нахватал вирусов и кучу программ с автораном [UDS:DangerousObject.Multi.Generic, not-a-virus:WebToolbar.Win32.Linkury.aqy ]

**Марат Муртазин** · 03.02.2017, 14:21

Здравствуйте. помогите пожалуйста, Хром открывает кучу сайтов, накачалось китайских архиваторов и пседоантивирусов. помогите почистить

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.02.2017, 14:22

Уважаемый(ая) Марат Муртазин, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 04.02.2017, 11:02

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\service.exe');
 TerminateProcessByName('C:\Users\mur\AppData\Local\Temp\YN06K5BSNN.exe');
 SetServiceStart('Zaamla', 4);
 StopService('serverss');
 StopService('Zaamla');
 QuarantineFileF('c:\users\mur\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('c:\programdata\service.exe', '');
 QuarantineFile('C:\Users\mur\AppData\Local\Temp\YN06K5BSNN.exe', '');
 QuarantineFile('C:\Windows\Temp\DB84.tmp', '');
 QuarantineFile('C:\Users\mur\Local Settings\Temp\ccnmwaxfd.pif', '');
 QuarantineFile('C:\Users\mur\AppData\Local\Temp\00025773\msiql.exe', '');
 QuarantineFile('C:\Users\mur\AppData\Local\Temp\aa-3f309-387-bebbc-61b7260deb2c1\YSLWADVBLJ.exe', '');
 QuarantineFile('C:\Program Files (x86)\Bekserikut Log\local64spl.dll', '');
 QuarantineFile('C:\Users\mur\AppData\Local\Hostinstaller\1211814249_monster.exe', '');
 QuarantineFileF('C:\ProgramData\Zaamla\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('c:\program files\їмс№\x86\kuaizipupdatechecker.dll', '');
 QuarantineFileF('c:\users\mur\appdata\roaming\event monitor\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('c:\users\mur\appdata\roaming\event monitor\em.exe', '');
 QuarantineFileF('c:\programdata\networkpacketmanitor\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('c:\programdata\networkpacketmanitor\nettrans.exe', '');
 QuarantineFileF('C:\Users\mur\AppData\Local\Hostinstaller\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\Common Files\TreeDex\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\mur\appdata\roaming\vdi\shared\product updater\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\mur\appdata\roaming\vdi\shared\product updater\monhost.exe', '');
 QuarantineFile('C:\ProgramData\Zaamla\Damtrax.dll', '');
 QuarantineFile('C:\ProgramData\Zaamla\Joydax.dll', '');
 QuarantineFile('C:\ProgramData\Zaamla\Zaamla.exe', '');
 QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\mur\Desktop\firefox - ?????.lnk', '');
 QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
 QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk', '');
 QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\????????.lnk', '');
 QuarantineFile('C:\Users\mur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\????????.lnk', '');
 QuarantineFile('C:\Users\mur\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe\?????.??????.lnk', '');
 DeleteFile('c:\programdata\service.exe', '32');
 DeleteFile('C:\Users\mur\AppData\Local\Temp\YN06K5BSNN.exe', '32');
 DeleteFile('C:\Windows\Temp\DB84.tmp', '32');
 DeleteFile('C:\Users\mur\Local Settings\Temp\ccnmwaxfd.pif', '32');
 DeleteFile('C:\Users\mur\AppData\Local\Temp\00025773\msiql.exe', '32');
 DeleteFile('C:\Users\mur\AppData\Local\Temp\aa-3f309-387-bebbc-61b7260deb2c1\YSLWADVBLJ.exe', '32');
 DeleteFile('C:\Program Files (x86)\Bekserikut Log\local64spl.dll', '32');
 DeleteFile('C:\Users\mur\AppData\Local\Hostinstaller\1211814249_monster.exe', '32');
 DeleteFile('C:\ProgramData\Zaamla\Damtrax.dll');
 DeleteFile('c:\program files\їмс№\x86\kuaizipupdatechecker.dll');
 DeleteFile('c:\users\mur\appdata\roaming\event monitor\em.exe');
 DeleteFile('c:\programdata\networkpacketmanitor\nettrans.exe');
 DeleteFile('C:\Users\mur\appdata\roaming\vdi\shared\product updater\monhost.exe');
 DeleteFile('C:\ProgramData\Zaamla\Zaamla.exe', '32');
 DeleteFile('C:\ProgramData\Zaamla\Joydax.dll', '32');
 DeleteFile('C:\ProgramData\Zaamla\Damtrax.dll', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteService('GoogleChromeUpService');
 DeleteService('serverss');
 DeleteService('Zaamla');
 DeleteFileMask('c:\users\mur\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('c:\users\mur\appdata\local\hostinstaller');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService', 'EventMessageFile');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_2MSJP');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msiql', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YSLWADVBLJ.exe', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 AutoFixSPI;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.

