mystartsearch, gamesDesctop, WordSurfer, SmartWeb, FriendyError, AnyProtect, Rising. [not-a-virus:AdWare.Win32.PriceGong.a, not-a-virus:AdWare.Win32.Vitruvian.q ]

[aqpepuct]

Скачал KMS активатор с allbesta. Установку выполнял выборочную, снял все галочки с доп програм(перечисленные в заголовке), но они все равно установились, удалял как стандартным деинсталятором, так и revoUninstaller. Через час все эти программы появлялись опять, папку Rising antivirus так и не смог удалить, как и убить процесс, отказывало в доступе. Проверял компьютер через dr.web Cureit! Находило вирусы, лечил. Сейчас все эти программы (mystartsearch, gamesDesctop, WordSurfer, SmartWeb, FriendyError, AnyProtect, Rising) снова установились. Хелп, логи прилагаются

[Info_bot]

Уважаемый(ая) aqpepuct, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\wordsurfer_1.10.0.19\service\wsasvc.exe');
 TerminateProcessByName('c:\users\Наталья\appdata\local\gmsd_ru_005010059\upgmsd_ru_005010059.exe');
 TerminateProcessByName('c:\users\Наталья\appdata\local\smartweb\smartwebhelper.exe');
 TerminateProcessByName('c:\program files (x86)\31444335-1439455958-4b33-5957-ec9a74573b09\knsie5b7.tmpfs');
 TerminateProcessByName('c:\program files (x86)\31444335-1439455958-4b33-5957-ec9a74573b09\jnsx9c.tmp');
 TerminateProcessByName('c:\program files (x86)\31444335-1439455958-4b33-5957-ec9a74573b09\hnsn190e.tmp');
 StopService('cipufixo');
 StopService('comyninu');
 StopService('hyverumu');
 QuarantineFile('C:\Users\Наталья\appdata\local\smartweb\__u.exe', '');
 QuarantineFile('C:\Users\Наталья\appdata\local\smartweb\swhk.dll', '');
 QuarantineFileF('C:\Users\Наталья\appdata\local\smartweb\', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\WordSurfer_1.10.0.19', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
 QuarantineFile('C:\Users\Наталья\appdata\local\smartweb\smartwebapp.exe', '');
 QuarantineFile('C:\$Recycle.Bin\S-1-5-21-1247844211-3612233998-2365913395-1000\$RYPJVOF.tmp\blowfish.dll', '');
 QuarantineFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe', '');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe', '');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '');
 QuarantineFile('C:\Program Files (x86)\mbot_ru_014010059\mbot_ru_014010059.exe', '');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010059\gmsd_ru_005010059.exe', '');
 QuarantineFile('C:\Program Files (x86)\fr\fr.exe', '');
 QuarantineFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe', '');
 QuarantineFile('C:\Program Files (x86)\????\SHPlayer.exe', '');
 QuarantineFile('c:\program files (x86)\wordsurfer_1.10.0.19\service\wsasvc.exe', '');
 QuarantineFile('c:\users\Наталья\appdata\local\gmsd_ru_005010059\upgmsd_ru_005010059.exe', '');
 QuarantineFile('c:\users\Наталья\appdata\local\smartweb\smartwebhelper.exe', '');
 QuarantineFile('c:\users\Наталья\appdata\local\mediaget2\mediaget.exe', '');
 QuarantineFile('c:\program files (x86)\31444335-1439455958-4b33-5957-ec9a74573b09\knsie5b7.tmpfs', '');
 QuarantineFile('c:\program files (x86)\31444335-1439455958-4b33-5957-ec9a74573b09\jnsx9c.tmp', '');
 QuarantineFile('c:\program files (x86)\31444335-1439455958-4b33-5957-ec9a74573b09\hnsn190e.tmp', '');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010059\gmsd_ru_005010059.exe', '32');
 DeleteFile('c:\program files (x86)\31444335-1439455958-4b33-5957-ec9a74573b09\hnsn190e.tmp', '32');
 DeleteFile('c:\program files (x86)\31444335-1439455958-4b33-5957-ec9a74573b09\jnsx9c.tmp', '32');
 DeleteFile('c:\program files (x86)\31444335-1439455958-4b33-5957-ec9a74573b09\knsie5b7.tmpfs', '32');
 DeleteFile('c:\users\Наталья\appdata\local\smartweb\smartwebhelper.exe', '32');
 DeleteFile('c:\users\Наталья\appdata\local\gmsd_ru_005010059\upgmsd_ru_005010059.exe', '32');
 DeleteFile('c:\program files (x86)\wordsurfer_1.10.0.19\service\wsasvc.exe', '32');
 DeleteFile('C:\$Recycle.Bin\S-1-5-21-1247844211-3612233998-2365913395-1000\$RYPJVOF.tmp\blowfish.dll', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteService('cipufixo');
 DeleteService('comyninu');
 DeleteService('hyverumu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SohuVA', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_005010059');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010059', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_005010059.exe');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

- сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.

