Куча рекламы, посторонние процессы [Trojan-Downloader.MSIL.Crypted.ii, Trojan.Win32.Vilsel.codr ]

[zacenimoymir]

Реклама открывается на любом сайте на половину экрана, браузер сам открывает вкладки.

[Info_bot]

Уважаемый(ая) zacenimoymir, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\hnstfa27.tmp');
 TerminateProcessByName('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\jnsze267.tmp');
 TerminateProcessByName('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\knsic6ca.tmpfs');
 TerminateProcessByName('c:\program files (x86)\savepass 1.1\c156bda9-04bd-481a-9a92-a48043392a25.exe');
 TerminateProcessByName('c:\program files (x86)\ciplus-4.5vv30.07\ae60b39b-ed0e-4287-9f18-d483c42d2363-6.exe');
 TerminateProcessByName('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-6.exe');
 TerminateProcessByName('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-1-6.exe');
 SetServiceStart('{632f6d44-7348-49cf-a62d-8be1f536f088}Gw64', 4);
 SetServiceStart('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64', 4);
 SetServiceStart('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}Gw64', 4);
 SetServiceStart('{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}Gw64', 4);
 SetServiceStart('timolugo', 4);
 SetServiceStart('bykesute', 4);
 StopService('kororebi');
 StopService('myfejozi');
 StopService('skinapp');
 StopService('{632f6d44-7348-49cf-a62d-8be1f536f088}Gw64');
 StopService('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64');
 StopService('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}Gw64');
 StopService('{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}Gw64');
 StopService('webinstrNewH');
 StopService('nethfdrv');
 StopService('ccnfd_1_10_0_2');
 StopService('timolugo');
 StopService('bykesute');
 QuarantineFileF('C:\Users\Alexandr\AppData\Roaming\newSI_1001\', '*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\Alexandr\AppData\Local\SystemDir', '*', true, '', 0 , 0);
 QuarantineFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\hnstfa27.tmp', '');
 QuarantineFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\jnsze267.tmp', '');
 QuarantineFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\knsic6ca.tmpfs', '');
 QuarantineFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\knsx4E4A.tmp', '');
 QuarantineFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\hnsp77AC.tmp', '');
 QuarantineFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\jnsv60D6.tmp', '');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010055\gmsd_ru_005010055.exe', '');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010068\gmsd_ru_005010068.exe', '');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_025010054\gmsd_ru_025010054.exe', '');
 QuarantineFile('C:\Users\Alexandr\AppData\Local\Microsoft\Windows\system.exe', '');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.bat', '');
 QuarantineFile('C:\Users\Alexandr\AppData\Local\Yandex\YandexBrowser\Application\browser.bat', '');
 QuarantineFile('C:\Users\Alexandr\AppData\Local\Kometa\Application\kometa.bat', '');
 QuarantineFile('C:\Users\Alexandr\AppData\Roaming\newSI_1001\s_inst.exe', '');
 QuarantineFile('C:\Users\Alexandr\AppData\Local\SystemDir\nethost.exe', '');
 QuarantineFile('C:\Users\Alexandr\AppData\Local\Temp\Updater.exe', '');
 QuarantineFile('c:\task.vbs', '');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '');
 QuarantineFile('C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe', '');
 QuarantineFile('C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-bho.dll', '');
 QuarantineFile('C:\Program Files (x86)\VK Downloader\Toolbar32.dll', '');
 QuarantineFile('C:\Program Files (x86)\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll', '');
 QuarantineFile('C:\Program Files (x86)\ver8BlockAndSurf\184.dll', '');
 QuarantineFile('C:\Windows\skinapp.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\Drivers\webinstrNewH.sys', '');
 QuarantineFile('C:\Program Files (x86)\03000200-1439845118-0500-0006-000700080009\knsx444E.tmp', '');
 QuarantineFile('C:\Users\Alexandr\AppData\Local\retechno.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\nethfdrv.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\ccnfd_1_10_0_2.sys', '');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV30.07\164f6110-e9b2-4136-9330-7214b1b4e22e.dll', '');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV17.08\96d3a5bb-d900-4d33-8644-df033650e2f2.dll', '');
 QuarantineFile('c:\program files (x86)\savepass 1.1\c156bda9-04bd-481a-9a92-a48043392a25.exe', '');
 QuarantineFile('c:\program files (x86)\ciplus-4.5vv30.07\ae60b39b-ed0e-4287-9f18-d483c42d2363-6.exe', '');