**Марат Муртазин** · 04.02.2017, 14:12

высылаю карантин

**regist** · 04.02.2017, 17:42

1) ПОИСК И СТАРТОВАЯ – ЯНДЕКС - сами расширения ставили?

2) Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
BREG
delref %SystemDrive%\USERS\MUR\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
delref %SystemDrive%\USERS\MUR\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
delall %SystemDrive%\USERS\MUR\LOCAL SETTINGS\TEMP\CCNMWAXFD.PIF
deldir %SystemDrive%\PROGRAM FILES\ЇМС№\X86
dirzooex %SystemDrive%\PROGRAMDATA\HOTFRESH
deldir %SystemDrive%\PROGRAMDATA\HOTFRESH
zoo %Sys32%\DRIVERS\KUAIZIPDRIVE.SYS
bl FEE53173263B621656360F99E68DCDA5 92832
delall %Sys32%\DRIVERS\KUAIZIPDRIVE.SYS
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\EVENT MONITOR\EM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ARUGTION\VULIT.EXE
dirzooex %SystemDrive%\PROGRAM FILES (X86)\ARUGTION
zoo %SystemDrive%\PROGRAM FILES (X86)\ARUGTION\SERWLEPROLERIEDDBG.DLL
bl 1B5D97EB1C255265FC7F0F61ED4FCFA6 147968
delall %SystemDrive%\PROGRAM FILES (X86)\ARUGTION\SERWLEPROLERIEDDBG.DLL
zoo %SystemDrive%\USERS\DEFAULT\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTERNET EXPLORER.LNK
dirzooex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TREEDEX
deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TREEDEX
zoo %SystemDrive%\USERS\MUR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\ЇМС№.LNK
bl F6DA4FF0AB5EB0C57E35855FC32C3231 843
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\ЇМС№.LNK
delall HTTP://MAIL.RU/CNT/10445?GP=820031
delall HTTP://MAIL.RU/CNT/10445?GP=820473
delall HTTP://MAIL.RU/CNT/10445?GP=822313
delall HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1434480229&Z=6FAB7E68E40D0AA518447B9G4Z1C8Z7Z9BEC7B1CAG&FROM=CMI&UID=ST1000DM003-1CH162_S1DC4YSLXXXXS1DC4YSL
delall HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HPPP&TS=1434480305&Z=0829AC22C2317D666915F7DG9Z5C4ZDZ8B0C4TFE0M&FROM=CMI&UID=ST1000DM003-1CH162_S1DC4YSLXXXXS1DC4YSL
delall HTTPS://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBKHL918K0QPWZ-SC_9-RPC_BK8FHVKDMHMRPU4ZOXIF7SPP4MP8GY4Y8N40VVT0MCNYZ8YQIXHTE3ZANEBDNEOZMWQ_8YN4NQKZ4ZS6ECYPQS_BACCD6CQAPBQPRCYL91DJVAE1FP83ANY5M_Y6QFAVLDHCF9WAQ7MA8NVVWQBM5
delall %SystemDrive%\USERS\MUR\APPDATA\LOCAL\KEMGADEOJGLIBFLOMICGNFEOPKDFFLNK
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
deldir %SystemDrive%\PROGRAM FILES (X86)\YOUTUBE ADBLOCK\IEEF
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLMENURIGHT64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\FASESUNSTOCK\UNINSTALL.EXE
delall KUAIZIP SHELL EXTENSION\[CLSID]
delref %SystemDrive%\USERS\MUR\APPDATA\LOCAL\TEMP\YUPDATE-VERSIONINFO-YABROWSER.XML
deltmp
delall %SystemDrive%\PROGRAMDATA\RONZAPS\FF.HP
delall %SystemDrive%\PROGRAMDATA\RONZAPS\FF.NT
delall HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B3127CC26-5017-444A-AE6A-DA6F97915CE9%7D&GP=822363
czoo
restart

3)

Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
В меню Tools ->Options (Инструменты ->Настройки) отметьте:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

4) Сделайте свежий образ автозапуска.

