Нет интернета [not-a-virus:AdWare.Win32.Eorezo.brqa, not-a-virus:AdWare.Win32.ELEX.gh ]

Printable View

08.12.2015, 19:02
AndreySavva

Вложений: 2

Нет интернета [not-a-virus:AdWare.Win32.Eorezo.brqa, not-a-virus:AdWare.Win32.ELEX.gh ]

Здравствуйте. Нет интернета на компьютере, после лечения от вирусов(прогнал Mbam, kaspersky remove tools).Было при входе на страницы открывалась реклама.
08.12.2015, 19:03
Info_bot

Уважаемый(ая) [B]AndreySavva[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.12.2015, 09:04
Vvvyg

[NOTICE]Протокол антивирусной утилиты AVZ версии 4.41[/NOTICE]
Текущая версия - [B]4.45[/B]. Скачайте по ссылке из [URL="http://virusinfo.info/pravila.html"]правил[/URL], обновите базы.

Затем [url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
QuarantineFile('C:\Windows\system32\DNSAPI.dll', '');
DeleteFile('C:\Users\пользоаптель1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk', '32');
DeleteFile('C:\Users\пользоаптель1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk', '32');
DeleteFile('C:\Users\пользоаптель1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk', '32');
DeleteFile('C:\Windows\system32\Tasks\bGHu7ayGI2bf2c.job', '32');
DeleteFile('C:\Windows\system32\Tasks\EXFfw5sCz7zCq2wbe8R5EdANRV.job', '32');
DeleteFile('C:\Windows\system32\Tasks\odOEU7tz4EUIKmiKfcl.job', '32');
DeleteFile('C:\Windows\system32\Tasks\UU97KdCljgn2v.job', '32');
DeleteService('TSSK');
DeleteService('QMUdisk');
DeleteService('allnet');
DelBHO('{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}');
ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true
ExecuteFile('schtasks.exe', '/delete /TN "Ubenr" /F', 0, 15000, true
ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true
ExecuteFile('schtasks.exe', '/delete /TN "YTDownloader" /F', 0, 15000, true
ExecuteFile('schtasks.exe', '/delete /TN "YTDownloaderUpd" /F', 0, 15000, true
BC_QrFile('C:\Windows\system32\DNSAPI.dll');
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог HijackThis.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
09.12.2015, 18:20
AndreySavva

Вложений: 3

Выполнил все, интернета так и нет.
09.12.2015, 19:22
Vvvyg

Карантин не загрузили.
По AdwCleaner я просил сделать лог, а не очистку. И дальше будете делать то, что хочется, или то, что я прошу?

Скачайте утилиту [URL="http://download.bleepingcomputer.com/farbar/MiniToolBox.exe"]MiniToolBox[/URL] и сохраните на рабочем столе.

Запустите [U]при подключённом интернете[/U], отметьте следующие пункты:

[LIST][*]Report IE Proxy Settings[*]Report FF Proxy Settings[*]List content of Hosts[*]List IP Configuration[*]List Winsock Entries[*]List last 10 Event Viewer Errors[*]List Installed Programs[*]List Devices Only Problems[*]List Users, Partitions and Memory size[*]List Minidump Files[*]List Restore Points[/LIST]

и нажмите Старт.

После завершения сбора информации откроется отчет [b]MTB.txt[/b], прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.
09.12.2015, 19:44
AndreySavva

Вложений: 2

При загрузке карантина появляется ошибка:

"Ошибка загрузки. Данный файл уже был загружен"
Лог приложил.
Когда запустил утилиту MiniToolBox, то во время сканирования было два раза ошибка на ipconfig и nslookup. Во вложении приложил скрин ошибки, также этаже ошибка появляется при запуске установленного mbam.
09.12.2015, 20:04
Vvvyg

[QUOTE]Не удается загрузить DLL моодуля поддержки: NETIOHLP.DLL.
Не удается загрузить DLL моодуля поддержки: NSHIPSEC.DLL[/QUOTE]
Чем вынесли эти библиотеки, интересно, MBAM, или KVRT?

На точку восстановления:[CODE]19-11-2015 11:01:38 Запланированная контрольная точка[/CODE]не пробовали откатываться?
09.12.2015, 20:32
AndreySavva

[QUOTE=Vvvyg;1340248]Чем вынесли эти библиотеки, интересно, MBAM, или KVRT?[/QUOTE]
Незнаю:(
[QUOTE=Vvvyg;1340248]
На точку восстановления:[CODE]19-11-2015 11:01:38 Запланированная контрольная точка[/CODE]не пробовали откатываться?[/QUOTE]
Откатился но и вернулась реклама.
09.12.2015, 22:46
Vvvyg

Это легче вылечить. Новые логи сделайте, AVZ, HijackThis.
10.12.2015, 04:06
AndreySavva