 QuarantineFile('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-6.exe', '');
 QuarantineFile('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-1-6.exe', '');
 DeleteFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\hnstfa27.tmp', '32');
 DeleteFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\jnsze267.tmp', '32');
 DeleteFile('c:\program files (x86)\03000200-1448032530-0500-0006-000700080009\knsic6ca.tmpfs', '32');
 DeleteFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\knsx4E4A.tmp', '32');
 DeleteFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\hnsp77AC.tmp', '32');
 DeleteFile('C:\Program Files (x86)\03000200-1439041507-0500-0006-000700080009\jnsv60D6.tmp', '32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010055\gmsd_ru_005010055.exe', '32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010068\gmsd_ru_005010068.exe', '32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_025010054\gmsd_ru_025010054.exe', '32');
 DeleteFile('C:\Users\Alexandr\AppData\Local\Microsoft\Windows\system.exe', '32');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.bat', '32');
 DeleteFile('C:\Users\Alexandr\AppData\Local\Yandex\YandexBrowser\Application\browser.bat', '32');
 DeleteFile('C:\Users\Alexandr\AppData\Local\Kometa\Application\kometa.bat', '32');
 DeleteFile('C:\Users\Alexandr\AppData\Roaming\newSI_1001\s_inst.exe', '32');
 DeleteFile('C:\Users\Alexandr\AppData\Local\SystemDir\nethost.exe', '32');
 DeleteFile('C:\Users\Alexandr\AppData\Local\Temp\Updater.exe', '32');
 DeleteFile('c:\task.vbs', '32');
 DeleteFile('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-1-6.exe', '32');
 DeleteFile('c:\program files (x86)\ciplus-4.5vv17.08\72734337-ed39-40cf-aad5-b46bf0559d46-6.exe', '32');
 DeleteFile('c:\program files (x86)\ciplus-4.5vv30.07\ae60b39b-ed0e-4287-9f18-d483c42d2363-6.exe', '32');
 DeleteFile('c:\program files (x86)\savepass 1.1\c156bda9-04bd-481a-9a92-a48043392a25.exe', '32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV17.08\96d3a5bb-d900-4d33-8644-df033650e2f2.dll', '32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV30.07\164f6110-e9b2-4136-9330-7214b1b4e22e.dll', '32');
 DeleteFile('C:\Windows\system32\drivers\nethfdrv.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}w64.sys', '32');
 DeleteFile('C:\Program Files (x86)\03000200-1439845118-0500-0006-000700080009\knsx444E.tmp', '32');
 DeleteFile('C:\Windows\skinapp.sys', '32');
 DeleteFile('C:\Program Files (x86)\ver8BlockAndSurf\184.dll', '32');
 DeleteFile('C:\Program Files (x86)\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll', '32');
 DeleteFile('C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-bho.dll', '32');
 DeleteFile('C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe', '32');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "c156bda9-04bd-481a-9a92-a48043392a25.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "newSI_1001.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "c156bda9-04bd-481a-9a92-a48043392a25" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "newSI_1001" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "runTask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "updateTask" /F', 0, 15000, true);
 DeleteService('kororebi');
 DeleteService('myfejozi');
 DeleteService('cidocuvy');
 DeleteService('comyninu');
 DeleteService('hyverumu');
 DeleteService('skinapp');
 DeleteService('{632f6d44-7348-49cf-a62d-8be1f536f088}Gw64');
 DeleteService('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64');
 DeleteService('{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}Gw64');
 DeleteService('{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}Gw64');
 DeleteService('nethfdrv');
 DeleteService('timolugo');
 DeleteService('bykesute');
 DeleteFileMask('C:\Users\Alexandr\AppData\Roaming\newSI_1001\', '*', true);
 DeleteFileMask('C:\Users\Alexandr\AppData\Local\SystemDir', '*', true);
 DeleteDirectory('C:\Users\Alexandr\AppData\Roaming\newSI_1001\');
 DeleteDirectory('C:\Users\Alexandr\AppData\Local\SystemDir');
 DelBHO('{11111111-1111-1111-1111-110611191111}');
 DelBHO('{11111111-1111-1111-1111-110611341129}');
 DelBHO('{A18EA34C-6D33-4298-8A54-7F16499904C0}');
 DelBHO('{ECFE940D-D51F-7BC6-C852-EA86E896B721}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010068', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\prbjolzosu', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010055', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_025010054', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

