2016-01-02 17:51 - 00000000 ____D C:\Users\Public\Documents\GenieSoft
2016-01-02 17:50 - 2016-01-11 22:17 - 00000000 ____D C:\Users\Сергей\Documents\Mobogenie
2016-01-02 17:50 - 2016-01-02 17:50 - 00000000 ____D C:\Users\Сергей\AppData\Local\Hostinstaller
2016-01-02 17:48 - 2016-01-23 22:27 - 00000000 ____D C:\Users\Сергей\AppData\Local\lmtiee
2016-01-02 17:48 - 2016-01-23 22:27 - 00000000 ____D C:\ProgramData\zqWMkt
2016-01-02 17:48 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\iebmbGJoCuSRKyn
2016-01-02 17:47 - 2016-01-23 22:26 - 00000000 ____D C:\ProgramData\gOtSyvMowCqctGz
FirewallRules: [{3E48E6F7-DEFA-4069-B4E0-0CC3339D8053}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{3D5DA134-0ECA-4057-80DD-EEF3DBBA99F5}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OVGorskiy.ru.URL
C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器 (2).lnk
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupApproved\Run\amigo"" /f
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}" /f /reg:32
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]