Вложений: 2

Сделал логи.
10.12.2015, 08:40
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\programdata\applicationhosting\applicationhosting.exe');
TerminateProcessByName('c:\program files\content defender\contentdefender.exe');
TerminateProcessByName('c:\program files\gmsd_ru_005010171\gmsd_ru_005010171.exe');
TerminateProcessByName('c:\program files\groover171120150334\gyigtyvr.exe');
TerminateProcessByName('c:\program files\mail.ru\mailruupdater\mailruupdater.exe');
TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
TerminateProcessByName('c:\program files\rec_en_77\rec_en_77.exe');
TerminateProcessByName('c:\users\пользоаптель1\appdata\local\smartweb\smartwebapp.exe');
TerminateProcessByName('c:\users\пользоаптель1\appdata\local\smartweb\smartwebhelper.exe');
TerminateProcessByName('c:\program files\common files\shopperpro\spbiu.exe');
TerminateProcessByName('c:\program files\sfk\ssfk.exe');
TerminateProcessByName('c:\users\пользоаптель1\appdata\local\gmsd_ru_005010171\upgmsd_ru_005010171.exe');
StopService('ApplicationHosting');
StopService('ContentDefender');
StopService('groover171120150334 Updater');
StopService('SPBIUpd');
StopService('SSFK');
StopService('Updater.Mail.Ru');
StopService('WindowsMangerProtect');
StopService('ginoquci');
StopService('SPBIUpdd');
QuarantineFile('C:\Windows\system32\DNSAPI.dll', '');
QuarantineFile('c:\programdata\applicationhosting\applicationhosting.exe', '');
QuarantineFile('c:\program files\content defender\contentdefender.exe', '');
QuarantineFile('c:\program files\gmsd_ru_005010171\gmsd_ru_005010171.exe', '');
QuarantineFile('c:\program files\groover171120150334\gyigtyvr.exe', '');
QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '');
QuarantineFile('c:\program files\rec_en_77\rec_en_77.exe', '');
QuarantineFile('c:\users\пользоаптель1\appdata\local\smartweb\smartwebapp.exe', '');
QuarantineFile('c:\users\пользоаптель1\appdata\local\smartweb\smartwebhelper.exe', '');
QuarantineFile('c:\program files\common files\shopperpro\spbiu.exe', '');
QuarantineFile('c:\program files\sfk\ssfk.exe', '');
QuarantineFile('c:\users\пользоаптель1\appdata\local\gmsd_ru_005010171\upgmsd_ru_005010171.exe', '');
QuarantineFile('C:\Program Files\Content Defender\SSLEAY32.dll', '');
QuarantineFile('C:\Program Files\Content Defender\LIBEAY32.dll', '');
QuarantineFile('C:\Users\пользоаптель1\AppData\Local\SmartWeb\swhk.dll', '');
QuarantineFile('C:\Program Files\groover171120150334\Ifugruou.exe', '');
QuarantineFile('C:\Program Files\AmazingTab\amztab.exe', '');
QuarantineFile('C:\Program Files\groover171120150334\Bimmouikuu.exe', '');
QuarantineFile('C:\Program Files\03000200-1447684331-0500-0006-000700080009\hnsb617.tmp', '');
QuarantineFile('C:\Program Files\03000200-1447512255-0500-0006-000700080009\jnsl9220.tmp', '');
QuarantineFile('C:\Program Files\groover171120150334\csrcc.exe', '');
QuarantineFile('C:\Users\15AEC~1\AppData\Local\Temp\nsnB4F1.tmp', '');
QuarantineFile('C:\Program Files\globalUpdate\Update\globalupdate.exe', '');
QuarantineFile('C:\Program Files\groover171120150334\EgyktiCejba.exe', '');
QuarantineFile('C:\Program Files\03000200-1447512255-0500-0006-000700080009\knsz91C9.tmp', '');
QuarantineFile('C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe', '');
QuarantineFile('C:\Program Files\03000200-1447684331-0500-0006-000700080009\jnslEA31.tmp', '');
QuarantineFile('C:\Program Files\03000200-1447512255-0500-0006-000700080009\hnsvA9F0.tmp', '');
QuarantineFile('C:\ProgramData\QWMiniProQ\WMiniPro.exe', '');
QuarantineFile('C:\Program Files\03000200-1447684331-0500-0006-000700080009\knsfCED3.tmpfs', '');
QuarantineFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys', '');
QuarantineFile('C:\Windows\system32\drivers\bsdriver.sys', '');
QuarantineFile('C:\Windows\system32\drivers\contentdefenderdrv.sys', '');
QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16575.227\QMUdisk.sys', '');
QuarantineFile('C:\Program Files\ShopperPro\JSDriver\1.42.1.2719\jsdrv.sys', '');
QuarantineFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys', '');
QuarantineFile('C:\Windows\system32\tssk.sys', '');
QuarantineFile('C:\Program Files\Sound+\Sound+.exe', '');
QuarantineFile('C:\Program Files\gmsd_ru_005010146\gmsd_ru_005010146.exe', '');
QuarantineFile('C:\Program Files\gmsd_ru_005010150\gmsd_ru_005010150.exe', '');
QuarantineFile('C:\Program Files\gmsd_ru_025010137\gmsd_ru_025010137.exe', '');
QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '');
QuarantineFile('C:\Program Files\SpaceSondPro_v53.9345\ioproduct_service.bat', '');
QuarantineFile('C:\Users\пользоаптель1\AppData\Local\gmsd_ru_005010146\upgmsd_ru_005010146.exe', '');
QuarantineFile('C:\Users\пользоаптель1\AppData\Local\gmsd_ru_005010150\upgmsd_ru_005010150.exe', '');
QuarantineFile('C:\Program Files\baidu\pps.exe', '');
QuarantineFile('C:\Users\пользоаптель1\AppData\Local\cuprofit\cuprof_stbl.exe', '');
QuarantineFile('C:\Users\пользоаптель1\AppData\Local\cuprofit\config.json', '');
QuarantineFile('C:\IQIYI Video\Common\QyKernel.exe', '');
QuarantineFile('C:\Users\пользоаптель1\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe', '');
QuarantineFile('C:\Users\пользоаптель1\AppData\Local\Mail.Ru\MailRuUpdater.exe', '');
QuarantineFile('C:\Users\пользоаптель1\AppData\Roaming\MyDesktop\qweeeCL.exe', '');
