Множество произвольно открывающихся страниц + майнер

Printable View

22.03.2018, 17:50
HedgehogNSK

Множество произвольно открывающихся страниц + майнер

Ноутбуком пользуется ребёнок, который качает всё подряд и ставит всякие игрушки.
Сейчас произвольно открывается куча страниц. Куча непонятных процессов в диспетчере.
22.03.2018, 17:51
Info_bot

Уважаемый(ая) [B]HedgehogNSK[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
26.03.2018, 22:22
Vvvyg

Удалите программу NativeDesktopMediaService.
Деинсталлируйте MediaGet, Вам [URL="https://habrahabr.ru/company/microsoft/blog/351692/"]"повезло"[/URL].

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/url] (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B]):[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{3cd910c7-4db6-4b1f-8953-8afbe9253b0e}: NameServer = 82.163.143.176 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{3e44fb77-99b0-45bc-88cf-7523e73c003a}: NameServer = 82.163.143.176 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{5a3d7fe5-7dd1-4a28-a601-83e3b22c3692}: NameServer = 82.163.143.176 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{c318a699-6ad8-42ce-b8dc-5c0f4fd0a539}: NameServer = 82.163.143.176 82.163.142.178
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178
O17 - HKLM\System\CS1\Services\Tcpip\..\{3cd910c7-4db6-4b1f-8953-8afbe9253b0e}: NameServer = 82.163.143.176 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178[/code]

