Решена Открывает GoogleChrome с постоянной рекламой

Статус
В этой теме нельзя размещать новые ответы.

meh0s

Новый пользователь
Сообщения
35
Реакции
3
постоянно открывается хром с ссылками на разные сайты
 

Вложения

  • CollectionLog-2017.07.19-20.05.zip
    123.6 KB · Просмотры: 1
вот
 

Вложения

  • CollectionLog-2017.07.19-20.05.zip
    123.6 KB · Просмотры: 3
Деинсталируйте YiuAskIE

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SetServiceStart('fa86a28c73202cf335ba67a7f4632b92', 4);
 SetServiceStart('SvcHost Service Host', 4);
 SetServiceStart('Ea3Host', 4);
 QuarantineFile('C:\Users\Максим\AppData\Roaming\e3e12b6b736b4198a96299dcefcc61ba\35PgUw6t3.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\5946476fe1c14724aff40d026a8736ae\hyhpfpcYL.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\49f170d117cc477abbde4590a947d2f3\Z37hCd6RN.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\2faa0e488c51426e9fb359af29e17f90\ikFT74WH7pxP.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\dbfd40d1f0f847cf9030b06d190d7b4d\QAKjF8ZjeJCgJ.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\Temp\ZgeBccj61BS1.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\Temp\N6DpmI18nqQ6.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\Temp\KCeLcgJNH13w.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\Temp\0dc1.tmp','');
 QuarantineFile('C:\Users\Максим\AppData\Local\65776f0464474b11a644cdf367432d29\BZZuK1dSBmSBQV.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\352a270f19c34e8ca8cc46d2daf58fcb\7HJHq19vV7JTvi.exe','');
 QuarantineFile('C:\ProgramData\ee41dde071a848589a4a2ca5dd2b02f2\2pE7XK1HQPo9.exe','');
 QuarantineFile('C:\Users\2BA0~1\AppData\Local\Temp\JUGFC2~1.EXE','');
 QuarantineFile('C:\WINDOWS\system32\drivers\fa86a28c73202cf335ba67a7f4632b92.sys','');
 QuarantineFile('c:\users\Максим\appdata\local\temp\zgebccj61bs1.exe','');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe','');
 QuarantineFile('c:\windows\microsoft\svchost.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('c:\program files (x86)\yiuaskie\mnfkntvge.exe','');
 QuarantineFile('c:\users\Максим\appdata\local\temp\jugfc2asnio9.exe','');
 QuarantineFile('c:\users\Максим\appdata\roaming\event monitor\em.exe','');
 QuarantineFile('c:\users\Максим\appdata\local\temp\ecb1.tmp.exe','');
 QuarantineFile('C:\Windows\System32\Ea3Host.exe','');
 QuarantineFile('c:\program files\2152adb1a5f2080a69ba2537d971188a\b3133c1595b8f017e7d08bf83ba971b3.exe','');
 QuarantineFile('c:\users\Максим\appdata\roaming\microsoft\_______','');
 QuarantineFile('C:\Users\Максим\AppData\Local\9c69a115a2134cd2ba159c948b9afb4e\0S7ezaodYjc5V.exe','');
 QuarantineFile('c:\users\2ba0~1\appdata\local\temp\0dc1.tmp','');
 DeleteFile('c:\users\2ba0~1\appdata\local\temp\0dc1.tmp','32');
 DeleteFile('C:\Users\Максим\AppData\Local\9c69a115a2134cd2ba159c948b9afb4e\0S7ezaodYjc5V.exe','32');
 DeleteFile('c:\users\Максим\appdata\roaming\microsoft\_______','32');
 DeleteFile('c:\program files\2152adb1a5f2080a69ba2537d971188a\b3133c1595b8f017e7d08bf83ba971b3.exe','32');
 DeleteFile('C:\Windows\System32\Ea3Host.exe','32');
 DeleteFile('c:\users\Максим\appdata\local\temp\ecb1.tmp.exe','32');
 DeleteFile('c:\users\Максим\appdata\roaming\event monitor\em.exe','32');
 DeleteFile('c:\users\Максим\appdata\local\temp\jugfc2asnio9.exe','32');
