нахватал вирусов и кучу программ с автораном [UDS:DangerousObject.Multi.Generic, not-a-virus:WebToolbar.Win32.Linkury.aqy ]

Здравствуйте. помогите пожалуйста, Хром открывает кучу сайтов, накачалось китайских архиваторов и пседоантивирусов. помогите почистить

Уважаемый(ая) [B]Марат Муртазин[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\programdata\service.exe');
TerminateProcessByName('C:\Users\mur\AppData\Local\Temp\YN06K5BSNN.exe');
SetServiceStart('Zaamla', 4);
StopService('serverss');
StopService('Zaamla');
QuarantineFileF('c:\users\mur\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFile('c:\programdata\service.exe', '');
QuarantineFile('C:\Users\mur\AppData\Local\Temp\YN06K5BSNN.exe', '');
QuarantineFile('C:\Windows\Temp\DB84.tmp', '');
QuarantineFile('C:\Users\mur\Local Settings\Temp\ccnmwaxfd.pif', '');
QuarantineFile('C:\Users\mur\AppData\Local\Temp\00025773\msiql.exe', '');
QuarantineFile('C:\Users\mur\AppData\Local\Temp\aa-3f309-387-bebbc-61b7260deb2c1\YSLWADVBLJ.exe', '');
QuarantineFile('C:\Program Files (x86)\Bekserikut Log\local64spl.dll', '');
QuarantineFile('C:\Users\mur\AppData\Local\Hostinstaller\1211814249_monster.exe', '');
QuarantineFileF('C:\ProgramData\Zaamla\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFile('c:\program files\їмс№\x86\kuaizipupdatechecker.dll', '');
QuarantineFileF('c:\users\mur\appdata\roaming\event monitor\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFile('c:\users\mur\appdata\roaming\event monitor\em.exe', '');
QuarantineFileF('c:\programdata\networkpacketmanitor\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFile('c:\programdata\networkpacketmanitor\nettrans.exe', '');
QuarantineFileF('C:\Users\mur\AppData\Local\Hostinstaller\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\Common Files\TreeDex\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\mur\appdata\roaming\vdi\shared\product updater\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFile('C:\Users\mur\appdata\roaming\vdi\shared\product updater\monhost.exe', '');
QuarantineFile('C:\ProgramData\Zaamla\Damtrax.dll', '');
QuarantineFile('C:\ProgramData\Zaamla\Joydax.dll', '');
QuarantineFile('C:\ProgramData\Zaamla\Zaamla.exe', '');
QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk', '');
QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
QuarantineFile('C:\Users\mur\Desktop\firefox - ?????.lnk', '');
QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk', '');
QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk', '');
QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\????????.lnk', '');
QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\????????.lnk', '');
QuarantineFile('C:\Users\mur\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe\?????.??????.lnk', '');
DeleteFile('c:\programdata\service.exe', '32');
DeleteFile('C:\Users\mur\AppData\Local\Temp\YN06K5BSNN.exe', '32');
DeleteFile('C:\Windows\Temp\DB84.tmp', '32');
DeleteFile('C:\Users\mur\Local Settings\Temp\ccnmwaxfd.pif', '32');
DeleteFile('C:\Users\mur\AppData\Local\Temp\00025773\msiql.exe', '32');
DeleteFile('C:\Users\mur\AppData\Local\Temp\aa-3f309-387-bebbc-61b7260deb2c1\YSLWADVBLJ.exe', '32');
DeleteFile('C:\Program Files (x86)\Bekserikut Log\local64spl.dll', '32');
DeleteFile('C:\Users\mur\AppData\Local\Hostinstaller\1211814249_monster.exe', '32');
DeleteFile('C:\ProgramData\Zaamla\Damtrax.dll');
DeleteFile('c:\program files\їмс№\x86\kuaizipupdatechecker.dll');
DeleteFile('c:\users\mur\appdata\roaming\event monitor\em.exe');
DeleteFile('c:\programdata\networkpacketmanitor\nettrans.exe');
DeleteFile('C:\Users\mur\appdata\roaming\vdi\shared\product updater\monhost.exe');
DeleteFile('C:\ProgramData\Zaamla\Zaamla.exe', '32');
DeleteFile('C:\ProgramData\Zaamla\Joydax.dll', '32');
DeleteFile('C:\ProgramData\Zaamla\Damtrax.dll', '32');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
DeleteService('GoogleChromeUpService');
DeleteService('serverss');
DeleteService('Zaamla');
DeleteFileMask('c:\users\mur\appdata\local\hostinstaller', '*', true);
DeleteDirectory('c:\users\mur\appdata\local\hostinstaller');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService', 'EventMessageFile');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_2MSJP');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msiql', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YSLWADVBLJ.exe', 'command');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
AutoFixSPI;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url], только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда.[/url]

[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/finish/1/"]AdwCleaner[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

высылаю карантин

1) ПОИСК И СТАРТОВАЯ – ЯНДЕКС - сами расширения ставили?