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\program files (x86)\gbemzxqzbie\ikfzttxhyb.exe');
TerminateProcessByName('C:\Program Files\Jetmedia\NativeDesktopMediaService\desktop_media_service.exe');
TerminateProcessByName('C:\ProgramData\06fba4d72575443bb2b05bbc7b26a6f1\wPIkp1L.exe');
TerminateProcessByName('C:\ProgramData\1f4d86c43f3649f8adae8f4571d23138\jJu0vbpGJwk0.exe');
TerminateProcessByName('C:\ProgramData\a06349172fe142fab8ea9940b8f5213b\RTno4ovEhHyV.exe');
TerminateProcessByName('C:\ProgramData\a9a559538cf844fe88ef1c6c2f69478d\5EheWHTJ.exe');
TerminateProcessByName('c:\users\1\appdata\local\mediaget2\mediaget.exe');
TerminateProcessByName('C:\Users\1\AppData\Local\Temp\E6EC.tmp\wuauclt.exe');
TerminateProcessByName('c:\users\1\appdata\local\yc\application\yc.exe');
StopService('NativeDesktopMediaService');
QuarantineFile('C:\Program Files (x86)\GBeMZXQZBIE\4B2tpP.dll', '');
QuarantineFile('c:\program files (x86)\gbemzxqzbie\ikfzttxhyb.exe', '');
QuarantineFile('C:\Program Files (x86)\GBeMZXQZBIE\kOgYuvE.dll', '');
QuarantineFile('C:\Program Files (x86)\Maskit\MaskitService.exe', '');
QuarantineFile('C:\Program Files\7-Zip\CSMADSUJPZ\PAEFRVQNHV.exe', '');
QuarantineFile('C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe', '');
QuarantineFile('C:\Program Files\Jetmedia\NativeDesktopMediaService\desktop_media_service.exe', '');
QuarantineFile('C:\Program Files\Unity\EJVAVIUPNJ\BSZMXDHBFQ.exe', '');
QuarantineFile('C:\ProgramData\06fba4d72575443bb2b05bbc7b26a6f1\wPIkp1L.exe', '');
QuarantineFile('C:\ProgramData\1673e533ba374a8ab10d874ff8f8ba70\F95FjzkZL2qN.exe', '');
QuarantineFile('C:\ProgramData\1f4d86c43f3649f8adae8f4571d23138\jJu0vbpGJwk0.exe', '');
QuarantineFile('C:\ProgramData\3bba3b32c47e42468dfd91be9f76244c\U7QhQ9nibEzj48.exe', '');
QuarantineFile('C:\ProgramData\6ea97f7269214cfaa748008f4b509090\pRD1lwEgdB.exe', '');
QuarantineFile('C:\ProgramData\a06349172fe142fab8ea9940b8f5213b\RTno4ovEhHyV.exe', '');
QuarantineFile('C:\ProgramData\a9a559538cf844fe88ef1c6c2f69478d\5EheWHTJ.exe', '');
QuarantineFile('C:\ProgramData\f04bc2b2a6394ab89d02a27f818dd7cf\nxPcNnZuTzv.exe', '');
QuarantineFile('C:\Users\1\AppData\Local\2b0ad026d6904652917d177eed56067a\5x6D7sbZw.exe', '');
QuarantineFile('C:\Users\1\AppData\Local\5c6ee7bfbd65483fb5282d17d5426402\EBAr3hWnaiNLfO.exe', '');
QuarantineFile('C:\Users\1\AppData\Local\6e678a798ac645b1b3362478a24eef14\ZJIWCYQCBU.exe', '');
QuarantineFile('C:\Users\1\AppData\Local\7173e1cf3aaf4fd890878962baff52e8\7wduaYHKLUvMak.exe', '');
QuarantineFile('C:\Users\1\AppData\Local\8a20b3822c1446dab16f305ef39188d4\UOC6ap9ntWM.exe', '');
QuarantineFile('C:\Users\1\AppData\Local\ae0c659bdd7c4c93b3a13ce66466699e\HFTGAKAQBH.exe', '');
QuarantineFile('C:\Users\1\AppData\Local\bcc22ac9e4d248e798ab3ac682fe1c2f\ZMUjcVD31oU5u.exe', '');
QuarantineFile('C:\Users\1\AppData\Local\d1871b7bf6b446739d52e78909e7a782\hdLtez0HS.exe', '');
QuarantineFile('C:\Users\1\AppData\Local\d29fb2acc2794bef82d0dce00c620d5e\Qfs3ZN7Pv74Tg.exe', '');
QuarantineFile('C:\Users\1\AppData\Local\d388aaca3d6b4f819003230cd32b6d02\W0wlHBh.exe', '');
QuarantineFile('c:\users\1\appdata\local\mediaget2\mediaget.exe', '');
QuarantineFile('C:\Users\1\AppData\Local\Temp\E6EC.tmp\wuauclt.exe', '');
QuarantineFile('c:\users\1\appdata\local\temp\teamviewer\teamviewer_desktop.exe', '');
QuarantineFile('C:\Users\1\AppData\Local\yc\Application\64.0.3282.169\chrome.dll', '');
QuarantineFile('C:\Users\1\AppData\Local\yc\Application\64.0.3282.169\chrome_child.dll', '');
QuarantineFile('C:\Users\1\AppData\Local\yc\Application\64.0.3282.169\chrome_elf.dll', '');
QuarantineFile('C:\Users\1\AppData\Local\yc\Application\64.0.3282.169\libegl.dll', '');
QuarantineFile('C:\Users\1\AppData\Local\yc\Application\64.0.3282.169\libglesv2.dll', '');
QuarantineFile('c:\users\1\appdata\local\yc\application\yc.exe', '');
