System Hiller [not-a-virus:AdWare.Win32.Adposhel.lcps, not-a-virus:HEUR:AdWare.Win32.Generic ]

**лискаW** · 29.05.2018, 21:00

Здравствуйте!
Помогите пожалуйста в этой беде. После того как ребенок втихаря установил на компьютере непонятную (для меня) игру при загрузке комп. открывается сразу программа System Hiller. В браузере происходит автоматическая загрузка разных (не нужных мне приложений: казино Вулкан, какие то блогеры, предложения перейти на сайты с порно). С огромным трудом удалось сформировать необходимые файлы (три часа перегружала компьютер, запускала программу, она через некоторое время предлагала перегрузить комп. (и так раз 7)).
Одним словом помогите.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 29.05.2018, 21:02

Уважаемый(ая) лискаW, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 29.05.2018, 22:28

Не давайте детям права администратора на компьютере. Загажен так, что за один проход наверняка не вычистим всё.

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\2505oubniu\t1itw09s5.exe');
 TerminateProcessByName('c:\program files\8d7wrr5ylx\8d7wrr5yl.exe');
 TerminateProcessByName('c:\program files\ljfujmgehie\pwrbznqhdc.exe');
 TerminateProcessByName('c:\program files\mu6m6paxb9\zjc1eogya.exe');
 TerminateProcessByName('c:\program files\multitimer\multitimer.exe');
 TerminateProcessByName('c:\program files\r3456emgg2\p2afeng4y.exe');
 TerminateProcessByName('c:\program files\systemhealer\healerconsole.exe');
 TerminateProcessByName('c:\programdata\dahkservice\dahkservice.exe');
 TerminateProcessByName('c:\programdata\logic cramble\set.exe');
 TerminateProcessByName('c:\programdata\player\sysboard.exe');
 TerminateProcessByName('c:\programdata\prefssecure\nettrans.exe');
 TerminateProcessByName('c:\programdata\taskbarwindows\winstar.exe');
 TerminateProcessByName('c:\programdata\voyasollam\voyasollam.exe');
 TerminateProcessByName('c:\users\usergh\appdata\local\appset\appsetupdater\appsetmanager.exe');
 TerminateProcessByName('c:\users\usergh\appdata\local\gamecenter\gamecenter.exe');
 TerminateProcessByName('c:\users\usergh\appdata\local\lumsystem\lumsystem.exe');
 TerminateProcessByName('c:\users\usergh\appdata\local\temp\csrss\proxy\tor\tor.exe');
 TerminateProcessByName('c:\users\usergh\appdata\local\temp\is-bas2d.tmp\koivrshpxse.tmp');
 TerminateProcessByName('c:\users\usergh\appdata\local\temp\is-e37ta.tmp\naayvb23dwe.tmp');
 TerminateProcessByName('c:\users\usergh\appdata\local\temp\is-e6qki.tmp\ybythhkgnqz.tmp');
 TerminateProcessByName('c:\users\usergh\appdata\local\temp\is-v0gh8.tmp\ixvlgneyyns.tmp');
 TerminateProcessByName('c:\users\usergh\appdata\roaming\4asj3ma4ux1\naayvb23dwe.exe');
 TerminateProcessByName('c:\users\usergh\appdata\roaming\coretempapp\coretempapp.exe');
 TerminateProcessByName('c:\users\usergh\appdata\roaming\crmsvc\crmsvc.exe');
 TerminateProcessByName('c:\users\usergh\appdata\roaming\di2hu3fvpwl\koivrshpxse.exe');
 TerminateProcessByName('c:\users\usergh\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe');
 TerminateProcessByName('c:\users\usergh\appdata\roaming\notepad3k\notepad3k.exe');
 TerminateProcessByName('c:\users\usergh\appdata\roaming\yrchaje3gez\ybythhkgnqz.exe');
 TerminateProcessByName('c:\users\usergh\appdata\roaming\zz1ev00f130\ixvlgneyyns.exe');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 TerminateProcessByName('c:\windows\windefender.exe');
 TerminateProcessByName('c:\windows\winmain64.exe');
 TerminateProcessByName('e:\windowsdata\cpservice.exe');
 TerminateProcessByName('e:\windowsdata\hostdl.exe');
 TerminateProcessByName('k:\Новая папка\txgameassistant\appmarket\appmarket.exe');
 TerminateProcessByName('k:\Новая папка\txgameassistant\appmarket\qmemulatorservice.exe');
 TerminateProcessByName('k:\Новая папка\txgameassistant\appmarket\qqexternal.exe');
 StopService('aow_drv');
 StopService('backlh');
 StopService('CRMSvc');
 StopService('dahkService');
 StopService('Nettrans');
 StopService('prifass');
 StopService('QMEmulatorService');
 StopService('TCPSvc');
 StopService('Voyasollam');
 StopService('WinDefender');
 StopService('Winmon');
 StopService('WinmonFS');
 StopService('WinmonProcessMonitor');
 QuarantineFile('C:\PROGRA~1\FASTDA~1\FASTDA~1.EXE', '');
 QuarantineFile('c:\program files\2505oubniu\t1itw09s5.exe', '');
 QuarantineFile('c:\program files\8d7wrr5ylx\8d7wrr5yl.exe', '');
 QuarantineFile('C:\Program Files\EgDGbQEiU\aTCQct.dll', '');
 QuarantineFile('C:\Program Files\EPVqpVJyVSWU2\oaBUaxNJDNLOF.dll', '');
 QuarantineFile('C:\Program Files\fastda~1\fastda~1.exe', '');
 QuarantineFile('C:\Program Files\ijcQGTqqPStU2\CapTsCRQzcZtm.dll', '');
 QuarantineFile('C:\Program Files\KCGHGVOnU\aUxJNO.dll', '');
 QuarantineFile('C:\Program Files\lJFUJMGEHIE\kGzWr4oY.dll', '');
 QuarantineFile('c:\program files\ljfujmgehie\pwrbznqhdc.exe', '');
 QuarantineFile('C:\Program Files\lJFUJMGEHIE\r7zQg.dll', '');
 QuarantineFile('c:\program files\mu6m6paxb9\zjc1eogya.exe', '');
 QuarantineFile('c:\program files\multitimer\multitimer.exe', '');
 QuarantineFile('C:\Program Files\my web shield\mweshield.exe', '');
 QuarantineFile('C:\Program Files\my web shield\mweshieldup.exe', '');
 QuarantineFile('C:\Program Files\OxoywZINBbQwrioRGrR\eFppYXG.dll', '');
 QuarantineFile('c:\program files\r3456emgg2\p2afeng4y.exe', '');
 QuarantineFile('C:\Program Files\SvnSzzIscGyUC\XMJRSOU.dll', '');
 QuarantineFile('c:\program files\systemhealer\healerconsole.exe', '');
 QuarantineFile('C:\Program Files\SystemHealer\SystemHealer.exe', '');
 QuarantineFile('C:\Program Files\TakeBest\1522479.exe', '');
 QuarantineFile('C:\Program Files\VfXyqasRzlGpJFtgwyR\qhVeeRf.dll', '');