2) [url=http://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827]Выполните скрипт в uVS[/url] и пришлите карантин

[CODE];uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
BREG
delref %SystemDrive%\USERS\MUR\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
delref %SystemDrive%\USERS\MUR\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
delall %SystemDrive%\USERS\MUR\LOCAL SETTINGS\TEMP\CCNMWAXFD.PIF
deldir %SystemDrive%\PROGRAM FILES\ЇМС№\X86
dirzooex %SystemDrive%\PROGRAMDATA\HOTFRESH
deldir %SystemDrive%\PROGRAMDATA\HOTFRESH
zoo %Sys32%\DRIVERS\KUAIZIPDRIVE.SYS
bl FEE53173263B621656360F99E68DCDA5 92832
delall %Sys32%\DRIVERS\KUAIZIPDRIVE.SYS
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\EVENT MONITOR\EM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ARUGTION\VULIT.EXE
dirzooex %SystemDrive%\PROGRAM FILES (X86)\ARUGTION
zoo %SystemDrive%\PROGRAM FILES (X86)\ARUGTION\SERWLEPROLERIEDDBG.DLL
bl 1B5D97EB1C255265FC7F0F61ED4FCFA6 147968
delall %SystemDrive%\PROGRAM FILES (X86)\ARUGTION\SERWLEPROLERIEDDBG.DLL
zoo %SystemDrive%\USERS\DEFAULT\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTERNET EXPLORER.LNK
dirzooex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TREEDEX
deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TREEDEX
zoo %SystemDrive%\USERS\MUR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\ЇМС№.LNK
bl F6DA4FF0AB5EB0C57E35855FC32C3231 843
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\ЇМС№.LNK
delall HTTP://MAIL.RU/CNT/10445?GP=820031
delall HTTP://MAIL.RU/CNT/10445?GP=820473
delall HTTP://MAIL.RU/CNT/10445?GP=822313
delall HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1434480229&Z=6FAB7E68E40D0AA518447B9G4Z1C8Z7Z9BEC7B1CAG&FROM=CMI&UID=ST1000DM003-1CH162_S1DC4YSLXXXXS1DC4YSL
delall HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HPPP&TS=1434480305&Z=0829AC22C2317D666915F7DG9Z5C4ZDZ8B0C4TFE0M&FROM=CMI&UID=ST1000DM003-1CH162_S1DC4YSLXXXXS1DC4YSL
delall HTTPS://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBKHL918K0QPWZ-SC_9-RPC_BK8FHVKDMHMRPU4ZOXIF7SPP4MP8GY4Y8N40VVT0MCNYZ8YQIXHTE3ZANEBDNEOZMWQ_8YN4NQKZ4ZS6ECYPQS_BACCD6CQAPBQPRCYL91DJVAE1FP83ANY5M_Y6QFAVLDHCF9WAQ7MA8NVVWQBM5
delall %SystemDrive%\USERS\MUR\APPDATA\LOCAL\KEMGADEOJGLIBFLOMICGNFEOPKDFFLNK
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
deldir %SystemDrive%\PROGRAM FILES (X86)\YOUTUBE ADBLOCK\IEEF
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLMENURIGHT64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\FASESUNSTOCK\UNINSTALL.EXE
delall KUAIZIP SHELL EXTENSION\[CLSID]
delref %SystemDrive%\USERS\MUR\APPDATA\LOCAL\TEMP\YUPDATE-VERSIONINFO-YABROWSER.XML
deltmp
delall %SystemDrive%\PROGRAMDATA\RONZAPS\FF.HP
delall %SystemDrive%\PROGRAMDATA\RONZAPS\FF.NT
delall HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B3127CC26-5017-444A-AE6A-DA6F97915CE9%7D&GP=822363
czoo
restart[/CODE]

3) [LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner[/B][/COLOR] (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]).[*]В меню [b]Tools[/b] ->[b]Options [/b] ([b]Инструменты[/b] ->[b]Настройки[/b]) отметьте:
[list][*]Сброс политик IE[*]Сброс политик Chrome[/list][*]Нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончанию сканирования нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистка"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[C0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].