QuarantineFile('C:\Users\1\AppData\Roaming\02fa4d906d7d4b1ba2ecf761c07d21ec\UI9Up2YCH6.exe', '');
QuarantineFile('C:\Users\1\AppData\Roaming\05b795ead12248309eb3ed8e1bfb9778\ZLdMO97Y7TL.exe', '');
QuarantineFile('C:\Users\1\AppData\Roaming\3a791128bea847979d3bfb57d01a95fb\pbE4i6nBUN.exe', '');
QuarantineFile('C:\Users\1\AppData\Roaming\5a08c963d6ec4fcfbf4a538612e7afec\27WIGJHs2q.exe', '');
QuarantineFile('C:\Users\1\AppData\Roaming\674a3f9e39e7408caf5d303f4b6f7966\wHdgtPy9Ae.exe', '');
QuarantineFile('C:\Users\1\AppData\Roaming\7c84df8a0e0f4ab598ab5e67122d5075\PDFs7RLDXD.exe', '');
QuarantineFile('C:\Users\1\AppData\Roaming\8dfe81554930427abdba5d201366be89\s66fXVGUUBuv9.exe', '');
QuarantineFile('C:\Users\1\AppData\Roaming\c0c05d7e82024ef8b7887d9424b1b6f7\tmLFwl53o.exe', '');
QuarantineFile('C:\Users\1\AppData\Roaming\c4862e020f26434fb28101588e220f5a\cCd1T9T9r3.exe', '');
QuarantineFile('C:\Users\1\AppData\Roaming\ddd721787135425fb81691a25ebce9f7\JTo5boj.exe', '');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\vhswfwvw\rcsacswc.exe', '');
QuarantineFile('C:\WINDOWS\microsoft\svchost.exe', '');
QuarantineFile('C:\WINDOWS\microsoft\svchost.exe.exe', '');
DeleteFile('C:\Program Files (x86)\GBeMZXQZBIE\4B2tpP.dll', '32');
DeleteFile('c:\program files (x86)\gbemzxqzbie\ikfzttxhyb.exe', '32');
DeleteFile('C:\Program Files (x86)\GBeMZXQZBIE\kOgYuvE.dll', '32');
DeleteFile('C:\Program Files (x86)\Maskit\MaskitService.exe', '32');
DeleteFile('C:\Program Files\7-Zip\CSMADSUJPZ\PAEFRVQNHV.exe', '32');
DeleteFile('C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe', '32');
DeleteFile('C:\Program Files\Jetmedia\NativeDesktopMediaService\desktop_media_service.exe', '32');
DeleteFile('C:\Program Files\Unity\EJVAVIUPNJ\BSZMXDHBFQ.exe', '32');
DeleteFile('C:\ProgramData\06fba4d72575443bb2b05bbc7b26a6f1\wPIkp1L.exe', '32');
DeleteFile('C:\ProgramData\1673e533ba374a8ab10d874ff8f8ba70\F95FjzkZL2qN.exe', '32');
DeleteFile('C:\ProgramData\1f4d86c43f3649f8adae8f4571d23138\jJu0vbpGJwk0.exe', '32');
DeleteFile('C:\ProgramData\3bba3b32c47e42468dfd91be9f76244c\U7QhQ9nibEzj48.exe', '32');
DeleteFile('C:\ProgramData\6ea97f7269214cfaa748008f4b509090\pRD1lwEgdB.exe', '32');
DeleteFile('C:\ProgramData\a06349172fe142fab8ea9940b8f5213b\RTno4ovEhHyV.exe', '32');
DeleteFile('C:\ProgramData\a9a559538cf844fe88ef1c6c2f69478d\5EheWHTJ.exe', '32');
DeleteFile('C:\ProgramData\f04bc2b2a6394ab89d02a27f818dd7cf\nxPcNnZuTzv.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\2b0ad026d6904652917d177eed56067a\5x6D7sbZw.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\5c6ee7bfbd65483fb5282d17d5426402\EBAr3hWnaiNLfO.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\6e678a798ac645b1b3362478a24eef14\ZJIWCYQCBU.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\7173e1cf3aaf4fd890878962baff52e8\7wduaYHKLUvMak.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\8a20b3822c1446dab16f305ef39188d4\UOC6ap9ntWM.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\ae0c659bdd7c4c93b3a13ce66466699e\HFTGAKAQBH.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\bcc22ac9e4d248e798ab3ac682fe1c2f\ZMUjcVD31oU5u.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\d1871b7bf6b446739d52e78909e7a782\hdLtez0HS.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\d29fb2acc2794bef82d0dce00c620d5e\Qfs3ZN7Pv74Tg.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\d388aaca3d6b4f819003230cd32b6d02\W0wlHBh.exe', '32');
DeleteFile('c:\users\1\appdata\local\mediaget2\mediaget.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\Temp\E6EC.tmp\wuauclt.exe', '32');
DeleteFile('c:\users\1\appdata\local\temp\teamviewer\teamviewer_desktop.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\yc\Application\64.0.3282.169\chrome.dll', '32');
DeleteFile('C:\Users\1\AppData\Local\yc\Application\64.0.3282.169\chrome_child.dll', '32');
DeleteFile('C:\Users\1\AppData\Local\yc\Application\64.0.3282.169\chrome_elf.dll', '32');