 QuarantineFile('C:\Program Files\wCCFxMJCsZmzC\XvNnuGO.dll', '');
 QuarantineFile('c:\programdata\dahkservice\dahkservice.exe', '');
 QuarantineFile('c:\programdata\logic cramble\set.exe', '');
 QuarantineFile('c:\programdata\player\sysboard.exe', '');
 QuarantineFile('c:\programdata\prefssecure\nettrans.exe', '');
 QuarantineFile('c:\programdata\taskbarwindows\winstar.exe', '');
 QuarantineFile('C:\ProgramData\Voyasollam\Vaialight.dll', '');
 QuarantineFile('c:\programdata\voyasollam\voyasollam.exe', '');
 QuarantineFile('C:\ProgramData\XjOPTLXDzAynQaVB\wjOTpuW.wsf', '');
 QuarantineFile('c:\users\usergh\appdata\local\appset\appsetupdater\appsetmanager.exe', '');
 QuarantineFile('c:\users\usergh\appdata\local\gamecenter\gamecenter.exe', '');
 QuarantineFile('C:\Users\usergh\AppData\Local\lumsystem\lum_sdk.dll', '');
 QuarantineFile('c:\users\usergh\appdata\local\lumsystem\lumsystem.exe', '');
 QuarantineFile('c:\users\usergh\appdata\local\temp\csrss\proxy\tor\tor.exe', '');
 QuarantineFile('C:\Users\usergh\AppData\Local\Temp\csrss\scheduled.exe', '');
 QuarantineFile('c:\users\usergh\appdata\local\temp\is-bas2d.tmp\koivrshpxse.tmp', '');
 QuarantineFile('c:\users\usergh\appdata\local\temp\is-e37ta.tmp\naayvb23dwe.tmp', '');
 QuarantineFile('c:\users\usergh\appdata\local\temp\is-e6qki.tmp\ybythhkgnqz.tmp', '');
 QuarantineFile('C:\Users\usergh\AppData\Local\Temp\is-E7ST9.tmp\idp.dll', '');
 QuarantineFile('C:\Users\usergh\AppData\Local\Temp\is-IADLR.tmp\idp.dll', '');
 QuarantineFile('C:\Users\usergh\AppData\Local\Temp\is-RV5EQ.tmp\_isetup\_isdecmp.dll', '');
 QuarantineFile('C:\Users\usergh\AppData\Local\Temp\is-RV5EQ.tmp\idp.dll', '');
 QuarantineFile('C:\Users\usergh\AppData\Local\Temp\is-S4A10.tmp\idp.dll', '');
 QuarantineFile('c:\users\usergh\appdata\local\temp\is-v0gh8.tmp\ixvlgneyyns.tmp', '');
 QuarantineFile('c:\users\usergh\appdata\roaming\4asj3ma4ux1\naayvb23dwe.exe', '');
 QuarantineFile('c:\users\usergh\appdata\roaming\coretempapp\coretempapp.exe', '');
 QuarantineFile('c:\users\usergh\appdata\roaming\crmsvc\crmsvc.exe', '');
 QuarantineFile('c:\users\usergh\appdata\roaming\di2hu3fvpwl\koivrshpxse.exe', '');
 QuarantineFile('c:\users\usergh\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', '');
 QuarantineFile('C:\Users\usergh\AppData\Roaming\GoogleUpdater.exe', '');
 QuarantineFile('c:\users\usergh\appdata\roaming\notepad3k\notepad3k.exe', '');
 QuarantineFile('C:\Users\usergh\AppData\Roaming\notepad3k\noteupd.exe', '');
 QuarantineFile('C:\Users\usergh\AppData\Roaming\taskchlds.exe', '');
 QuarantineFile('c:\users\usergh\appdata\roaming\yrchaje3gez\ybythhkgnqz.exe', '');
 QuarantineFile('c:\users\usergh\appdata\roaming\zz1ev00f130\ixvlgneyyns.exe', '');
 QuarantineFile('c:\windows\rss\csrss.exe', '');
 QuarantineFile('C:\Windows\System32\drivers\mracdrv.sys', '');
 QuarantineFile('C:\Windows\System32\drivers\prifass.sys', '');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys', '');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys', '');
 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '');
 QuarantineFile('C:\Windows\System32\mracsvc.exe', '');
 QuarantineFile('c:\windows\windefender.exe', '');
 QuarantineFile('c:\windows\winmain64.exe', '');
 QuarantineFile('e:\windowsdata\cpservice.exe', '');
 QuarantineFile('e:\windowsdata\hostdl.exe', '');
 QuarantineFile('k:\Новая папка\txgameassistant\appmarket\appmarket.exe', '');
 QuarantineFile('K:\Новая папка\TxGameAssistant\AppMarket\CefSubProcess.dll', '');
 QuarantineFile('K:\Новая папка\TxGameAssistant\AppMarket\ffmpegsumo.dll', '');
 QuarantineFile('K:\Новая папка\TxGameAssistant\AppMarket\ProcessSession.DLL', '');
 QuarantineFile('k:\Новая папка\txgameassistant\appmarket\qmemulatorservice.exe', '');
 QuarantineFile('k:\Новая папка\txgameassistant\appmarket\qqexternal.exe', '');
 QuarantineFileF('c:\windows\rss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
 DeleteFile('C:\PROGRA~1\FASTDA~1\FASTDA~1.EXE', '');
 DeleteFile('c:\program files\2505oubniu\t1itw09s5.exe', '');
 DeleteFile('C:\Program Files\2505OUBNIU\T1ITW09S5.exe', '32');
 DeleteFile('c:\program files\8d7wrr5ylx\8d7wrr5yl.exe', '');
 DeleteFile('C:\Program Files\8D7WRR5YLX\8D7WRR5YL.exe', '32');
 DeleteFile('C:\Program Files\EgDGbQEiU\aTCQct.dll', '');
 DeleteFile('C:\Program Files\EPVqpVJyVSWU2\oaBUaxNJDNLOF.dll', '');
 DeleteFile('C:\Program Files\fastda~1\fastda~1.exe', '');
 DeleteFile('C:\Program Files\ijcQGTqqPStU2\CapTsCRQzcZtm.dll', '');
 DeleteFile('C:\Program Files\KCGHGVOnU\aUxJNO.dll', '');
 DeleteFile('C:\Program Files\lJFUJMGEHIE\kGzWr4oY.dll', '');
 DeleteFile('c:\program files\ljfujmgehie\pwrbznqhdc.exe', '');
 DeleteFile('C:\Program Files\lJFUJMGEHIE\r7zQg.dll', '');
 DeleteFile('c:\program files\mu6m6paxb9\zjc1eogya.exe', '');
 DeleteFile('C:\Program Files\MU6M6PAXB9\ZJC1EOGYA.exe', '32');
 DeleteFile('c:\program files\multitimer\multitimer.exe', '');
 DeleteFile('C:\Program Files\Multitimer\Multitimer.exe', '32');
 DeleteFile('C:\Program Files\my web shield\mweshield.exe', '');
 DeleteFile('C:\Program Files\my web shield\mweshieldup.exe', '');
 DeleteFile('C:\Program Files\OxoywZINBbQwrioRGrR\eFppYXG.dll', '');
 DeleteFile('c:\program files\r3456emgg2\p2afeng4y.exe', '');
 DeleteFile('C:\Program Files\R3456EMGG2\P2AFENG4Y.exe', '32');
 DeleteFile('C:\Program Files\SvnSzzIscGyUC\XMJRSOU.dll', '');
 DeleteFile('c:\program files\systemhealer\healerconsole.exe', '');
 DeleteFile('C:\Program Files\SystemHealer\SystemHealer.exe', '');
 DeleteFile('C:\Program Files\TakeBest\1522479.exe', '32');
 DeleteFile('C:\Program Files\VfXyqasRzlGpJFtgwyR\qhVeeRf.dll', '');