QuarantineFile('C:\Program Files\ShopperPro\JSDriver\1.42.1.2719\jsdrv.exe', '');
QuarantineFile('C:\Program Files\YTDownloader\YTDownloader.exe', '');
QuarantineFile('C:\ProgramData\Tmp0x0x\P', '');
QuarantineFile('C:\Program Files\IObit\IObit Uninstaller\UninstallMenuRight32.dll', '');
QuarantineFile('C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll', '');
QuarantineFile('C:\Users\пользоаптель1\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '');
QuarantineFile('C:\ProgramData\ShopperPro\ShopperPro.dll', '');
QuarantineFile('C:\Program Files\groover171120150334\Hydlut.dll', '');
QuarantineFile('C:\IQIYI Video\Common\Accelerator\IEHelper.dll', '');
QuarantineFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-1-6.exe', '');
QuarantineFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-1-7.exe', '');
QuarantineFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-10.exe', '');
QuarantineFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-11.exe', '');
QuarantineFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-3.exe', '');
QuarantineFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-4.exe', '');
QuarantineFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-5.exe', '');
QuarantineFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-6.exe', '');
QuarantineFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-7.exe', '');
QuarantineFile('C:\Program Files\Object Browser\97517cee-6c0c-44d1-b0ad-2f72c325843e-1-6.exe', '');
QuarantineFile('C:\Program Files\Object Browser\97517cee-6c0c-44d1-b0ad-2f72c325843e-1-7.exe', '');
QuarantineFile('C:\Program Files\Object Browser\97517cee-6c0c-44d1-b0ad-2f72c325843e-11.exe', '');
QuarantineFile('C:\Program Files\Object Browser\97517cee-6c0c-44d1-b0ad-2f72c325843e-4.exe', '');
QuarantineFile('C:\Program Files\Object Browser\97517cee-6c0c-44d1-b0ad-2f72c325843e-5.exe', '');
QuarantineFile('C:\Program Files\Object Browser\97517cee-6c0c-44d1-b0ad-2f72c325843e-6.exe', '');
QuarantineFile('C:\Program Files\Object Browser\97517cee-6c0c-44d1-b0ad-2f72c325843e-7.exe', '');
QuarantineFile('C:\Users\пользоаптель1\AppData\Local\28100\Updater.exe', '');
QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js', '');
QuarantineFile('C:\Users\пользоаптель1\AppData\Local\SystemDir\nethost.exe', '');
QuarantineFile('C:\Users\пользоаптель1\AppData\Local\Plugin Rush\xBin\PluginRush.dll', '');
QuarantineFile('C:\Program Files\ShopperPro\ShopperPro.exe', '');
QuarantineFile('C:\Program Files\ShopperPro\updater.exe', '');
QuarantineFile('C:\Users\пользоаптель1\AppData\Local\Hostinstaller\3572895782_installcube.exe', '');
QuarantineFile('C:\Program Files\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe', '');
QuarantineFile('C:\PROGRA~1\GROOVE~1\Zemimumd.bat', '');
QuarantineFile('C:\Users\пользоаптель1\AppData\Roaming\WindowsUpdater\Updater.exe', '');
QuarantineFile('C:\Program Files\YTDownloader\updater.exe', '');
QuarantineFile('c:\users\15aec~1\appdata\local\temp\jre-8u66-windows-au.exe', '');
QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll', '');
QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\npglobalupdateupdate4.dll', '');
QuarantineFile('C:\Program Files\plushd_1.02mv09.08\BB7AF87B-63B0-4731-B3F7-1952A6691268.dll', '');
DeleteFile('c:\programdata\applicationhosting\applicationhosting.exe', '32');
DeleteFile('c:\program files\content defender\contentdefender.exe', '32');
DeleteFile('c:\program files\gmsd_ru_005010171\gmsd_ru_005010171.exe', '32');
DeleteFile('c:\program files\groover171120150334\gyigtyvr.exe', '32');
DeleteFile('c:\program files\mail.ru\mailruupdater\mailruupdater.exe', '32');
DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '32');
DeleteFile('c:\program files\rec_en_77\rec_en_77.exe', '32');
DeleteFile('c:\users\пользоаптель1\appdata\local\smartweb\smartwebapp.exe', '32');
DeleteFile('c:\users\пользоаптель1\appdata\local\smartweb\smartwebhelper.exe', '32');
DeleteFile('c:\program files\common files\shopperpro\spbiu.exe', '32');
DeleteFile('c:\program files\sfk\ssfk.exe', '32');
DeleteFile('c:\users\пользоаптель1\appdata\local\gmsd_ru_005010171\upgmsd_ru_005010171.exe', '32');
DeleteFile('C:\Program Files\Content Defender\SSLEAY32.dll', '32');
DeleteFile('C:\Program Files\Content Defender\LIBEAY32.dll', '32');
DeleteFile('C:\Users\пользоаптель1\AppData\Local\SmartWeb\swhk.dll', '32');
DeleteFile('C:\Program Files\groover171120150334\Ifugruou.exe', '32');
DeleteFile('C:\Program Files\AmazingTab\amztab.exe', '32');
DeleteFile('C:\Program Files\groover171120150334\Bimmouikuu.exe', '32');
DeleteFile('C:\Program Files\03000200-1447684331-0500-0006-000700080009\hnsb617.tmp', '32');
DeleteFile('C:\Program Files\03000200-1447512255-0500-0006-000700080009\jnsl9220.tmp', '32');
DeleteFile('C:\Program Files\groover171120150334\csrcc.exe', '32');
DeleteFile('C:\Users\15AEC~1\AppData\Local\Temp\nsnB4F1.tmp', '32');
DeleteFile('C:\Program Files\globalUpdate\Update\globalupdate.exe', '32');
DeleteFile('C:\Program Files\groover171120150334\EgyktiCejba.exe', '32');
DeleteFile('C:\Program Files\03000200-1447512255-0500-0006-000700080009\knsz91C9.tmp', '32');
DeleteFile('C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe', '32');
DeleteFile('C:\Program Files\03000200-1447684331-0500-0006-000700080009\jnslEA31.tmp', '32');