DeleteFile('C:\Users\1\AppData\Local\yc\Application\64.0.3282.169\libegl.dll', '32');
DeleteFile('C:\Users\1\AppData\Local\yc\Application\64.0.3282.169\libglesv2.dll', '32');
DeleteFile('c:\users\1\appdata\local\yc\application\yc.exe', '32');
DeleteFile('C:\Users\1\AppData\Roaming\02fa4d906d7d4b1ba2ecf761c07d21ec\UI9Up2YCH6.exe', '32');
DeleteFile('C:\Users\1\AppData\Roaming\05b795ead12248309eb3ed8e1bfb9778\ZLdMO97Y7TL.exe', '32');
DeleteFile('C:\Users\1\AppData\Roaming\3a791128bea847979d3bfb57d01a95fb\pbE4i6nBUN.exe', '32');
DeleteFile('C:\Users\1\AppData\Roaming\5a08c963d6ec4fcfbf4a538612e7afec\27WIGJHs2q.exe', '32');
DeleteFile('C:\Users\1\AppData\Roaming\674a3f9e39e7408caf5d303f4b6f7966\wHdgtPy9Ae.exe', '32');
DeleteFile('C:\Users\1\AppData\Roaming\7c84df8a0e0f4ab598ab5e67122d5075\PDFs7RLDXD.exe', '32');
DeleteFile('C:\Users\1\AppData\Roaming\8cde4a86d3684bd9bf0900440cce2567\HS5b0AiR.exe', '32');
DeleteFile('C:\Users\1\AppData\Roaming\8dfe81554930427abdba5d201366be89\s66fXVGUUBuv9.exe', '32');
DeleteFile('C:\Users\1\AppData\Roaming\c0c05d7e82024ef8b7887d9424b1b6f7\tmLFwl53o.exe', '32');
DeleteFile('C:\Users\1\AppData\Roaming\c3c0e74909254a63b8088b4f3900179d\KIOLDGSTTE.exe', '32');
DeleteFile('C:\Users\1\AppData\Roaming\c4862e020f26434fb28101588e220f5a\cCd1T9T9r3.exe', '32');
DeleteFile('C:\Users\1\AppData\Roaming\ddd721787135425fb81691a25ebce9f7\JTo5boj.exe', '32');
DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\vhswfwvw\rcsacswc.exe', '32');
DeleteFile('C:\Users\1\Favorites\Links\Интернет.url', '32');
DeleteFile('C:\WINDOWS\microsoft\svchost.exe', '32');
DeleteFile('C:\WINDOWS\microsoft\svchost.exe.exe', '32');
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Checker64" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Scheduled Update S1-8-22" /F', 0, 15000, true);
DeleteService('MaskitService');
DeleteService('NativeDesktopMediaService');
DeleteFileMask('c:\program files (x86)\gbemzxqzbie', '*', true);
DeleteFileMask('c:\program files (x86)\maskit', '*', true);
DeleteFileMask('c:\program files\jetmedia', '*', true);
DeleteFileMask('c:\programdata\06fba4d72575443bb2b05bbc7b26a6f1', '*', true);
DeleteFileMask('c:\programdata\1f4d86c43f3649f8adae8f4571d23138', '*', true);
DeleteFileMask('c:\programdata\a06349172fe142fab8ea9940b8f5213b', '*', true);
DeleteFileMask('c:\programdata\a9a559538cf844fe88ef1c6c2f69478d', '*', true);
DeleteFileMask('c:\users\1\appdata\local\mediaget2', '*', true);
DeleteFileMask('c:\users\1\appdata\local\yc', '*', true);
DeleteDirectory('c:\program files (x86)\gbemzxqzbie');
DeleteDirectory('c:\program files (x86)\maskit');
DeleteDirectory('c:\program files\jetmedia');
DeleteDirectory('c:\programdata\06fba4d72575443bb2b05bbc7b26a6f1');
DeleteDirectory('c:\programdata\1f4d86c43f3649f8adae8f4571d23138');
DeleteDirectory('c:\programdata\a06349172fe142fab8ea9940b8f5213b');
DeleteDirectory('c:\programdata\a9a559538cf844fe88ef1c6c2f69478d');
DeleteDirectory('c:\users\1\appdata\local\mediaget2');
DeleteDirectory('c:\users\1\appdata\local\yc');
DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '5EheWHTJ.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Browser Manager');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BSZMXDHBFQ.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'cphnexdiog');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'jJu0vbpGJwk0.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MediaGet2');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PAEFRVQNHV.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'RTno4ovEhHyV.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'U7QhQ9nibEzj48.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'wPIkp1L.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_1CC43526C9D533E0CD117B25D98AA3A6');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(21);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
31.03.2018, 09:59
HedgehogNSK