[zacenimoymir]

Не мог попасть к компьютеру, выполнил и прислал вроде бы все, что Вы просили, проблема не после выполнения скрипта не исчезла, при подключении к интернету, в браузере всплывают окна с многочисленной рекламой.

[regist]

при подключении к интернету, в браузере всплывают окна с многочисленной рекламой.

ещё бы, такой зоопарк разнообразной адвари установлен.

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Где ссылка на отчёт? Жду.

Потом

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[zacenimoymir]

Вот ссылка: http://virusinfo.info/virusdetector/...CAEE3F59398158
Дальнейшие указания проведу завтра! Компьютер родителей, к сожалению ежедневного доступа не имею к нему, а помочь нужно! Спасибо за понимание.

[zacenimoymir]

Реклама в браузере исчезла поле выполнения вашей инструкции, самопроизвольный запуск Opera, который происходил через определенный момент времени также исчез, огромное спасибо, логи прикрепил, жду дальнейших указаний.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('{809da842-a636-4d48-aeda-93730ef23d66}Gw64', 4);
 SetServiceStart('{7a3b1fa0-6acc-4a4a-9930-456a27e1b6c1}Gw64', 4);
 SetServiceStart('prfoucrdow', 4);
 StopService('{a081059f-4e06-4f49-9a1e-4b92e171ba25}w64');
 StopService('{a081059f-4e06-4f49-9a1e-4b92e171ba25}Gw64');
 StopService('{809da842-a636-4d48-aeda-93730ef23d66}Gw64');
 StopService('{7a3b1fa0-6acc-4a4a-9930-456a27e1b6c1}Gw64');
 StopService('prfoucrdow');
 QuarantineFile('C:\Users\Alexandr\appdata\roaming\microsoft update\unload.exe', '');
 QuarantineFile('C:\Users\Alexandr\appdata\roaming\gemware\deletewebkitcookie.exe', '');
 QuarantineFile('C:\Users\Alexandr\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '');
 QuarantineFile('C:\Program Files (x86)\baidu\pps.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\{a081059f-4e06-4f49-9a1e-4b92e171ba25}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{a081059f-4e06-4f49-9a1e-4b92e171ba25}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{809da842-a636-4d48-aeda-93730ef23d66}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{7a3b1fa0-6acc-4a4a-9930-456a27e1b6c1}Gw64.sys', '');
 QuarantineFile('C:\Users\Alexandr\AppData\Local\retechno.exe', '');
 DeleteFile('C:\Users\Alexandr\AppData\Local\retechno.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\{7a3b1fa0-6acc-4a4a-9930-456a27e1b6c1}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{809da842-a636-4d48-aeda-93730ef23d66}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{a081059f-4e06-4f49-9a1e-4b92e171ba25}w64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{a081059f-4e06-4f49-9a1e-4b92e171ba25}Gw64.sys', '32');
 DeleteFile('C:\Program Files (x86)\baidu\pps.exe', '32');
 DeleteFile('C:\Windows\Tasks\bc3e5259-216b-45ab-922d-6380dea9f0d0.job', '32');
 DeleteFile('C:\Windows\Tasks\RMSchedule.job', '32');
 DeleteFile('C:\Windows\system32\Tasks\bc3e5259-216b-45ab-922d-6380dea9f0d0', '64');
 DeleteFile('C:\Windows\system32\Tasks\Uninstaller_SkipUac_Alexandr', '64');
 DeleteFile('C:\Users\Alexandr\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '32');
 DeleteFile('C:\Users\Alexandr\appdata\roaming\gemware\deletewebkitcookie.exe', '32');
 DeleteFile('C:\Users\Alexandr\appdata\roaming\microsoft update\unload.exe', '32');
 DeleteService('{a081059f-4e06-4f49-9a1e-4b92e171ba25}w64');
 DeleteService('{a081059f-4e06-4f49-9a1e-4b92e171ba25}Gw64');
 DeleteService('{809da842-a636-4d48-aeda-93730ef23d66}Gw64');
 DeleteService('{7a3b1fa0-6acc-4a4a-9930-456a27e1b6c1}Gw64');
 DeleteService('prfoucrdow');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\allskidkimos', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\moreskidki', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\prbjolzosu', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_ru_101', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TorProject', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader', 'command');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