DeleteFile('C:\Program Files\03000200-1447512255-0500-0006-000700080009\hnsvA9F0.tmp', '32');
DeleteFile('C:\ProgramData\QWMiniProQ\WMiniPro.exe', '32');
DeleteFile('C:\Program Files\03000200-1447684331-0500-0006-000700080009\knsfCED3.tmpfs', '32');
DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys', '32');
DeleteFile('C:\Windows\system32\drivers\bsdriver.sys', '32');
DeleteFile('C:\Windows\system32\drivers\contentdefenderdrv.sys', '32');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16575.227\QMUdisk.sys', '32');
DeleteFile('C:\Program Files\ShopperPro\JSDriver\1.42.1.2719\jsdrv.sys', '32');
DeleteFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys', '32');
DeleteFile('C:\Windows\system32\tssk.sys', '32');
DeleteFile('C:\Program Files\Sound+\Sound+.exe', '32');
DeleteFile('C:\Program Files\gmsd_ru_005010146\gmsd_ru_005010146.exe', '32');
DeleteFile('C:\Program Files\gmsd_ru_005010150\gmsd_ru_005010150.exe', '32');
DeleteFile('C:\Program Files\gmsd_ru_025010137\gmsd_ru_025010137.exe', '32');
DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '32');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32');
DeleteFile('C:\Program Files\SpaceSondPro_v53.9345\ioproduct_service.bat', '32');
DeleteFile('C:\Users\пользоаптель1\AppData\Local\gmsd_ru_005010146\upgmsd_ru_005010146.exe', '32');
DeleteFile('C:\Users\пользоаптель1\AppData\Local\gmsd_ru_005010150\upgmsd_ru_005010150.exe', '32');
DeleteFile('C:\Program Files\baidu\pps.exe', '32');
DeleteFile('C:\Users\пользоаптель1\AppData\Local\cuprofit\cuprof_stbl.exe', '32');
DeleteFile('C:\Users\пользоаптель1\AppData\Local\cuprofit\config.json', '32');
DeleteFile('C:\IQIYI Video\Common\QyKernel.exe', '32');
DeleteFile('C:\Users\пользоаптель1\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe', '32');
DeleteFile('C:\Users\пользоаптель1\AppData\Local\Mail.Ru\MailRuUpdater.exe', '32');
DeleteFile('C:\Users\пользоаптель1\AppData\Roaming\MyDesktop\qweeeCL.exe', '32');
DeleteFile('C:\Program Files\ShopperPro\JSDriver\1.42.1.2719\jsdrv.exe', '32');
DeleteFile('C:\Program Files\YTDownloader\YTDownloader.exe', '32');
DeleteFile('C:\ProgramData\Tmp0x0x\P', '32');
DeleteFile('C:\Program Files\IObit\IObit Uninstaller\UninstallMenuRight32.dll', '32');
DeleteFile('C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll', '32');
DeleteFile('C:\Users\пользоаптель1\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '32');
DeleteFile('C:\ProgramData\ShopperPro\ShopperPro.dll', '32');
DeleteFile('C:\Program Files\groover171120150334\Hydlut.dll', '32');
DeleteFile('C:\IQIYI Video\Common\Accelerator\IEHelper.dll', '32');
DeleteFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-1-6.exe', '32');
DeleteFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-1-7.exe', '32');
DeleteFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-10.exe', '32');
DeleteFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-11.exe', '32');
DeleteFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-3.exe', '32');
DeleteFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-4.exe', '32');
DeleteFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-5.exe', '32');
DeleteFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-6.exe', '32');
DeleteFile('C:\Program Files\CinemaP-1.9cV09.11\40db1533-f551-4998-8bca-934da85073e3-7.exe', '32');
DeleteFile('C:\Program Files\Object Browser\97517cee-6c0c-44d1-b0ad-2f72c325843e-1-6.exe', '32');
DeleteFile('C:\Program Files\Object Browser\97517cee-6c0c-44d1-b0ad-2f72c325843e-1-7.exe', '32');
DeleteFile('C:\Program Files\Object Browser\97517cee-6c0c-44d1-b0ad-2f72c325843e-11.exe', '32');
DeleteFile('C:\Program Files\Object Browser\97517cee-6c0c-44d1-b0ad-2f72c325843e-4.exe', '32');
DeleteFile('C:\Program Files\Object Browser\97517cee-6c0c-44d1-b0ad-2f72c325843e-5.exe', '32');
DeleteFile('C:\Program Files\Object Browser\97517cee-6c0c-44d1-b0ad-2f72c325843e-6.exe', '32');
DeleteFile('C:\Program Files\Object Browser\97517cee-6c0c-44d1-b0ad-2f72c325843e-7.exe', '32');
DeleteFile('C:\Users\пользоаптель1\AppData\Local\28100\Updater.exe', '32');
DeleteFile('C:\ProgramData\ShopperPro\spbihe.js', '32');
DeleteFile('C:\Users\пользоаптель1\AppData\Local\SystemDir\nethost.exe', '32');
DeleteFile('C:\Users\пользоаптель1\AppData\Local\Plugin Rush\xBin\PluginRush.dll', '32');
DeleteFile('C:\Program Files\ShopperPro\ShopperPro.exe', '32');
DeleteFile('C:\Program Files\ShopperPro\updater.exe', '32');
DeleteFile('C:\Users\пользоаптель1\AppData\Local\Hostinstaller\3572895782_installcube.exe', '32');
DeleteFile('C:\Program Files\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe', '32');
DeleteFile('C:\PROGRA~1\GROOVE~1\Zemimumd.bat', '32');
DeleteFile('C:\Users\пользоаптель1\AppData\Roaming\WindowsUpdater\Updater.exe', '32');
DeleteFile('C:\Program Files\YTDownloader\updater.exe', '32');
DeleteFile('c:\users\15aec~1\appdata\local\temp\jre-8u66-windows-au.exe', '32');
DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll', '32');
DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\npglobalupdateupdate4.dll', '32');
DeleteFile('C:\Program Files\plushd_1.02mv09.08\BB7AF87B-63B0-4731-B3F7-1952A6691268.dll', '32');
DeleteService('ApplicationHosting');
DeleteService('ContentDefender');
DeleteService('groover171120150334 Updater');
DeleteService('SPBIUpd');
DeleteService('SSFK');
DeleteService('Updater.Mail.Ru');
