Wizua.A

[Sliver]

Здравствуйте . Помогите удалить рекламный браузер, который постоянно сам запускается и показывает рекламу. Файлы проверки приложил.
Заранее спасибо.

[Info_bot]

Уважаемый(ая) Sliver, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Kingsoft Office сами устанавливали?

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files\image converter\dm9cygclow2gbjv2o\rc5f2vu83mtz6n.exe');
 StopService('ProntSpooler');
 QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('c:\program files\image converter\dm9cygclow2gbjv2o\rc5f2vu83mtz6n.exe', '');
 QuarantineFile('c:\program files\phejusp\anwprovider.dll', '');
 QuarantineFile('c:\exervice.exe', '');
 QuarantineFile('C:\Program Files\sunnyday\wincom_MAK.exe', '');
 QuarantineFile('C:\Program Files\gamesdesktop\KVXVN8.exe', '');
 QuarantineFile('C:\Program Files\gamesdesktop\738UVV.exe', '');
 QuarantineFile('C:\Program Files\gamesdesktop\JR3MP5.exe', '');
 QuarantineFile('C:\Program Files\gamesdesktop\4VR259.exe', '');
 QuarantineFile('C:\Program Files\gamesdesktop\ZUMFW0.exe', '');
 QuarantineFile('C:\Program Files\gamesdesktop\MX859J.exe', '');
 QuarantineFile('C:\Program Files\gamesdesktop\T7WT3A.exe', '');
 QuarantineFile('C:\Program Files\gamesdesktop\43GIHU.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Local\Temp\3G5YMDFQBO.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Local\Temp\1T6PD9VO72.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Local\Temp\FTC3XYA2S0.exe', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\CZMED4.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Local\Temp\Q98BI298YV.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Local\Temp\9ITAOLF6QQ.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Local\Temp\YAT6VI7XYY.exe', '');
 QuarantineFile('C:\Program Files\gamesdesktop\D0QBMA.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Local\Temp\EFJCLGP3KQ.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Local\Temp\9S63H9TDRA.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Local\Temp\IMQ2YE5RLP.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Local\Temp\ZND4BQ1WGP.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Local\Temp\LV0MTQJ0VI.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Local\Temp\WGVOPL5WIW.exe', '');
 QuarantineFile('C:\Program Files\sunnyday\BARWX9.exe', '');
 QuarantineFile('C:\Program Files\sunnyday\BB9Y31.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Phergh\Chigesp.dll', '');
 QuarantineFile('C:\Program Files\IObit\IObit Uninstaller\UninstallMenuRight32.dll', '');
 QuarantineFile('C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Adobe\Manager.exe', '');
 QuarantineFile('C:\Program Files\spacesoundpro\uninstaller.exe', '');
 DeleteFile('C:\WINDOWS\Tasks\Digital Sites.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\DigitalSite.job', '32');
 DeleteFile('c:\program files\image converter\dm9cygclow2gbjv2o\rc5f2vu83mtz6n.exe', '32');
 DeleteFile('c:\program files\phejusp\anwprovider.dll', '32');
 DeleteFile('c:\exervice.exe', '32');
 DeleteFile('C:\Program Files\Kingsoft\Kingsoft Office\wpscloudsvr.exe', '32');
 DeleteFile('C:\Program Files\sunnyday\wincom_MAK.exe', '32');
 DeleteFile('C:\Program Files\gamesdesktop\KVXVN8.exe', '32');
 DeleteFile('C:\Program Files\gamesdesktop\738UVV.exe', '32');
 DeleteFile('C:\Program Files\gamesdesktop\JR3MP5.exe', '32');
 DeleteFile('C:\Program Files\gamesdesktop\4VR259.exe', '32');
 DeleteFile('C:\Program Files\gamesdesktop\ZUMFW0.exe', '32');
 DeleteFile('C:\Program Files\gamesdesktop\MX859J.exe', '32');
 DeleteFile('C:\Program Files\gamesdesktop\T7WT3A.exe', '32');
 DeleteFile('C:\Program Files\gamesdesktop\43GIHU.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Local\Temp\3G5YMDFQBO.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Local\Temp\1T6PD9VO72.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Local\Temp\FTC3XYA2S0.exe', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\CZMED4.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Local\Temp\Q98BI298YV.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Local\Temp\9ITAOLF6QQ.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Local\Temp\YAT6VI7XYY.exe', '32');
 DeleteFile('C:\Program Files\gamesdesktop\D0QBMA.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Local\Temp\EFJCLGP3KQ.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Local\Temp\9S63H9TDRA.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Local\Temp\IMQ2YE5RLP.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Local\Temp\ZND4BQ1WGP.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Local\Temp\LV0MTQJ0VI.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Local\Temp\WGVOPL5WIW.exe', '32');