Вложений: 1

Спасибо.
Карантин не могу на сайт залить. Всё время выскакивает ошибка незащищённого соединения через некоторое время загрузки. Может потому что архив весит 60 МБ?
31.03.2018, 10:56
Vvvyg

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://GRANENA.RU/?UTM_CONTENT=31B5CEBD524A9AF6C7A772DCA81815E9&UTM_SOURCE=STARTPM&UTM_TERM=81595641884287F26B231590A648D072&UTM_D=17022018
delref HTTP://GRANENA.RU/?UTM_CONTENT=31B5CEBD524A9AF6C7A772DCA81815E9&UTM_SOURCE=STARTPM&UTM_TERM=D552185E7BC8E022CFB7883E42831141&UTM_D=20171219
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WEBALTA.RU/SEARCH?Q={SEARCHTERMS}&FROM=IE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\XTEXCALCULATOR.EXE
addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2117D3573E55BD492B009C9F461671FA7D5FE87255DAB02C2D77A42FC7062273 33 Adware.BrowseFox.Win32.119043 [Zillya] 7

chklst
delvir

uidel C:\Users\1\AppData\Local\MediaGet2\mediaget-uninstaller.exe
uidel C:\Users\defaultuser0\AppData\Local\MediaGet2\mediaget-uninstaller.exe
;---------command-block---------
delref HTTP://GO-SEARCH.RU/SEARCH?Q={SEARCHTERMS}
delref %SystemDrive%\PROGRAM FILES (X86)\GBEMZXQZBIE\KOGYUVE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GBEMZXQZBIE\TYWZ2B7OL.DLL
delall %SystemDrive%\USERS\1\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IE_ADDON_DLL.DLL
delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&FR=NTG&PRODUCT_ID=%7B02CD3513-0041-403E-ABB4-764C31C8C9B0%7D&GP=855510
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
delref %SystemDrive%\PROGRAMDATA\C5A6BE26-0681-0\C5A6BE26-0681-0.D
zoo %SystemDrive%\PROGRAMDATA\C5A6BE26-06E5-1\C5A6BE26-06E5-1.D
delall %SystemDrive%\PROGRAMDATA\C5A6BE26-06E5-1\C5A6BE26-06E5-1.D
delref %SystemDrive%\PROGRAMDATA\C5A6BE26-1BD3-0\C5A6BE26-1BD3-0.D
delref %SystemDrive%\PROGRAMDATA\C5A6BE26-2091-0\C5A6BE26-2091-0.D
delref %SystemDrive%\PROGRAMDATA\C5A6BE26-2911-0\C5A6BE26-2911-0.D
delref %SystemDrive%\PROGRAMDATA\C5A6BE26-2CA5-0\C5A6BE26-2CA5-0.D
delref %SystemDrive%\PROGRAMDATA\C5A6BE26-5287-0\C5A6BE26-5287-0.D
delref %SystemDrive%\PROGRAMDATA\C5A6BE26-59B7-0\C5A6BE26-59B7-0.D
delref %SystemDrive%\PROGRAMDATA\C5A6BE26-6073-1\C5A6BE26-6073-1.D
delref %SystemDrive%\PROGRAMDATA\C5A6BE26-6555-0\C5A6BE26-6555-0.D
delref %SystemDrive%\PROGRAMDATA\C5A6BE26-7105-1\C5A6BE26-7105-1.D
delref %SystemDrive%\PROGRAMDATA\C5A6BE26-7A01-1\C5A6BE26-7A01-1.D
delref %SystemDrive%\PROGRAMDATA\C5A6BE26-7AC3-0\C5A6BE26-7AC3-0.D
delref %SystemDrive%\PROGRAMDATA\C5A6BE26-7B97-0\C5A6BE26-7B97-0.D
delref %SystemDrive%\PROGRAMDATA\{14501F76-712C-1}\{14501F76-712C-1}.D
delref %SystemDrive%\PROGRAMDATA\{14B9752F-012C-0}\{14B9752F-012C-0}.D
delref %SystemDrive%\PROGRAMDATA\{313F43B5-212C-1}\{313F43B5-212C-1}.D
delref %SystemDrive%\PROGRAMDATA\{5C725DB2-112C-1}\{5C725DB2-112C-1}.D
delref %SystemDrive%\PROGRAMDATA\{62DE33F4-512C-0}\{62DE33F4-512C-0}.D
delref %SystemDrive%\PROGRAMDATA\{74210F35-312C-0}\{74210F35-312C-0}.D
apply

czoo
deltmp
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
31.03.2018, 15:36
HedgehogNSK

Вложений: 1

Очень сложно было прикрепить лог. Не хватало места для загрузки, пришлось удалить все файлы + первый лог из этой темы.
Карантин отправил.
31.03.2018, 19:01
Vvvyg

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.
01.04.2018, 16:15
HedgehogNSK

Вложений: 1

Готово
01.04.2018, 17:18
Vvvyg

[QUOTE]Adobe Flash Player 28 PPAPI v.28.0.0.126 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ppapi.exe]Скачать обновления[/url][/b][/color]
Adobe Reader 9.1 - Russian v.9.1.0 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=http://get.adobe.com/ru/reader/otherversions/]Adobe Reader XI или Adobe Acrobat Reader DC[/url][/b].[/QUOTE]Обновите, и всё на этом.
02.04.2018, 17:36
HedgehogNSK

Огромное спасибо!:)
02.04.2018, 17:46
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]