DeleteService('WindowsMangerProtect');
DeleteService('86AF7947-83BA-4ABA-8C09-ABF01EC6A0B0');
DeleteService('AmazingTab Update');
DeleteService('Bimmouikuu');
DeleteService('bykesute');
DeleteService('citevebo');
DeleteService('csrcc');
DeleteService('ginoquci');
DeleteService('globalUpdate');
DeleteService('globalUpdatem');
DeleteService('JeehCepbu');
DeleteService('jokodeki');
DeleteService('LiveUpdateSvc');
DeleteService('myfejozi');
DeleteService('piromemi');
DeleteService('WdsManPro');
DeleteService('wicisety');
DeleteService('SPBIUpdd');
DeleteService('bsdriver');
DeleteService('contentdefenderdrv');
DeleteService('QMUdisk');
DeleteService('SPDRIVER_1.42.1.2719');
DeleteService('swsedrvr_vt_1_10_0_25');
DeleteService('TSSK');
DeleteFileMask('c:\programdata\applicationhosting', '*', true);
DeleteFileMask('c:\program files\content defender', '*', true);
DeleteFileMask('c:\program files\groover171120150334', '*', true);
DeleteFileMask('c:\program files\mail.ru', '*', true);
DeleteFileMask('c:\programdata\tmp0x0x', '*', true);
DeleteFileMask('c:\program files\rec_en_77', '*', true);
DeleteFileMask('c:\users\пользоаптель1\appdata\local\smartweb', '*', true);
DeleteFileMask('c:\program files\common files\shopperpro', '*', true);
DeleteFileMask('c:\program files\sfk', '*', true);
DeleteFileMask('C:\Program Files\AmazingTab', '*', true);
DeleteFileMask('C:\Program Files\globalUpdate', '*', true);
DeleteFileMask('C:\Program Files\IObit', '*', true);
DeleteFileMask('C:\ProgramData\QWMiniProQ', '*', true);
DeleteFileMask('C:\Program Files\Tencent', '*', true);
DeleteFileMask('C:\Program Files\ShopperPro', '*', true);
DeleteFileMask('C:\Program Files\Sound+', '*', true);
DeleteFileMask('C:\Program Files\SpaceSoundPro', '*', true);
DeleteFileMask('C:\Program Files\Zaxar', '*', true);
DeleteFileMask('C:\Program Files\baidu', '*', true);
DeleteFileMask('C:\Users\пользоаптель1\AppData\Local\cuprofit', '*', true);
DeleteFileMask('C:\IQIYI Video', '*', true);
DeleteFileMask('C:\Users\пользоаптель1\AppData\Local\Kometa', '*', true);
DeleteFileMask('C:\Users\пользоаптель1\AppData\Local\Mail.Ru', '*', true);
DeleteFileMask('C:\Users\пользоаптель1\AppData\Roaming\MyDesktop', '*', true);
DeleteFileMask('C:\Program Files\YTDownloader', '*', true);
DeleteFileMask('C:\ProgramData\ShopperPro', '*', true);
DeleteFileMask('C:\Program Files\CinemaP-1.9cV09.11', '*', true);
DeleteFileMask('C:\Program Files\Object Browser', '*', true);
DeleteFileMask('C:\Users\пользоаптель1\AppData\Local\28100', '*', true);
DeleteFileMask('C:\Users\пользоаптель1\AppData\Local\SystemDir', '*', true);
DeleteFileMask('C:\Users\пользоаптель1\AppData\Local\Plugin Rush', '*', true);
DeleteFileMask('C:\Users\пользоаптель1\AppData\Local\Hostinstaller', '*', true);
DeleteFileMask('C:\Program Files\SwiftSearch_1.10.0.25', '*', true);
DeleteFileMask('C:\Users\пользоаптель1\AppData\Roaming\WindowsUpdater', '*', true);
DeleteFileMask('C:\Program Files\plushd_1.02mv09.08', '*', true);
DeleteDirectory('c:\programdata\applicationhosting');
DeleteDirectory('c:\program files\content defender');
DeleteDirectory('c:\program files\groover171120150334');
DeleteDirectory('c:\program files\mail.ru');
DeleteDirectory('c:\programdata\tmp0x0x');
DeleteDirectory('c:\program files\rec_en_77');
DeleteDirectory('c:\users\пользоаптель1\appdata\local\smartweb');
DeleteDirectory('c:\program files\common files\shopperpro');
DeleteDirectory('c:\program files\sfk');
DeleteDirectory('C:\Program Files\AmazingTab');
DeleteDirectory('C:\Program Files\globalUpdate');
DeleteDirectory('C:\Program Files\IObit');
DeleteDirectory('C:\ProgramData\QWMiniProQ');
DeleteDirectory('C:\Program Files\Tencent');
DeleteDirectory('C:\Program Files\ShopperPro');
DeleteDirectory('C:\Program Files\Sound+');
DeleteDirectory('C:\Program Files\SpaceSoundPro');
DeleteDirectory('C:\Program Files\Zaxar');
DeleteDirectory('C:\Program Files\baidu');
DeleteDirectory('C:\Users\пользоаптель1\AppData\Local\cuprofit');
DeleteDirectory('C:\IQIYI Video');
DeleteDirectory('C:\Users\пользоаптель1\AppData\Local\Kometa');
DeleteDirectory('C:\Users\пользоаптель1\AppData\Local\Mail.Ru');
DeleteDirectory('C:\Users\пользоаптель1\AppData\Roaming\MyDesktop');
DeleteDirectory('C:\Program Files\YTDownloader');
DeleteDirectory('C:\ProgramData\ShopperPro');
DeleteDirectory('C:\Program Files\CinemaP-1.9cV09.11');
DeleteDirectory('C:\Program Files\Object Browser');
DeleteDirectory('C:\Users\пользоаптель1\AppData\Local\28100');
DeleteDirectory('C:\Users\пользоаптель1\AppData\Local\SystemDir');
DeleteDirectory('C:\Users\пользоаптель1\AppData\Local\Plugin Rush');
DeleteDirectory('C:\Users\пользоаптель1\AppData\Local\Hostinstaller');
DeleteDirectory('C:\Program Files\SwiftSearch_1.10.0.25');
DeleteDirectory('C:\Users\пользоаптель1\AppData\Roaming\WindowsUpdater');
DeleteDirectory('C:\Program Files\plushd_1.02mv09.08');
DelBHO('{10921475-03CE-4E04-90CE-E2E7EF20C814}');
DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
DelBHO('{A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C}');
DelBHO('{A73D8C59-0CB8-4127-89F6-01CB121A3691}');