 DeleteFile('C:\Program Files\wCCFxMJCsZmzC\XvNnuGO.dll', '');
 DeleteFile('c:\programdata\dahkservice\dahkservice.exe', '');
 DeleteFile('c:\programdata\logic cramble\set.exe', '');
 DeleteFile('C:\ProgramData\Player\chrome_elf.dll', '');
 DeleteFile('C:\ProgramData\Player\libcef.dll', '');
 DeleteFile('c:\programdata\player\sysboard.exe', '');
 DeleteFile('c:\programdata\prefssecure\nettrans.exe', '');
 DeleteFile('c:\programdata\taskbarwindows\winstar.exe', '');
 DeleteFile('C:\ProgramData\Voyasollam\Vaialight.dll', '32');
 DeleteFile('c:\programdata\voyasollam\voyasollam.exe', '');
 DeleteFile('C:\ProgramData\XjOPTLXDzAynQaVB\wjOTpuW.wsf', '');
 DeleteFile('C:\Users\usergh\AppData\Local\Amigo\Application\61.0.3163.125\libegl.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\Amigo\Application\61.0.3163.125\libglesv2.dll', '');
 DeleteFile('c:\users\usergh\appdata\local\appset\appsetupdater\appsetmanager.exe', '');
 DeleteFile('C:\Users\usergh\AppData\Local\Appset\AppsetUpdater\AppSetManager.exe', '32');
 DeleteFile('C:\Users\usergh\AppData\Local\GameCenter\BigUp2.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\GameCenter\Chrome\3.3325.1756\chrome_elf.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\GameCenter\Chrome\3.3325.1756\FFMPEG\avcodec-57.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\GameCenter\Chrome\3.3325.1756\FFMPEG\avdevice-57.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\GameCenter\Chrome\3.3325.1756\FFMPEG\avfilter-6.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\GameCenter\Chrome\3.3325.1756\FFMPEG\avformat-57.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\GameCenter\Chrome\3.3325.1756\FFMPEG\avutil-55.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\GameCenter\Chrome\3.3325.1756\FFMPEG\postproc-54.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\GameCenter\Chrome\3.3325.1756\FFMPEG\swresample-2.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\GameCenter\Chrome\3.3325.1756\FFMPEG\swscale-4.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\GameCenter\Chrome\3.3325.1756\libcef.dll', '');
 DeleteFile('c:\users\usergh\appdata\local\gamecenter\gamecenter.exe', '');
 DeleteFile('C:\Users\usergh\AppData\Local\GameCenter\GameCenter.exe', '32');
 DeleteFile('C:\Users\usergh\AppData\Local\GameCenter\LightUpdate.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\GameCenter\pxd.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\GameCenter\SkiAcc.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\lumsystem\lum_sdk.dll', '');
 DeleteFile('c:\users\usergh\appdata\local\lumsystem\lumsystem.exe', '');
 DeleteFile('C:\Users\usergh\AppData\Local\lumsystem\lumsystem.exe', '32');
 DeleteFile('c:\users\usergh\appdata\local\temp\csrss\proxy\tor\tor.exe', '');
 DeleteFile('C:\Users\usergh\AppData\Local\Temp\csrss\scheduled.exe', '');
 DeleteFile('c:\users\usergh\appdata\local\temp\is-bas2d.tmp\koivrshpxse.tmp', '');
 DeleteFile('c:\users\usergh\appdata\local\temp\is-e37ta.tmp\naayvb23dwe.tmp', '');
 DeleteFile('c:\users\usergh\appdata\local\temp\is-e6qki.tmp\ybythhkgnqz.tmp', '');
 DeleteFile('C:\Users\usergh\AppData\Local\Temp\is-E7ST9.tmp\idp.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\Temp\is-IADLR.tmp\idp.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\Temp\is-RV5EQ.tmp\_isetup\_isdecmp.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\Temp\is-RV5EQ.tmp\idp.dll', '');
 DeleteFile('C:\Users\usergh\AppData\Local\Temp\is-S4A10.tmp\idp.dll', '');
 DeleteFile('c:\users\usergh\appdata\local\temp\is-v0gh8.tmp\ixvlgneyyns.tmp', '');
 DeleteFile('C:\Users\usergh\AppData\Local\Yandex\BrowserManager\data\OfferModule\ChapmanSatellite.dll', '');
 DeleteFile('c:\users\usergh\appdata\roaming\4asj3ma4ux1\naayvb23dwe.exe', '');
 DeleteFile('C:\Users\usergh\AppData\Roaming\4asj3ma4ux1\naayvb23dwe.exe', '32');
 DeleteFile('c:\users\usergh\appdata\roaming\coretempapp\coretempapp.exe', '');
 DeleteFile('C:\Users\usergh\AppData\Roaming\CoreTempApp\CoreTempApp.exe', '32');
 DeleteFile('c:\users\usergh\appdata\roaming\crmsvc\crmsvc.exe', '');
 DeleteFile('c:\users\usergh\appdata\roaming\di2hu3fvpwl\koivrshpxse.exe', '');
 DeleteFile('C:\Users\usergh\AppData\Roaming\di2hu3fvpwl\koivrshpxse.exe', '32');
 DeleteFile('c:\users\usergh\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', '');
 DeleteFile('C:\Users\usergh\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '32');
 DeleteFile('C:\Users\usergh\AppData\Roaming\GoogleUpdater.exe', '');
 DeleteFile('c:\users\usergh\appdata\roaming\notepad3k\notepad3k.exe', '');
 DeleteFile('C:\Users\usergh\AppData\Roaming\notepad3k\noteupd.exe', '32');
 DeleteFile('C:\Users\usergh\AppData\Roaming\taskchlds.exe', '');
 DeleteFile('c:\users\usergh\appdata\roaming\yrchaje3gez\ybythhkgnqz.exe', '');
 DeleteFile('C:\Users\usergh\AppData\Roaming\yrchaje3gez\ybythhkgnqz.exe', '32');
 DeleteFile('c:\users\usergh\appdata\roaming\zz1ev00f130\ixvlgneyyns.exe', '');
 DeleteFile('C:\Users\usergh\AppData\Roaming\zz1ev00f130\ixvlgneyyns.exe', '32');
 DeleteFile('c:\windows\rss\csrss.exe', '');
 DeleteFile('C:\Windows\rss\csrss.exe', '32');
 DeleteFile('C:\Windows\System32\drivers\mracdrv.sys', '');
 DeleteFile('C:\Windows\System32\drivers\prifass.sys', '');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys', '');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys', '');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '');
 DeleteFile('C:\Windows\System32\mracsvc.exe', '');
 DeleteFile('c:\windows\windefender.exe', '');
 DeleteFile('c:\windows\winmain64.exe', '');
 DeleteFile('e:\windowsdata\cpservice.exe', '');
 DeleteFile('e:\windowsdata\hostdl.exe', '');