4) Сделайте свежий образ автозапуска.

высылаю отчет

[quote="regist;1431325"]4) Сделайте свежий образ автозапуска.[/quote]
где?

не прикрепляется файл. выдает ошибку. пишет что файл превысил предел на форуме

закачайте архив на любой файлообменник, не требующий ввода капчи (например: [url=http://www.zippyshare.com/]Zippyshare[/url], [url=http://my-files.ru/]My-Files.RU[/url]) ссылку на скачивание оставьте.

[url]http://www45.zippyshare.com/v/QL3QuQgT/file.html[/url]

1) [quote="regist;1431272"]- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.[/quote]
Этой ссылки до сих пор не вижу.

2) SafeFinder - деинсталируйте через установку и удаление программ.

3)
[quote="regist;1431272"]- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.[/quote]
где этот отчёт?

Жду пока это, потом продолжим.

[url]http://virusinfo.info/virusdetector/report.php?md5=9ECBFFC6737FCDDD36FAC32B4A0565EB[/url]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

safe finder не удаляется к сожалению.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

вот отчет clearLNK

ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU - сами расширение ставили?

[url=http://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827]Выполните скрипт в uVS[/url] и пришлите карантин
[CODE];uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
BREG
zoo %SystemDrive%\PROGRAM FILES (X86)\BAIDU\UC.EXE
bl 3CE553EEBDF9C8639090D9C2C0B44A32 151638
delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\UC.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BIND.EXE
bl 6A94B2C554AEE39BAF56A4219E9D0330 57344
delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BIND.EXE
delall HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1434480229&Z=6FAB7E68E40D0AA518447B9G4Z1C8Z7Z9BEC7B1CAG&FROM=CMI&UID=ST1000DM003-1CH162_S1DC4YSLXXXXS1DC4YSL
delall HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HPPP&TS=1434480305&Z=0829AC22C2317D666915F7DG9Z5C4ZDZ8B0C4TFE0M&FROM=CMI&UID=ST1000DM003-1CH162_S1DC4YSLXXXXS1DC4YSL
dirzooex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\DONGTANLAM
deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\DONGTANLAM
delall %SystemDrive%\PROGRAM FILES (X86)\YOUTUBE ADBLOCK\IEEF\RKJ3MU.DLL
delall %SystemDrive%\PROGRAMDATA\HOTFRESHS\FF.HP
delall %SystemDrive%\PROGRAMDATA\HOTFRESHS\FF.NT
deldir %SystemDrive%\PROGRAM FILES\ЇМС№\X64
zoo %SystemDrive%\USERS\DEFAULT\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTERNET EXPLORER.LNK
zoo %SystemDrive%\USERS\MUR\APPDATA\ROAMING\DOUBLEEX.BIN
bl 92EA79266E1494EBE5CDBB1B8554432B 278517
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\DOUBLEEX.BIN
zoo %SystemDrive%\USERS\MUR\APPDATA\ROAMING\MATSANLAM.BIN
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\MATSANLAM.BIN
zoo %SystemDrive%\USERS\MUR\APPDATA\ROAMING\TAMSING.EXE
bl AED139FB8004BAB63BE38856F35139C8 983040
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\TAMSING.EXE
zoo %SystemDrive%\USERS\MUR\APPDATA\ROAMING\TEMPFAN.BIN
bl DA59B9DDC6F3A498A9A709048A8C77CC 1938533
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\TEMPFAN.BIN
zoo %SystemDrive%\USERS\MUR\APPDATA\ROAMING\VOLTECH.BIN
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\VOLTECH.BIN
dirzooex %SystemDrive%\USERS\MUR\APPDATA\ROAMING\{195-FF-D0-26413-AD270-AE1A-74A29}
zoo %SystemDrive%\USERS\MUR\APPDATA\ROAMING\{195-FF-D0-26413-AD270-AE1A-74A29}\ISC-VOPGT-.EXE
bl CEEE48FD6EC81E1A674D2916C0FF0600 1268736
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\{195-FF-D0-26413-AD270-AE1A-74A29}\ISC-VOPGT-.EXE
zoo %SystemDrive%\USERS\MUR\APPDATA\ROAMING\{195-FF-D0-26413-AD270-AE1A-74A29}\P5YIS5SV25.EXE
bl A36600CAEC5A70DC7C1FC399D72A76BF 1022976
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\{195-FF-D0-26413-AD270-AE1A-74A29}\P5YIS5SV25.EXE
delall HTTPS://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBRHOJYN9_5EDL7QPPMXLVOCDRHYVQM9U56X5FADZA1DALXUAQ9AUNUH8QVN7K0ZI2MBNZY3NX1G0WESHWQHENEQV2PVIBXPD0JG1KAHJEIXGLPFQYUULXLNGOXJO8KLAHXF19HAP7XVC1J18S_3-NYOGK8EM3TVVT8EFYJCI8FR3
delall HTTP://D2BUH1BF1G584W.CLOUDFRONT.NET/MSI/REL.PHP?U=ST1000DM003-1CH162_S1DC4YSLXXXXS1DC4YSL&V=201723
czoo
restart[/CODE]