DelBHO('{FB4F6285-4C32-49F2-950F-A5998F9CEC6C}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-1-6.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-1-7.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-10_user.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-11.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-3.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-4.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-5.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-5_user.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-6.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-7.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "97517cee-6c0c-44d1-b0ad-2f72c325843e-1-6.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "97517cee-6c0c-44d1-b0ad-2f72c325843e-1-7.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "97517cee-6c0c-44d1-b0ad-2f72c325843e-11.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "97517cee-6c0c-44d1-b0ad-2f72c325843e-4.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "97517cee-6c0c-44d1-b0ad-2f72c325843e-5.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "97517cee-6c0c-44d1-b0ad-2f72c325843e-5_user.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "97517cee-6c0c-44d1-b0ad-2f72c325843e-6.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "97517cee-6c0c-44d1-b0ad-2f72c325843e-7.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "AmiUpdXp.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineCore.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineUA.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SPBIW_UpdateTask_Time_313331373234363438322d3437415a556c2a3223346c41.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-1-6" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-1-7" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-11" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-4" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-5" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-6" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "40db1533-f551-4998-8bca-934da85073e3-7" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "97517cee-6c0c-44d1-b0ad-2f72c325843e-1-6" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "97517cee-6c0c-44d1-b0ad-2f72c325843e-1-7" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "97517cee-6c0c-44d1-b0ad-2f72c325843e-11" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "97517cee-6c0c-44d1-b0ad-2f72c325843e-4" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "97517cee-6c0c-44d1-b0ad-2f72c325843e-5" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "97517cee-6c0c-44d1-b0ad-2f72c325843e-6" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "97517cee-6c0c-44d1-b0ad-2f72c325843e-7" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "AmiUpdXp" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineCore" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineUA" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Plugin Rush" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ShopperPro" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ShopperProJSUpd" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SPBIW_UpdateTask_Time_313331373234363438322d3437415a556c2a3223346c41" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SPDriver" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SwiftSearch Auto Updater 1.10.0.25 Core" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SwiftSearch Auto Updater 1.10.0.25 Pending Update" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Ubenr" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "YTDownloader" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "YTDownloaderUpd" /F', 0, 15000, true);
DelCLSID('{B19ED566-D419-470b-B111-3C89040BC027}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SmartWeb');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Sound+');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_005010171');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rec_en_77');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_005010146');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_005010150');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_025010137');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SpaceSoundPro');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_005010171.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'IOPROTECT');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_005010146.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_005010150.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'apphide');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'cuprofit');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'HCDNClient');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'KometaLaunchPanel');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MailRuUpdater');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MyDesktop');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SPDriver');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'tnyqghwbch');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YTDownloader');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_en_77', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{B19ED566-D419-470b-B111-3C89040BC027}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('hidekoqe');
BC_DeleteSvc('qebovulo');
ExecuteRepair(4);
ExecuteRepair(3);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
10.12.2015, 14:53
AndreySavva