- - - - -Добавлено - - - - -

Скачал KMS активатор с allbesta.

ссылку на файл можете прислать мне в ЛС?

[aqpepuct]

Нужно ли делать очистку в adwCleaner после сканирования?

upd. при запуске hijack.exe выдает ошибку (С:\...путь к файлу.exe неверная функция)
один из логов не помещается, отправлю через яндекс диск https://yadi.sk/i/0JZoGdXjiSoSX
остальные логи:

[regist]

1) Деинсталируйте

ASPackage
CinemaP-1.9cV13.08
Crossbrowse
FriendlyError
IMBoosterARP
IminentToolbar
Linkey
Linkey
Max Driver Updater_is1
MediaGet
Object Browser
SearchProtect
ShopperPro
SmartWeb
SoftwareUpdater
VOPackage
Vosteran.com
WajIntEnhance
YTDownloader
iWebar
oursurfing uninstall

2)

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

3) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда

- - - - -Добавлено - - - - -

при запуске hijack.exe выдает ошибку (С:\...путь к файлу.exe неверная функция)

попробуйте этой версией сделать. Если вылезет ошибка скрин, пожалуйста, прикрепите.

[aqpepuct]

Ни один деинсталятор не нашел даже половины тех программ которые вы посоветовали удалить, но те что были из списка удалил. Логи ниже. hijack заработал.

upd. в течении часа программы обратно не устанавливались.

[regist]

Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
zoo %SystemRoot%\SYSWOW64\BSMAIN.EXE
bl 3AC2CAD1B6819CFBB9E36E5D52EEEF85 240472
delall %SystemRoot%\SYSWOW64\BSMAIN.EXE
delall %SystemDrive%\USERS\�������\APPDATA\ROAMING\OSF4QZULKUI.EXE
zoo %Sys32%\RAVEXT64.DLL
bl D4B8667E5AC7F1985F89A190CDA02E7B 325400
delall %Sys32%\RAVEXT64.DLL
zoo %Sys32%\DRIVERS\RSNDISP.SYS
bl 2649F027AA2DAE21A4D87419C7B98E46 11888
delall %Sys32%\DRIVERS\RSNDISP.SYS
zoo %Sys32%\DRIVERS\RSUTILS.SYS
bl 5ED47386E7B9FA59270555D8439325AB 71760
delall %Sys32%\DRIVERS\RSUTILS.SYS
zoo %Sys32%\DRIVERS\SYSMON.SYS
bl A2A329F69ECDC7DCC297454F1985064F 119256
delall %Sys32%\DRIVERS\SYSMON.SYS
dirzooex %SystemDrive%\PROGRAM FILES (X86)\31444335-1439556958-4B33-5957-EC9A74573B09
addsgn 1A5B2B9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B6CA39771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 64 Adware.ConvertAd

zoo %SystemDrive%\PROGRAM FILES (X86)\31444335-1439556958-4B33-5957-EC9A74573B09\HNSWD183.TMP
bl 0FD99BAF91AD54ED70E64DE5BBA03559 161792
addsgn 1A044C9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B3CE29471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 64 Adware.ClickMeIn.1997 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\31444335-1439556958-4B33-5957-EC9A74573B09\JNSBBA78.TMP
bl C5323F961012E91A9E4BF4FF377655F3 209920
zoo %SystemRoot%\SYSWOW64\RAVEXT.DLL
bl 081BDC1E197FD3ED87DE0BAA69419200 256280
delall %SystemRoot%\SYSWOW64\RAVEXT.DLL
deldir %SystemDrive%\PROGRAM FILES (X86)\31444335-1439556958-4B33-5957-EC9A74573B09
dirzooex %SystemDrive%\PROGRAM FILES (X86)\31444335-1439455958-4B33-5957-EC9A74573B09
deldir %SystemDrive%\PROGRAM FILES (X86)\31444335-1439455958-4B33-5957-EC9A74573B09
czoo
restart

сделайте свежий лог uVS и AdwCleaner.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 16
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\anyprotectex\anyprotect.exe - not-a-virus:AdWare.Win32.Agent.hpxh
  2. c:\program files (x86)\gmsd_ru_005010059\gmsd_ru_005010059.exe - not-a-virus:AdWare.Win32.Eorezo.abnt
  3. c:\program files (x86)\wordsurfer_1.10.0.19\service\wsasvc.exe - not-a-virus:AdWare.Win32.Vitruvian.q
  4. c:\users\наталья\appdata\local\gmsd_ru_005010059\u pgmsd_ru_005010059.exe - not-a-virus:AdWare.Win32.Eorezo.afob
  5. c:\users\наталья\appdata\local\smartweb\smartwebap p.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845 )
  6. c:\users\наталья\appdata\local\smartweb\smartwebhe lper.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845 )
  7. c:\users\наталья\appdata\local\smartweb\swhk.dll - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845, AVAST4: Win32:BHO-AOK [Adw] )
  8. c:\users\наталья\appdata\local\smartweb\__u.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: archive:, AVAST4: Win32:Malware-gen )