[zacenimoymir]

Все выполнил по Вашей инструкции.

[regist]

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2YljqZp_YQlu2ojOULS2I4g89JVv2VxjflSuNwgNBdq6J5udM2PUzaJKqRA01w4LJFDMuxrNBiSPTc6kCgPER4lMw48ms_RWz6UkJmL1u6ZUwI0XeUOwYE7MMEApeS27BrmBiKcuxCbU7l2&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2YljqZp_YQlu2ojOULS2I4g89JVv2VxjflSuNwgNBdq6J5udM2PUzaJKqRA01w4LJFDMuxrNBiSPTc6kCgPER4lMw48ms_RWz6UkJmL1u6ZUwI0XeUOwYE7MMEApeS27BrmBiKcuxCbU7l2&q={searchTerms}
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

сделайте лог HiJackThis 2.0.6 Alfa 1.4

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\baidu\pps.exe - Trojan.Win32.Vilsel.codr ( DrWEB: Trojan.Siggen6.42230, AVAST4: Win32:Malware-gen )
  2. c:\program files (x86)\vk downloader\toolbar32.dll - not-a-virus:WebToolbar.Win32.Agent.bgn ( DrWEB: Adware.Downware.10995 )
  3. c:\users\alexandr\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe - not-a-virus:Downloader.Win32.LMN.afw ( DrWEB: Trojan.LoadMoney.491 )
  4. c:\users\alexandr\appdata\local\retechno.exe - Trojan-Downloader.MSIL.Crypted.ii ( DrWEB: Trojan.DownLoader17.28781, AVAST4: Win32:Malware-gen )
  5. c:\users\alexandr\appdata\roaming\gemware\deletewe bkitcookie.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.InstallCube.400, AVAST4: Win32:Malware-gen )
  6. c:\users\alexandr\appdata\roaming\microsoft update\unload.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.DownLoader12.23010, AVAST4: Win32:Malware-gen )
  7. c:\windows\system32\drivers\ccnfd_1_10_0_2.sys - not-a-virus:AdWare.Win32.Vitruvian.c ( DrWEB: Adware.Plugin.274 )
  8. c:\windows\system32\drivers\webinstrnewh.sys - not-a-virus:AdWare.Win64.AddLyrics.de ( DrWEB: Trojan.Lyrics.299 )
  9. c:\windows\system32\drivers\{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}gw64.sys - not-a-virus:NetTool.Win64.NetFilter.k ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.SwiftBrowse.CH )
  10. c:\windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}gw64.sys - not-a-virus:NetTool.Win64.NetFilter.k ( DrWEB: Trojan.Yontoo.1734, BitDefender: Adware.SwiftBrowse.CH )
  11. c:\windows\system32\drivers\{5fa86e60-a54d-4e77-b1f1-f7bc1e215749}w64.sys - not-a-virus:NetTool.Win64.NetFilter.k ( DrWEB: Trojan.Yontoo.1734, BitDefender: Adware.SwiftBrowse.CH )
  12. c:\windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}gw64.sys - not-a-virus:AdWare.Win32.Yotoon.szx ( DrWEB: Trojan.Yontoo.1734, BitDefender: Adware.SwiftBrowse.CH )
  13. c:\windows\system32\drivers\{632f6d44-7348-49cf-a62d-8be1f536f088}w64.sys - not-a-virus:AdWare.Win32.Yotoon.szx ( DrWEB: Trojan.Yontoo.1734, BitDefender: Adware.SwiftBrowse.CH )