**Марат Муртазин** · 07.02.2017, 13:21

высылаю отчет

**regist** · 07.02.2017, 13:52

Сообщение от regist

4) Сделайте свежий образ автозапуска.

где?

**Марат Муртазин** · 08.02.2017, 15:26

не прикрепляется файл. выдает ошибку. пишет что файл превысил предел на форуме

**regist** · 08.02.2017, 20:18

закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare, My-Files.RU) ссылку на скачивание оставьте.

**Марат Муртазин** · 08.02.2017, 23:48

http://www45.zippyshare.com/v/QL3QuQgT/file.html

**regist** · 09.02.2017, 13:02

1)

Сообщение от regist

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Этой ссылки до сих пор не вижу.

2) SafeFinder - деинсталируйте через установку и удаление программ.

3)

Сообщение от regist

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

где этот отчёт?

Жду пока это, потом продолжим.

**Марат Муртазин** · 09.02.2017, 20:05

http://virusinfo.info/virusdetector/...FAC32B4A0565EB

- - - - -Добавлено - - - - -

safe finder не удаляется к сожалению.

- - - - -Добавлено - - - - -

вот отчет clearLNK

**regist** · 09.02.2017, 21:42

ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU - сами расширение ставили?

Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
BREG
zoo %SystemDrive%\PROGRAM FILES (X86)\BAIDU\UC.EXE
bl 3CE553EEBDF9C8639090D9C2C0B44A32 151638
delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\UC.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BIND.EXE
bl 6A94B2C554AEE39BAF56A4219E9D0330 57344
delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BIND.EXE
delall HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1434480229&Z=6FAB7E68E40D0AA518447B9G4Z1C8Z7Z9BEC7B1CAG&FROM=CMI&UID=ST1000DM003-1CH162_S1DC4YSLXXXXS1DC4YSL
delall HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HPPP&TS=1434480305&Z=0829AC22C2317D666915F7DG9Z5C4ZDZ8B0C4TFE0M&FROM=CMI&UID=ST1000DM003-1CH162_S1DC4YSLXXXXS1DC4YSL
dirzooex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\DONGTANLAM
deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\DONGTANLAM
delall %SystemDrive%\PROGRAM FILES (X86)\YOUTUBE ADBLOCK\IEEF\RKJ3MU.DLL
delall %SystemDrive%\PROGRAMDATA\HOTFRESHS\FF.HP
delall %SystemDrive%\PROGRAMDATA\HOTFRESHS\FF.NT
deldir %SystemDrive%\PROGRAM FILES\ЇМС№\X64
zoo %SystemDrive%\USERS\DEFAULT\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTERNET EXPLORER.LNK
zoo %SystemDrive%\USERS\MUR\APPDATA\ROAMING\DOUBLEEX.BIN
bl 92EA79266E1494EBE5CDBB1B8554432B 278517
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\DOUBLEEX.BIN
zoo %SystemDrive%\USERS\MUR\APPDATA\ROAMING\MATSANLAM.BIN
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\MATSANLAM.BIN
zoo %SystemDrive%\USERS\MUR\APPDATA\ROAMING\TAMSING.EXE
bl AED139FB8004BAB63BE38856F35139C8 983040
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\TAMSING.EXE
zoo %SystemDrive%\USERS\MUR\APPDATA\ROAMING\TEMPFAN.BIN
bl DA59B9DDC6F3A498A9A709048A8C77CC 1938533
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\TEMPFAN.BIN
zoo %SystemDrive%\USERS\MUR\APPDATA\ROAMING\VOLTECH.BIN
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\VOLTECH.BIN
dirzooex %SystemDrive%\USERS\MUR\APPDATA\ROAMING\{195-FF-D0-26413-AD270-AE1A-74A29}
zoo %SystemDrive%\USERS\MUR\APPDATA\ROAMING\{195-FF-D0-26413-AD270-AE1A-74A29}\ISC-VOPGT-.EXE
bl CEEE48FD6EC81E1A674D2916C0FF0600 1268736
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\{195-FF-D0-26413-AD270-AE1A-74A29}\ISC-VOPGT-.EXE
zoo %SystemDrive%\USERS\MUR\APPDATA\ROAMING\{195-FF-D0-26413-AD270-AE1A-74A29}\P5YIS5SV25.EXE
bl A36600CAEC5A70DC7C1FC399D72A76BF 1022976
delall %SystemDrive%\USERS\MUR\APPDATA\ROAMING\{195-FF-D0-26413-AD270-AE1A-74A29}\P5YIS5SV25.EXE
delall HTTPS://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBRHOJYN9_5EDL7QPPMXLVOCDRHYVQM9U56X5FADZA1DALXUAQ9AUNUH8QVN7K0ZI2MBNZY3NX1G0WESHWQHENEQV2PVIBXPD0JG1KAHJEIXGLPFQYUULXLNGOXJO8KLAHXF19HAP7XVC1J18S_3-NYOGK8EM3TVVT8EFYJCI8FR3
delall HTTP://D2BUH1BF1G584W.CLOUDFRONT.NET/MSI/REL.PHP?U=ST1000DM003-1CH162_S1DC4YSLXXXXS1DC4YSL&AMP;V=201723
czoo
restart