 DeleteFile('k:\Новая папка\txgameassistant\appmarket\appmarket.exe', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\AppMarket.exe', '32');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\arkFS.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\arkGraphic.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\arkImage.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\arkIOStub.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\arkIPC.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\AsyncTask.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\CefSubProcess.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\Common.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\dr.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\ffmpegsumo.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\GF.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\LIBEAY32.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\libexpat.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\libimagequant.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\libjpegturbo.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\libpng.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\ProcessSession.DLL', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\qbcore.dll', '');
 DeleteFile('k:\Новая папка\txgameassistant\appmarket\qmemulatorservice.exe', '');
 DeleteFile('k:\Новая папка\txgameassistant\appmarket\qqexternal.exe', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\sqlite.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\SSOCommon.DLL', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\SSOLUIControl.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\SSOPlatform.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\tinyxml.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\VCOMP140.DLL', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\WebCtrl.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\xGraphic32.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\xImage.dll', '');
 DeleteFile('K:\Новая папка\TxGameAssistant\AppMarket\zlib.dll', '');
 DeleteFile('System HealerPeriod.job', '32');
 DeleteFile('System HealerStartUp.job', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "csrss" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "FastDataX Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateServices" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "jbDyCmJOWCzWzi" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KnPQHVchzdGfrlHaz2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "LumProcess" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\QuickB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\QuickLaunch" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\BrUpdateCheckRun" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\NetTrace\TaskBrowser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\NetTrace\TaskBrowser2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Services\ServicesTask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Services\WindowsUpdate32" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Shell\BrUpdateCheckRun" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SideShow\APIPlayBrowser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Starter" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SyncCenter\Browser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SyncCenter\Browser2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SyncCenter\OwnMic" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\UPnP\TaskBarBrowser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\UPnP\UPnPTask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Windows Activation Technologies\Windows Activation TechnologiesTask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Windows Media Sharing\Windows Media SharingTask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "OnTasksEvent" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "rArHIXNWKfbeRtR2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "RuvZlWnxKNkmGuM2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ScheduledUpdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "System Healer Delayed" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "System Healer Monitor" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "System HealerPeriod" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "System HealerStartUp" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "TdqeVjasHzsikvrWtEm2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "TUZwhpCbnzWcBoUhWSI2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "UpdateService" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wAJDAAZgOBCdyQgsK2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WobUIKhuMtTTi2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "XLqsfoKFUKuTqG" /F', 0, 15000, true);
 DeleteService('backlh');
 DeleteService('CRMSvc');
 DeleteService('dahkService');
 DeleteService('mracdrv');
 DeleteService('mracsvc');
 DeleteService('Nettrans');
 DeleteService('prifass');
 DeleteService('QMEmulatorService');
 DeleteService('TCPSvc');
 DeleteService('Voyasollam');
 DeleteService('WinDefender');
 DeleteService('Winmon');
 DeleteService('WinmonFS');
 DeleteService('WinmonProcessMonitor');
 DeleteFileMask('c:\progra~1\fastda~1', '*', true);
 DeleteFileMask('c:\program files\8d7wrr5ylx', '*', true);
 DeleteFileMask('c:\program files\egdgbqeiu', '*', true);
 DeleteFileMask('c:\program files\epvqpvjyvswu2', '*', true);
 DeleteFileMask('c:\program files\fastda~1', '*', true);
 DeleteFileMask('c:\program files\ijcqgtqqpstu2', '*', true);