 DeleteFile('C:\Program Files\sunnyday\BARWX9.exe', '32');
 DeleteFile('C:\Program Files\sunnyday\BB9Y31.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\Phergh\Chigesp.dll', '32');
 DeleteFile('C:\Program Files\IObit\IObit Uninstaller\UninstallMenuRight32.dll', '32');
 DeleteFile('C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\Adobe\Manager.exe', '32');
 DeleteFile('C:\Program Files\spacesoundpro\uninstaller.exe', '32');
 DeleteService('gupdatem');
 DeleteService('gupdate');
 DeleteService('CHNGTSvc');
 DeleteService('ProntSpooler');
 DeleteService('wpscloudsvr');
 DeleteFileMask('c:\program files\image converter', '*', true);
 DeleteFileMask('c:\program files\kingsoft', '*', true);
 DeleteFileMask('c:\program files\phejusp', '*', true);
 DeleteFileMask('c:\program files\sunnyday', '*', true);
 DeleteFileMask('c:\program files\gamesdesktop', '*', true);
 DeleteFileMask('c:\program files\spacesoundpro', '*', true);
 DeleteFileMask('c:\users\admin\appdata\roaming\phergh', '*', true);
 DeleteFileMask('c:\program files\iobit', '*', true);
 DeleteFileMask('c:\users\admin\appdata\roaming\digita~2', '*', true);
 DeleteFileMask('c:\users\admin\appdata\roaming\digita~1', '*', true);
 DeleteDirectory('c:\program files\image converter');
 DeleteDirectory('c:\program files\phejusp');
 DeleteDirectory('c:\program files\sunnyday');
 DeleteDirectory('c:\program files\gamesdesktop');
 DeleteDirectory('c:\program files\spacesoundpro');
 DeleteDirectory('c:\users\admin\appdata\roaming\phergh');
 DeleteDirectory('c:\program files\iobit');
 DeleteDirectory('c:\users\admin\appdata\roaming\digita~2');
 DeleteDirectory('c:\users\admin\appdata\roaming\digita~1');
 DelBHO('{10921475-03CE-4E04-90CE-E2E7EF20C814}');
 DelBHO('{4B4D5056-3600-A76A-76A7-7A786E7484D7}');
 DelBHO('{48586425-6bb7-4f51-8dc6-38c88e3ebb58}');
 DelBHO('{D5FEC983-01DB-414A-9456-AF95AC9ED7B5}');
 DelBHO('{c547c6c2-561b-4169-a2a5-20ba771ca93b}');
 DelBHO('{312f84fb-8970-4fd3-bddb-7012eac4afc9}');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\System Optimizer" /F', 0, 15000, true);
 DelCLSID('{B19ED566-D419-470b-B111-3C89040BC027}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'WINCOMMAK');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OTUTPRODUCT_6J5HN');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OTUTPRODUCT_JE9LH');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OTUTPRODUCT_V4DST');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OTUTPRODUCT_8XPER');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OTUTPRODUCT_6ZN5V');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OTUTPRODUCT_NSM8E');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OTUTPRODUCT_G8179');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OTUTPRODUCT_M0GP3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_ZSTB1');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_WTXCC');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_CNWFV');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'IDSCPRODUCT');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OTUTPRODUCT_PJXBT');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_JYEIK');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_LIBU8');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OTUTPRODUCT_SOPZ4');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_L2VTI');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_6ZS4G');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_3D8L5');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_WDQCF');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_G2QO3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_J39M7');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OTUTPRODUCT_523L8');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OTUTPRODUCT_PHRQ7');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks', '{718A8882-A5BF-11E6-B58A-64006A5CFC23}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Promury\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{B19ED566-D419-470b-B111-3C89040BC027}');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

[Sliver]

Вроде вирус вылечил при помощи скриптов Спасибо. Лог прикладываю.

[Vvvyg]

Kingsoft Office сами устанавливали?
...
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip..

Читайте внимательно и выполняйте все просьбы хелпера.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения вредоносные программы в карантинах не обнаружены