сделайте свежий образ автозапуска.

[url]http://www61.zippyshare.com/v/D7Zj6nve/file.html[/url]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

визуальные закладки не ставил

1) Жду карантин от предыдущего скрипта.

2) [url=http://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827]Выполните скрипт в uVS[/url]

[CODE];uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
BREG
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\LIVEUPDATE\LIVEUPDATE.EXE
delall %SystemDrive%\USERS\MUR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI\7.0.40_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delall HTTP://MAIL.RU/CNT/10445?GP=820031
delall HTTP://MAIL.RU/CNT/10445?GP=820473
delall HTTP://MAIL.RU/CNT/10445?GP=822313
delall HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HPPP&TS=1434480305&Z=0829AC22C2317D666915F7DG9Z5C4ZDZ8B0C4TFE0M&FROM=CMI&UID=ST1000DM003-1CH162_S1DC4YSLXXXXS1DC4YSL
delall HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1434480229&Z=6FAB7E68E40D0AA518447B9G4Z1C8Z7Z9BEC7B1CAG&FROM=CMI&UID=ST1000DM003-1CH162_S1DC4YSLXXXXS1DC4YSL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
restart[/CODE]

3) - сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK_test.zip"]Check Browsers' LNK by Dragokas & regist[/URL].

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]31[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\common files\treedex\uninstall.exe - [B]Trojan-Dropper.Win32.Agent.sblf[/B][*] c:\programdata\zaamla\donflex.exe - [B]Trojan-Downloader.MSIL.Agent.alqa[/B][*] c:\programdata\zaamla\strongtam.exe - [B]Trojan.Win32.Vilsel.cufb[/B][*] c:\users\mur\appdata\roaming\event monitor\isxdl.dll - [B]not-a-virus:RiskTool.Win32.SpeedUpMyPC.yyh[/B][*] c:\users\mur\appdata\roaming\vdi\shared\product updater\produpd.exe - [B]HEUR:Trojan.Win32.Generic[/B][*] \doubleex.bin._368539a0aacf3c9c061c87df7d3dde5fdb31f887 - [B]not-a-virus:WebToolbar.Win32.Linkury.aqy[/B][*] \isc-vopgt-.exe._370a55f1d39434d516805733484023002be28e62 - [B]UDS:DangerousObject.Multi.Generic[/B][*] \matsanlam.bin._368539a0aacf3c9c061c87df7d3dde5fdb31f887 - [B]not-a-virus:WebToolbar.Win32.Linkury.aqy[/B][*] \p5yis5sv25.exe._2c938deaf22abbb266232ae99e163e78c68c25fc - [B]UDS:DangerousObject.Multi.Generic[/B][*] \tamsing.exe._26842dd513ebd837f72eaad1f4ee20602fea92d5 - [B]Trojan-Dropper.Win32.Agent.sblf[/B][*] \tempfan.bin._7e81a0e9b480a8f5323bb3cb13b56ce5631d4aa0 - [B]not-a-virus:WebToolbar.MSIL.Agent.bkqa[/B][*] \uninstall.exe._26842dd513ebd837f72eaad1f4ee20602fea92d5 - [B]Trojan-Dropper.Win32.Agent.sblf[/B][*] \voltech.bin._368539a0aacf3c9c061c87df7d3dde5fdb31f887 - [B]not-a-virus:WebToolbar.Win32.Linkury.aqy[/B][/LIST][/LIST]