Вложений: 2

Все сделал.
10.12.2015, 20:59
Vvvyg

[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

Это ещё не всё - подменена системная библиотека, чуть позже напишу, как восстановить её.
10.12.2015, 21:09
AndreySavva

Вложений: 1

Выполнил.
12.12.2015, 00:20
Vvvyg

1. Скачайте архив [ATTACH=CONFIG]605910[/ATTACH]. Распакуйте. Запустите файл SysFileReplacer.cmd.
2. Отчет в виде файла Result.txt прикрепите к своему сообщению.

Сообщите о поведении системы и наличии рекламы в браузерах.
12.12.2015, 04:48
AndreySavva

Вложений: 1

Вроде реклама пропала.
12.12.2015, 08:56
Vvvyg

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
12.12.2015, 09:54
AndreySavva

Вложений: 3

Все сделал
12.12.2015, 20:40
Vvvyg

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKU\S-1-5-21-3051586841-3109870240-2304264823-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLyGJ1BmizEHBo-ZzhtiJp3QFeZGcxzbG0gCljHR3g9sWHSjs9qW4e_9SIORO4jpxBuwkN0boc6bIjZP5zHrnYDM2XOyPtBYj067dxxEopa6C_6M-3uWtUwoKJBPasLi2mi7t7x0JDHYbJaN6euttrnrhOXrYHKu0txFUWQ8oQ,,&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {ielnksrch} URL =
SearchScopes: HKU\S-1-5-21-3051586841-3109870240-2304264823-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B4CA5F4E4-6E94-4D6C-8E53-F540B8C3C8FE%7D&gp=801507
SearchScopes: HKU\S-1-5-21-3051586841-3109870240-2304264823-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B4CA5F4E4-6E94-4D6C-8E53-F540B8C3C8FE%7D&gp=801507
FF NewTab: C:\\ProgramData\\Airtops\\ff.NT
FF Homepage: mail.ru
FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7BF20C7365-5C13-44C8-8229-95A7954F26F6%7D&gp=801507
FF HKLM\...\Firefox\Extensions: [{A73D8C59-0CB8-4127-89F6-01CB121A3691}] - C:\Program Files\groover171120150334\Firefox\{A73D8C59-0CB8-4127-89F6-01CB121A3691}.xpi => not found
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\!9C5985CC95413DF2727C38E2D3F66FE99C59.js [2015-11-14]
CHR HomePage: Profile 2 -> mail.ru/cnt/11956636
CHR DefaultSearchURL: Profile 2 -> hxxp://go.mail.ru/search?q={searchTerms}&fr=ntg
CHR DefaultSearchKeyword: Profile 2 -> mail.ru
CHR DefaultSuggestURL: Profile 2 -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR HKLM\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx
S1 allnet; \??\C:\Program Files\skinapp\allnet.sys [X]
2015-11-17 10:38 - 2015-11-17 08:36 - 00289136 _____ C:\Windows\system32\Bimmouikuu.dll
2015-11-16 21:37 - 2015-11-16 21:37 - 00000000 ____D C:\Users\Public\QiYi
2015-11-14 21:55 - 2015-11-14 21:56 - 00000105 ____H C:\iexplore.bat
2015-11-14 21:55 - 2015-11-14 21:56 - 00000104 ____H C:\firefox.bat
2015-11-14 21:55 - 2015-11-14 21:55 - 00000099 ____H C:\launcher.bat
2015-11-14 21:55 - 2015-11-14 21:55 - 00000096 ____H C:\YandexDisk.bat
2015-11-14 21:55 - 2015-10-30 20:05 - 00948856 ____H (Opera Software) C:\lаunсhеr.bаt.exe
2015-11-14 21:44 - 2015-11-05 10:27 - 00000860 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-12-10 00:13 - 2015-06-01 21:25 - 00000000 ____D C:\Users\镱朦珙囡蝈朦1\AppData\Roaming\Tencent
globalupdate Helper (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
2015-11-19 15:51 - 2015-11-05 10:29 - 00000000 ____D C:\ProgramData\ProductData
Task: {41608CD3-71C3-46EA-BFF5-881FB6A19EB5} - \chrome5 -> No File <==== ATTENTION
Task: {8D608432-9BF6-429F-956A-2E5DEC50D07E} - \chrome5_logon -> No File <==== ATTENTION
Task: {CAE2B3B9-DB0A-40EA-BECD-57DC91016721} - no filepath
Task: C:\Windows\Tasks\bGHu7ayGI2bf2c.job => C:\Users\��1\AppData\Roaming\bGHu7ayGI2bf2c.exe <==== ATTENTION
Task: C:\Windows\Tasks\EXFfw5sCz7zCq2wbe8R5EdANRV.job => C:\Users\��1\AppData\Roaming\EXFfw5sCz7zCq2wbe8R5EdANRV.exe <==== ATTENTION
Task: C:\Windows\Tasks\odOEU7tz4EUIKmiKfcl.job => C:\Users\��1\AppData\Roaming\odOEU7tz4EUIKmiKfcl.exe <==== ATTENTION
Task: C:\Windows\Tasks\UU97KdCljgn2v.job => C:\Users\��1\AppData\Roaming\UU97KdCljgn2v.exe <==== ATTENTION
C:\Users\пользоаптель1\Desktop\Яндекс.Диск.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpеrа.lnk
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Bimmouikuu => ""="service"
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\application extension
C:\Users\пользоаптель1\Desktop\Mail.Ru Агент.lnk
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_en_77" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^пользоаптель1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^SmartWeb.lnk" /f
CMD: ipconfig /flushdns
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
13.12.2015, 06:43
AndreySavva