сделайте свежий образ автозапуска.

**Марат Муртазин** · 10.02.2017, 01:25

http://www61.zippyshare.com/v/D7Zj6nve/file.html

- - - - -Добавлено - - - - -

визуальные закладки не ставил

**regist** · 10.02.2017, 10:57

1) Жду карантин от предыдущего скрипта.

2) Выполните скрипт в uVS

Код:

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
BREG
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\LIVEUPDATE\LIVEUPDATE.EXE
delall %SystemDrive%\USERS\MUR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI\7.0.40_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delall HTTP://MAIL.RU/CNT/10445?GP=820031
delall HTTP://MAIL.RU/CNT/10445?GP=820473
delall HTTP://MAIL.RU/CNT/10445?GP=822313
delall HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HPPP&TS=1434480305&Z=0829AC22C2317D666915F7DG9Z5C4ZDZ8B0C4TFE0M&FROM=CMI&UID=ST1000DM003-1CH162_S1DC4YSLXXXXS1DC4YSL
delall HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1434480229&Z=6FAB7E68E40D0AA518447B9G4Z1C8Z7Z9BEC7B1CAG&FROM=CMI&UID=ST1000DM003-1CH162_S1DC4YSLXXXXS1DC4YSL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
restart

3) - сделайте лог Check Browsers' LNK by Dragokas & regist.

**CyberHelper** · 10.02.2017, 11:07

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 31
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\common files\treedex\uninstall.exe - Trojan-Dropper.Win32.Agent.sblf
2. c:\programdata\zaamla\donflex.exe - Trojan-Downloader.MSIL.Agent.alqa
3. c:\programdata\zaamla\strongtam.exe - Trojan.Win32.Vilsel.cufb
4. c:\users\mur\appdata\roaming\event monitor\isxdl.dll - not-a-virus:RiskTool.Win32.SpeedUpMyPC.yyh
5. c:\users\mur\appdata\roaming\vdi\shared\product updater\produpd.exe - HEUR:Trojan.Win32.Generic
6. \doubleex.bin._368539a0aacf3c9c061c87df7d3dde5fdb3 1f887 - not-a-virus:WebToolbar.Win32.Linkury.aqy
7. \isc-vopgt-.exe._370a55f1d39434d516805733484023002be28e62 - UDS:DangerousObject.Multi.Generic
8. \matsanlam.bin._368539a0aacf3c9c061c87df7d3dde5fdb 31f887 - not-a-virus:WebToolbar.Win32.Linkury.aqy
9. \p5yis5sv25.exe._2c938deaf22abbb266232ae99e163e78c 68c25fc - UDS:DangerousObject.Multi.Generic
10. \tamsing.exe._26842dd513ebd837f72eaad1f4ee20602fea 92d5 - Trojan-Dropper.Win32.Agent.sblf
11. \tempfan.bin._7e81a0e9b480a8f5323bb3cb13b56ce5631d 4aa0 - not-a-virus:WebToolbar.MSIL.Agent.bkqa
12. \uninstall.exe._26842dd513ebd837f72eaad1f4ee20602f ea92d5 - Trojan-Dropper.Win32.Agent.sblf
13. \voltech.bin._368539a0aacf3c9c061c87df7d3dde5fdb31 f887 - not-a-virus:WebToolbar.Win32.Linkury.aqy

нахватал вирусов и кучу программ с автораном [UDS:DangerousObject.Multi.Generic, not-a-virus:WebToolbar.Win32.Linkury.aqy ] (заявка № 208951)

Опции темы