 DeleteFileMask('c:\program files\kcghgvonu', '*', true);
 DeleteFileMask('c:\program files\ljfujmgehie', '*', true);
 DeleteFileMask('c:\program files\mu6m6paxb9', '*', true);
 DeleteFileMask('c:\program files\multitimer', '*', true);
 DeleteFileMask('c:\program files\my web shield', '*', true);
 DeleteFileMask('c:\program files\oxoywzinbbqwriorgrr', '*', true);
 DeleteFileMask('c:\program files\r3456emgg2', '*', true);
 DeleteFileMask('c:\program files\svnszziscgyuc', '*', true);
 DeleteFileMask('c:\program files\systemhealer', '*', true);
 DeleteFileMask('c:\program files\vfxyqasrzlgpjftgwyr', '*', true);
 DeleteFileMask('c:\program files\wccfxmjcszmzc', '*', true);
 DeleteFileMask('c:\programdata\dahkservice', '*', true);
 DeleteFileMask('c:\programdata\logic cramble', '*', true);
 DeleteFileMask('c:\programdata\player', '*', true);
 DeleteFileMask('c:\programdata\prefssecure', '*', true);
 DeleteFileMask('c:\programdata\taskbarwindows', '*', true);
 DeleteFileMask('c:\programdata\voyasollam', '*', true);
 DeleteFileMask('c:\users\usergh\appdata\local\amigo', '*', true);
 DeleteFileMask('c:\users\usergh\appdata\local\appset', '*', true);
 DeleteFileMask('c:\users\usergh\appdata\local\gamecenter', '*', true);
 DeleteFileMask('c:\users\usergh\appdata\local\lumsystem', '*', true);
 DeleteFileMask('c:\users\usergh\appdata\local\temp\csrss', '*', true);
 DeleteFileMask('c:\users\usergh\appdata\local\yandex\browsermanager\data', '*', true);
 DeleteFileMask('c:\users\usergh\appdata\roaming\4asj3ma4ux1', '*', true);
 DeleteFileMask('c:\users\usergh\appdata\roaming\coretempapp', '*', true);
 DeleteFileMask('c:\users\usergh\appdata\roaming\crmsvc', '*', true);
 DeleteFileMask('c:\users\usergh\appdata\roaming\di2hu3fvpwl', '*', true);
 DeleteFileMask('c:\users\usergh\appdata\roaming\epicnet inc', '*', true);
 DeleteFileMask('c:\users\usergh\appdata\roaming\notepad3k', '*', true);
 DeleteFileMask('c:\users\usergh\appdata\roaming\yrchaje3gez', '*', true);
 DeleteFileMask('c:\users\usergh\appdata\roaming\zz1ev00f130', '*', true);
 DeleteFileMask('c:\windows\rss', '*', true);
 DeleteFileMask('e:\windowsdata', '*', true);
 DeleteFileMask('k:\новая папка\txgameassistant', '*', true);
 DeleteDirectory('c:\progra~1\fastda~1');
 DeleteDirectory('c:\program files\8d7wrr5ylx');
 DeleteDirectory('c:\program files\egdgbqeiu');
 DeleteDirectory('c:\program files\epvqpvjyvswu2');
 DeleteDirectory('c:\program files\fastda~1');
 DeleteDirectory('c:\program files\ijcqgtqqpstu2');
 DeleteDirectory('c:\program files\kcghgvonu');
 DeleteDirectory('c:\program files\ljfujmgehie');
 DeleteDirectory('c:\program files\mu6m6paxb9');
 DeleteDirectory('c:\program files\multitimer');
 DeleteDirectory('c:\program files\my web shield');
 DeleteDirectory('c:\program files\oxoywzinbbqwriorgrr');
 DeleteDirectory('c:\program files\r3456emgg2');
 DeleteDirectory('c:\program files\svnszziscgyuc');
 DeleteDirectory('c:\program files\systemhealer');
 DeleteDirectory('c:\program files\vfxyqasrzlgpjftgwyr');
 DeleteDirectory('c:\program files\wccfxmjcszmzc');
 DeleteDirectory('c:\programdata\dahkservice');
 DeleteDirectory('c:\programdata\logic cramble');
 DeleteDirectory('c:\programdata\player');
 DeleteDirectory('c:\programdata\prefssecure');
 DeleteDirectory('c:\programdata\taskbarwindows');
 DeleteDirectory('c:\programdata\voyasollam');
 DeleteDirectory('c:\users\usergh\appdata\local\amigo');
 DeleteDirectory('c:\users\usergh\appdata\local\appset');
 DeleteDirectory('c:\users\usergh\appdata\local\gamecenter');
 DeleteDirectory('c:\users\usergh\appdata\local\lumsystem');
 DeleteDirectory('c:\users\usergh\appdata\local\temp\csrss');
 DeleteDirectory('c:\users\usergh\appdata\local\yandex\browsermanager\data');
 DeleteDirectory('c:\users\usergh\appdata\roaming\4asj3ma4ux1');
 DeleteDirectory('c:\users\usergh\appdata\roaming\coretempapp');
 DeleteDirectory('c:\users\usergh\appdata\roaming\crmsvc');
 DeleteDirectory('c:\users\usergh\appdata\roaming\di2hu3fvpwl');
 DeleteDirectory('c:\users\usergh\appdata\roaming\epicnet inc');
 DeleteDirectory('c:\users\usergh\appdata\roaming\notepad3k');
 DeleteDirectory('c:\users\usergh\appdata\roaming\yrchaje3gez');
 DeleteDirectory('c:\users\usergh\appdata\roaming\zz1ev00f130');
 DeleteDirectory('c:\windows\rss');
 DeleteDirectory('e:\windowsdata');
 DeleteDirectory('k:\новая папка\txgameassistant');
 DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1242008');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1754425');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '2100634');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '29E8P7AJ0HU7X4J');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '7478027');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '8OQLNB2DYYZM0QP');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Appset Update');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CoreTempApp');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GameCenter');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GreenDawn');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'LumProcess');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'notepad3k');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OOTXPOXLM1RAC78');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YXWV247GMEACJHJ');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Multitimer');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'be4wez0oe2m');
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteSvc('aow_drv');
 BC_DeleteSvc('QMEmulatorService');
 ExecuteRepair(4);
 ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**лискаW** · 30.05.2018, 10:45