Вложений: 1

Сделал
13.12.2015, 12:50
Vvvyg

Если проблемы решены, сделайте следующее.

Запустите AdwCleaner и нажмите [B]Деинсталлировать (Uninstall)[/B].

Удалите папку C:\FRST со всем содержимым.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
13.12.2015, 13:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]49[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\cinemap-1.9cv09.11\40db1533-f551-4998-8bca-934da85073e3-1-7.exe - [B]Packed.Win32.Krap.hc[/B][*] c:\program files\cinemap-1.9cv09.11\40db1533-f551-4998-8bca-934da85073e3-7.exe - [B]Packed.Win32.Krap.hc[/B][*] c:\program files\common files\shopperpro\spbiu.exe - [B]not-a-virus:AdWare.Win32.Agent.hing[/B] ( DrWEB: Adware.Shopper.879 )[*] c:\program files\content defender\contentdefender.exe - [B]not-a-virus:RiskTool.Win64.NetFilter.o[/B] ( DrWEB: Trojan.Zadved.183 )[*] c:\program files\content defender\libeay32.dll - [B]not-a-virus:RiskTool.Win64.NetFilter.o[/B] ( DrWEB: Trojan.Zadved.183 )[*] c:\program files\content defender\ssleay32.dll - [B]not-a-virus:RiskTool.Win64.NetFilter.o[/B] ( DrWEB: Trojan.Zadved.183 )[*] c:\program files\gmsd_ru_005010171\gmsd_ru_005010171.exe - [B]not-a-virus:AdWare.Win32.Eorezo.brqa[/B] ( DrWEB: Adware.Eorezo.749 )[*] c:\program files\object browser\97517cee-6c0c-44d1-b0ad-2f72c325843e-1-7.exe - [B]Packed.Win32.Krap.hc[/B][*] c:\program files\object browser\97517cee-6c0c-44d1-b0ad-2f72c325843e-7.exe - [B]Packed.Win32.Krap.hc[/B][*] c:\program files\sfk\ssfk.exe - [B]not-a-virus:AdWare.Win32.ELEX.gh[/B] ( DrWEB: Adware.Mutabaha.672 )[*] c:\programdata\qwminiproq\wminipro.exe - [B]Packed.Win32.Krap.hc[/B] ( AVAST4: Win32:Adware-DAN [Adw] )[*] c:\programdata\shopperpro\shopperpro.dll - [B]not-a-virus:AdWare.Win32.Shopper.ana[/B][*] c:\programdata\tmp0x0x\protectwindowsmanager.exe - [B]not-a-virus:AdWare.Win32.WProtManager.cn[/B] ( DrWEB: Adware.Mutabaha.884 )[*] c:\users\пользоаптель1\appdata\local\gmsd_ru_005010171\upgmsd_ru_005010171.exe - [B]not-a-virus:AdWare.Win32.Eorezo.brqa[/B] ( DrWEB: Adware.Eorezo.749 )[*] c:\users\пользоаптель1\appdata\local\smartweb\smartwebapp.exe - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845, AVAST4: Win32:PriceGong-B [Adw] )[*] c:\users\пользоаптель1\appdata\local\smartweb\smartwebhelper.exe - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845 )[*] c:\users\пользоаптель1\appdata\local\smartweb\swhk.dll - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845, AVAST4: Win32:BHO-AOJ [Adw] )[*] c:\windows\system32\dnsapi.dll - [B]Trojan.Win32.Patched.qw[/B][*] c:\windows\system32\drivers\bsdriver.sys - [B]not-a-virus:NetTool.Win64.NetFilter.r[/B][/LIST][/LIST]