 DeleteFile('c:\program files (x86)\yiuaskie\mnfkntvge.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('c:\windows\microsoft\svchost.exe','32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe.exe','32');
 DeleteFile('c:\users\Максим\appdata\local\temp\zgebccj61bs1.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\fa86a28c73202cf335ba67a7f4632b92.sys','32');
 DeleteFile('C:\Users\2BA0~1\AppData\Local\Temp\JUGFC2~1.EXE','32');
 DeleteFile('C:\ProgramData\ee41dde071a848589a4a2ca5dd2b02f2\2pE7XK1HQPo9.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\352a270f19c34e8ca8cc46d2daf58fcb\7HJHq19vV7JTvi.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\65776f0464474b11a644cdf367432d29\BZZuK1dSBmSBQV.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\Temp\0dc1.tmp','32');
 DeleteFile('C:\Users\Максим\AppData\Local\Temp\KCeLcgJNH13w.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\Temp\N6DpmI18nqQ6.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\Temp\ZgeBccj61BS1.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\dbfd40d1f0f847cf9030b06d190d7b4d\QAKjF8ZjeJCgJ.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\yc\Application\yc.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\2faa0e488c51426e9fb359af29e17f90\ikFT74WH7pxP.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\49f170d117cc477abbde4590a947d2f3\Z37hCd6RN.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\5946476fe1c14724aff40d026a8736ae\hyhpfpcYL.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\e3e12b6b736b4198a96299dcefcc61ba\35PgUw6t3.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\2152adb1a5f2080a69ba2537d971188a','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\MSI','64');
 DeleteFile('C:\WINDOWS\microsoft\svchost.exe','32');
 DeleteFile('C:\WINDOWS\microsoft\svchost.exe.exe','32');
 DeleteFile('C:\Users\Максим\appdata\local\indexer\indexer.exe','32');
 DeleteFile('C:\Users\Максим\appdata\roaming\event monitor\em.exe','32');
 DeleteFile('C:\Users\Максим\appdata\roaming\event monitor\isxdl.dll','32');
 DeleteFile('C:\Users\Максим\appdata\roaming\imagecropresize\imageed\imageed.exe','32');
 DeleteFile('C:\Users\Максим\appdata\roaming\microsoft\msi.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "indexer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','speeddialmaker_delete_self');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QAKjF8ZjeJCgJ.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_162D83540BB4D2F98AE0E989D89F22EF');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ikFT74WH7pxP.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Z37hCd6RN.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hyhpfpcYL.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','35PgUw6t3.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ysxohyopim');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7HJHq19vV7JTvi.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','BZZuK1dSBmSBQV.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2pE7XK1HQPo9.exe');
 DeleteService('fa86a28c73202cf335ba67a7f4632b92');
 DeleteService('SvcHost Service Host');
 DeleteService('Ea3Host');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
AdwCleaner не открывает даже с правами администратора
Решил проблему с администратором
 