Здравствуйте. Спасибо за ответ.
Файл quarantine.zip отправила по указанной ссылке. С помощью утилиты UVS сделала полный образ автозапуска uVS, но когда начинаю загружать этот файл (ПАПА_2018-05-30 и т.д.) сюда прикрепляя к тексту сообщения появляется табличка с текстом "Подтвердите действие на странице virusifo.info The following errors occurred ПАПА_2018.... .7я 52.1 Кб превысил (а) предел на форуме. a href="misc.php?do=attachments" target="_blank" Нажмите здесь для просмотра ваших вложений.

После проведенных манипуляций при перезагрузке комп. программа System Hiller больше не грузится. При открытии сайта в браузере на его странице всплывают окна с рекламой. При нажатии левой кнопки мыши в новом окне начинают грузится сайты (казино, вы стали победителем и др)

Подскажите пожалуйста что я делаю не так при попытки отправить файл полного образа автозапуска. Или может подскажите другой способ его отправки.
И что мне делать дальше?

Спасибо за Вашу помощь и Ваш труд.
С уважением

**Vvvyg** · 30.05.2018, 19:41

Полный образ автозапуска uVS загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку.

**лискаW** · 31.05.2018, 17:47

Здравствуйте!
Спасибо за ответ. Файл полного образа автозапуска uVS расположен https://yadi.sk/d/nQq33HdD3WkuPP.
С уважением

**Vvvyg** · 31.05.2018, 22:04

Настоятельно рекомендую удалить браузер Амиго и пользоваться нормальными, хоть той же Оперой, которая уже есть, только проверьте обновления через меню О программе.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
cexec tools\CreateRestorePoint.exe BeforeCure
zoo %SystemDrive%\PROGRAM FILES\JETMEDIA\NATIVEDESKTOPMEDIASERVICE\DESKTOP_MEDIA_SERVICE.EXE
addsgn 1A81759A5583CB8CF42BFB3A8843570D7301B4CA8A3210CFC4D748ED48D5A1439456C53CCE7D9EBB1056F086CD5B45C137D39A78DE98B82F6F7B9FE7B50AA1B1 8 BehavesLike.Win32.BrowseFox.jh [McAfee] 7

zoo %SystemDrive%\USERS\USERGH\APPDATA\ROAMING\ALX2U3SPKGU\I0F0BNY52GO.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F962D2707605F74D1D3C3A54CC4D8EB3CBA05CA8C1BDCBF6D47F6C72AEE9B6122935178D661AE54444C6E42FA3F91217 8 Backdoor.Win32.Agent.mytffv [Kaspersky] 7

zoo %SystemDrive%\USERS\USERGH\APPDATA\LOCAL\TEMP\IS-OTA3G.TMP\I0F0BNY52GO.TMP
addsgn A7679B19919E1F245C3C083F9237FAF8947C031EC545E9876DA4064AAF3E9BB4D5E82BAA58A262A14BE97360AEA1C10D8237229DA22558E9838F5BC71F50DB8C 16 Backdoor.Win32.Agent.mytffv [Kaspersky] 7

zoo %SystemDrive%\PROGRAM FILES\NEXNNAYCPUUN\ZCXRXFEUCG.EXE
addsgn 1A0C4E9A5583338CF42B627DA804DEC9E9DDAA7DFDDE0FF3C9E7D1372CF27DC7E29C1254F86E633F23BB7C90C47E4AFA7DD05257299CEA2C2C04A3DC63EF3570 8 Trojan.Siggen7.54485 [DrWeb] 7

zoo %SystemDrive%\PROGRAM FILES\IRMKFYAZYPUN\WEAIJDNLEP.EXE
addsgn 1AFF4D9A5583338CF42B627DA804DEC9E9DDAA7DFDDE0FF3C9E7D1372CF27DC7E29C1254F86E633F23BB7C90C47E4AFA7DD05257E970EA2C2C04A3DC63EF3570 8 Win32/Adware.Neoreklami.DY [Eset] 7

zoo %SystemDrive%\PROGRAMDATA\5EF56CD9-83DE-4B9A-9C95-E64C97565D3E\SYSTEMHEALER.EXE
addsgn 1AE3739A5583C98CF42B911F42B83A875C2BE6C69FFEF780E7C3D91B50DB0519FB7E39A78C780762ED9034DA965AD102BC1EBDF9B95B5C082E77A445D0EE88EF 8 Program.Unwanted.2612 [DrWeb] 7

chklst
delvir

zoo %SystemDrive%\USERS\USERGH\APPDATA\LOCAL\D10FC958-EE64-750C-D917-060222922B50\{A315D709-E392-7C0C-511E-1A72F60D0009}
zoo %SystemDrive%\PROGRAMDATA\DF19349B\A315D709.DLL
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\USERGH\APPDATA\LOCAL\4TOOLS\3230091916_123.EXE
delall %SystemDrive%\USERS\USERGH\APPDATA\LOCAL\D10FC958-EE64-750C-D917-060222922B50\{A315D709-E392-7C0C-511E-1A72F60D0009}
zoo %SystemDrive%\PROGRAM FILES\ZPTA3PNVBJ\FG2UQAET3.EXE
delall %SystemDrive%\PROGRAM FILES\ZPTA3PNVBJ\FG2UQAET3.EXE
deldir %SystemDrive%\PROGRAM FILES\JETMEDIA
deldir %SystemDrive%\USERS\USERGH\APPDATA\ROAMING\ALX2U3SPKGU
deldir %SystemDrive%\PROGRAM FILES\NEXNNAYCPUUN
deldir %SystemDrive%\PROGRAM FILES\IRMKFYAZYPUN
deldir %SystemDrive%\PROGRAMDATA\5EF56CD9-83DE-4B9A-9C95-E64C97565D3E
deldir %SystemDrive%\USERS\USERGH\APPDATA\LOCAL\D10FC958-EE64-750C-D917-060222922B50
deldir %SystemDrive%\PROGRAM FILES\ZPTA3PNVBJ
delref HTTPS://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBRHOJYN9_5EDL7QPPMXLVOCDRHYVQM9U5ZBVH1BOWZ7GXJ-5G3G2QH_MMGJP3JEHCJSHIZVZOJHTIXXHH0SN5PBW7SGPWHHCFWKVXZ0OMI1_FM1ISM2HXCFA-DRXYPSNXU75MLC46UAGWRZJP865JSWHQ8EJ_DCOWBHDUKBYYYAHUAIDNRG
delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&FR=NTG&PRODUCT_ID=%7BCFDAAAF4-4556-4992-9873-4A0C64F0DFB2%7D&GP=813024
delref %SystemDrive%\PROGRAM FILES\LJFUJMGEHIE\KGZWR4OY.DLL
delref %SystemDrive%\PROGRAM FILES\YOUTUBE ADBLOCK\IEEF\ZGWP5DBEDK.DLL
delref HTTPS://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBRHOJYN9_5EDL7QPPMXLVOCDRHYVQM9U5ZBVH1BOWZ7GXJ-5G3G2QH_MMGJP3JEHCJSHIZVZOJHTIXXHH0SN5PBW7SGPWHHCFAOXWIIJVZFJRJPFGO-LXN0ME375WGQ9OO-ZIPP4YXGNVNZZ_BEQCPRA2TH-SO07GQW6QH8HQUL5
delref %SystemDrive%\PROGRAMDATA\VOYASOLLAMS\FF.HP
delref %SystemDrive%\PROGRAMDATA\VOYASOLLAMS\FF.NT
delref $40148,445389,256512,C:\USERS\USERGH\APPDATA\ROAMING\ALX2U3SPKGU\I0F0BNY52GO.EXE
delref %SystemDrive%\USERS\USERGH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\NOTEPAD3K\NOTEPAD3K.LNK
delref %SystemDrive%\PROGRAMDATA\A84FB73B-0B95-1\A84FB73B-0B95-1.D
delref %SystemDrive%\PROGRAMDATA\A84FB73B-4311-0\A84FB73B-4311-0.D
delref %SystemDrive%\USERS\USERGH\APPDATA\LOCAL\TEMP\CSRSS\LSA64INSTALL.EXE
delref %SystemDrive%\PROGRAMDATA\{37D712D9-112C-1}\{37D712D9-112C-1}.D
delref %SystemDrive%\PROGRAMDATA\{3D452A9A-312C-0}\{3D452A9A-312C-0}.D
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_121\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\USERGH\\APPDATA\ROAMING\NOTEPAD3K\NOTEPAD3K.EXE
delref %SystemDrive%\PROGRAM FILES\NORTON SECURITY\NORTONDATA\22.9.3.14\DEFINITIONS\SDSDEFS\20170804.008\NAVENG.SYS
delref %SystemDrive%\PROGRAM FILES\NORTON SECURITY\NORTONDATA\22.9.3.14\DEFINITIONS\SDSDEFS\20170804.008\NAVEX15.SYS
delref %SystemDrive%\USERS\USERGH\\APPDATA\LOCAL\GAMECENTER\GAMECENTER.EXE
delref %SystemDrive%\USERS\USERGH\DESKTOP\ДИСТРИБУТИВЫ\SATA_RAID_DRIVERS\DRVPACK\I386\SVCPACK\FINISH.EXE
regt 27
uidel "C:\Users\usergh\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" /uninstall
uidel C:\Users\usergh\AppData\Roaming\CoreTempApp\uninstaller.exe
uidel "C:\ProgramData\hdtask\uninstall.exe"
uidel "C:\Users\usergh\AppData\Roaming\notepad3k\uninstall.exe"
uidel "C:\Program Files\Common Files\Qvotrax\uninstall.exe" shuz -f "C:\Program Files\Common Files\Qvotrax\uninstall.dat" -a uninstallme 1232FFA6-5715-4406-B78F-E9F084D7FEA7 DeviceId=85c54692-acd7-8633-56e8-02dcae0cbedd BarcodeId=51557004 ChannelId=4 DistributerName=APSFWemonetize
uidel "C:\ProgramData\Player\unins000.exe"
uidel "C:\ProgramData\TaskbarWindows\unins000.exe"
uidel C:\Windows\srv_ext.exe --uninstall
uidel "C:\Program Files\iRmKFyAZyPUn\WeAIJdnlEp.exe" /raun
uidel "C:\Users\usergh\AppData\Local\GameCenter\GameCenter.exe" -uninstall
deltmp
apply
czoo
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**лискаW** · 01.06.2018, 14:06

Здравствуйте. Спасибо за ответ.
Карантин zoo.... отправила по ссылке "Прислать запрошенный карантин". Файл 2018-06-01_13-28-43_log из папке UVS прикрепила к этому сообщению.
С уважением

- - - - -Добавлено - - - - -

Спасибо за ответ. Просканировала программой FRST. Приложили к этому сообщению архивный файл FRST_Addition.zip с вложенными текстовыми файлами FRST и Addition.
При использовании левой кнопки мыши теперь периодически (не каждый раз) в браузере на новых закладках грузятся сайты (типа казино вулкан и т.д.). В открытой вкладке так и всплывает окно рекламы. Когда закрываю ее тоже создаются новые вкладки с аналогичными сайтами.
С уважением

**Vvvyg** · 01.06.2018, 19:58

Я сразу предупредил: мучиться долго.

Сохраните файл из вложения на рабочий стол.
fixlist.txt
Отключите до перезагрузки антивирус. Запустите программу Farbar Recovery Scan Tool, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt) (на рабочем столе). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Обновите Opera до актуальной версии, как я писал выше.

Сделайте лог Malwarebytes AdwCleaner.

**лискаW** · 01.06.2018, 22:07

Добрый вечер. Спасибо за ответ. Отправляю сформированный файл fixlog.txt. Сама же продолжаю воевать с оперой, т.к. обновить до актуальной версии через О программе не получается ( то Ошибка в поиске обновлений, то совсем нет кнопки Обновить).
С уважением

- - - - -Добавлено - - - - -

В дополнение к вышесказанному: Оперу обновила, файл лога прикладываю.
С уважением

**Vvvyg** · 01.06.2018, 23:51

url="https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1 480599"]Удалите всё найденное в AdwCleaner[/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Очистите кеш и cookie в Opera: Настройки -> Безопасность -> Очистить историю посещений. Поставьте галочки "Файлы сookie и прочие данные сайтов", "Кэшированные изображения и файлы" и выберите "Уничтожить указанные элементы за следующий период:" "За последнюю неделю".
В Яндекс.Браузере удалите куки и кэш.

Сообщите, что с проблемами.

**лискаW** · 02.06.2018, 06:33

Доброе утро. Отправляю отчет AdwCleaner[C01].txt.

- - - - -Добавлено - - - - -

В опере кэш и cookie очистила. В Яндекс.Браузере кэш и cookie удалила. Рекламные окна больше не всплывают. На "левые" сайты больше не выбрасывает. Спасибо за помощь.
С уважением

**Vvvyg** · 02.06.2018, 09:26

Создайте ребёнку отдельную учётную запись в системе, без прав администратора, чтобы не мог ещё раз так загадить Windows.

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 02.06.2018, 09:36

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 222
В ходе лечения обнаружены вредоносные программы:
1. \a315d709.dll._93ffe34be50d14db47a0ebd450af859463e e8525 - not-a-virus:AdWare.Win32.Adposhel.lcps
2. \{a315d709-e392-7c0c-511e-1a72f60d0009}._e0d50edcdf800c1158961534896dcab1925 67a2f - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
3. c:\program files\epvqpvjyvswu2\oabuaxnjdnlof.dll - not-a-virus:HEUR:AdWare.Win32.Generic ( BitDefender: Gen:Variant.Barys.6979 )
4. c:\program files\fastda~1\fastda~1.exe - not-a-virus:HEUR:AdWare.Win32.Generic
5. c:\program files\kcghgvonu\auxjno.dll - not-a-virus:HEUR:AdWare.Win32.Generic
6. c:\program files\ljfujmgehie\kgzwr4oy.dll - not-a-virus:HEUR:AdWare.Win32.Generic ( BitDefender: Gen:Trojan.Heur.LP.Fu4@a0IhKApi )
7. c:\program files\mu6m6paxb9\zjc1eogya.exe - HEUR:Trojan-Dropper.MSIL.Agent.gen
8. c:\program files\my web shield\mweshield.exe - not-a-virus:HEUR:AdWare.Win32.Mewishid.gen
9. c:\program files\my web shield\mweshieldup.exe - not-a-virus:HEUR:AdWare.Win32.Mewishid.gen
10. c:\program files\r3456emgg2\p2afeng4y.exe - HEUR:Trojan.MSIL.Agent.gen
11. c:\program files\takebest\1522479.exe - not-a-virus:HEUR:AdWare.Win32.Generic
12. c:\program files\2505oubniu\t1itw09s5.exe - HEUR:Trojan.MSIL.Agent.gen
13. c:\program files\8d7wrr5ylx\8d7wrr5yl.exe - HEUR:Trojan.MSIL.Agent.gen
14. c:\programdata\dahkservice\dahkservice.exe - Trojan.Win32.Ekstak.gidz
15. c:\programdata\logic cramble\set.exe - not-a-virus:HEUR:AdWare.Win32.Linkury.gen
16. c:\programdata\prefssecure\nettrans.exe - not-a-virus:HEUR:AdWare.Win32.Linkury.gen
17. c:\programdata\voyasollam\vaialight.dll - UDS:DangerousObject.Multi.Generic
18. c:\programdata\voyasollam\voyasollam.exe - not-a-virus:HEUR:AdWare.Win32.Generic
19. c:\progra~1\fastda~1\fastda~1.exe - not-a-virus:HEUR:AdWare.Win32.Generic
20. c:\users\usergh\appdata\local\appset\appsetupdater \appsetmanager.exe - not-a-virus:HEUR:Downloader.Win32.InnoBundle.gen
21. c:\users\usergh\appdata\local\temp\csrss\scheduled .exe - Trojan.Win32.AntiAV.craz
22. c:\users\usergh\appdata\roaming\crmsvc\crmsvc.exe - not-a-virus:HEUR:RiskTool.Win32.Generic
23. c:\users\usergh\appdata\roaming\di2hu3fvpwl\koivrs hpxse.exe - Trojan-Clicker.MSIL.Agent.cngh
24. c:\users\usergh\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe - HEUR:Trojan-Proxy.Win32.Glupteba.gen
25. c:\users\usergh\appdata\roaming\notepad3k\noteupd. exe - not-a-virus:AdWare.MSIL.Yelloader.ap
26. c:\users\usergh\appdata\roaming\taskchlds.exe - Trojan.Win32.Gozi.ig ( BitDefender: Gen:Variant.Kazy.308424 )
27. c:\users\usergh\appdata\roaming\yrchaje3gez\ybythh kgnqz.exe - Backdoor.Win32.Agent.mytffv
28. c:\users\usergh\appdata\roaming\zz1ev00f130\ixvlgn eyyns.exe - Backdoor.Win32.Agent.mytffv
29. c:\users\usergh\appdata\roaming\4asj3ma4ux1\naayvb 23dwe.exe - Backdoor.Win32.Agent.mytffv
30. c:\windows\rss\csrss.exe - Trojan-Downloader.Win32.Bandit.om
31. c:\windows\system32\drivers\winmonfs.sys - HEUR:Trojan.Win32.Generic
32. c:\windows\system32\drivers\winmonprocessmonitor.s ys - Trojan.Win32.KillAV.rjy
33. c:\windows\system32\drivers\winmon.sys - Rootkit.Win32.Agent.elob
34. c:\windows\windefender.exe - HEUR:Trojan.Win32.Generic
35. c:\windows\winmain64.exe - Backdoor.Win32.Phpw.apg
36. e:\windowsdata\cpservice.exe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
37. e:\windowsdata\hostdl.exe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
38. \fg2uqaet3.exe._aa2790159b0f8ad44fe9dca2f99243665f 5d754e - HEUR:Trojan.MSIL.Agent.gen
39. \i0f0bny52go.exe._0677f4a2296fe83d7b181942b5c7abfa 98970692 - Backdoor.Win32.Agent.mytffv
40. \weaijdnlep.exe._0c5dcbb656864237cb71f31494f7101bf 9c92caa - not-a-virus:HEUR:AdWare.Win32.Generic
41. \zcxrxfeucg.exe._ae03559638212cda81d82580aa67981a2 2bdf5d4 - not-a-virus:HEUR:AdWare.Win32.Generic

System Hiller [not-a-virus:AdWare.Win32.Adposhel.lcps, not-a-virus:HEUR:AdWare.Win32.Generic ] (заявка № 219118)

Опции темы