Вложения

  • Права.jpg
    Права.jpg
    33.3 KB · Просмотры: 80
  • AdwCleaner[S0].txt
    6.5 KB · Просмотры: 3
Последнее редактирование:
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
akok, Держите
 

Вложения

  • AdwCleaner[C1].txt
    3.8 KB · Просмотры: 2
  • CollectionLog-2017.07.19-22.53.zip
    112.5 KB · Просмотры: 2
Последнее редактирование:
RegistryReviver - тоже деинсталируйте. Файл HOSTS сами правили?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('C:\Program Files\MSBuild\2LHBTUKDBXPJA5UL\gWJBEBw&7B.exe');
TerminateProcessByName('C:\Windows\Temp\g8185.tmp.exe');
TerminateProcessByName('C:\ProgramData\19c9ae7981a64b79b01246099d97e8eb\ErJuEsmuahE7.exe');
TerminateProcessByName('C:\Users\Максим\AppData\Local\3a4320d8177e4fbf8a001b73149440a1\cJc2mA1rrXPS5O.exe');
TerminateProcessByName('C:\Users\Максим\AppData\Local\Temp\cb51a4f091a14cac89f4a6451bee5c4b\a90g2dz.exe');
SetServiceStart('adgnetworkwfpdrv', 4);
 QuarantineFile('C:\Users\Максим\AppData\Roaming\bcb9f1f6073c4022bc26c81ea99a33b1\t5gHEVOWv.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\90a6a0a28072469588517fddba888d09\t7lTlu1DI4.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\694f7a655b5248288a7f6c35fb9a26a5\E2ftxqIVM.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\4a6bbcb0c48242b7850b243e1c1ed041\WtEKI0LkW.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\3e683629d4a440e992d83a9e04106136\2NZ2s4oo1j.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\18d034137f244c138de759eb27c2beec\imLvb9ZlJx.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\1045170e20dc4accb7a9556aa554fcbb\EAU2oIl4m.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\08fb9231fb504313bf46220f4b6c12a8\2vjjDTqOOP.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\f9c42986100b47c7af495e47706b9252\ZDrUbWrv3LF3l.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\c976810804df4a62a8d14285dd83bbc5\NEhbP5ozzlPh7e.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\Temp\9a1fa29d85764ea5b1fcc4e5297302ce\WSSTQrGeWW.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\Temp\0e8fa263ae7540ddb61d52c134a78b97\0lnmw1Q.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\Temp\0317b2ac241c4f79907032289c5572ce\Ja5Xfcr.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\71027245e0cb4bb89bce18c869da41b4\8ATP7x8Y11aXz.exe','');
 QuarantineFile('C:\ProgramData\c9cfc141c775452e8a42ee75acb78cd5\Ery2lHyIi4J.exe','');
 QuarantineFile('C:\ProgramData\776abc287db74a5cb0f65b532602fbaf\tK2cMAJIxRLK.exe','');
 QuarantineFile('C:\ProgramData\634d0e95f479426d8f68fda884b5489a\uNRhdQi.exe','');
 QuarantineFile('C:\Program Files\VID_0E8F&PID_0003\WVUCKS3GEE1DNCNGUAB8GHK6TE\+pU9nlOZc+.exe','');
 QuarantineFile('C:\ProgramData\35290072f2fb41d9b80686d5b15fdd2c\8v6TkbMKp2f.exe','');
 QuarantineFile('C:\Program Files\Windows Media Player\LKVB2W0C01DS5VFJD9BKQC4GTT8E2AM\VnmI#VJR_R.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\adgnetworkwfpdrv.sys','');
 QuarantineFile('C:\Program Files\MSBuild\2LHBTUKDBXPJA5UL\gWJBEBw&7B.exe','');
 QuarantineFile('C:\Windows\Temp\g8185.tmp.exe','');
 QuarantineFile('C:\ProgramData\19c9ae7981a64b79b01246099d97e8eb\ErJuEsmuahE7.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\3a4320d8177e4fbf8a001b73149440a1\cJc2mA1rrXPS5O.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Local\Temp\cb51a4f091a14cac89f4a6451bee5c4b\a90g2dz.exe','');
 DeleteFile('C:\Users\Максим\AppData\Local\Temp\cb51a4f091a14cac89f4a6451bee5c4b\a90g2dz.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\3a4320d8177e4fbf8a001b73149440a1\cJc2mA1rrXPS5O.exe','32');
 DeleteFile('C:\ProgramData\19c9ae7981a64b79b01246099d97e8eb\ErJuEsmuahE7.exe','32');
 DeleteFile('C:\Windows\Temp\g8185.tmp.exe','32');
 DeleteFile('C:\Program Files\MSBuild\2LHBTUKDBXPJA5UL\gWJBEBw&7B.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\adgnetworkwfpdrv.sys','32');
 DeleteFile('C:\Program Files\Windows Media Player\LKVB2W0C01DS5VFJD9BKQC4GTT8E2AM\VnmI#VJR_R.exe','32');
 DeleteFile('C:\ProgramData\35290072f2fb41d9b80686d5b15fdd2c\8v6TkbMKp2f.exe','32');
 DeleteFile('C:\Program Files\VID_0E8F&PID_0003\WVUCKS3GEE1DNCNGUAB8GHK6TE\+pU9nlOZc+.exe','32');
 DeleteFile('C:\ProgramData\634d0e95f479426d8f68fda884b5489a\uNRhdQi.exe','32');
 DeleteFile('C:\ProgramData\776abc287db74a5cb0f65b532602fbaf\tK2cMAJIxRLK.exe','32');
 DeleteFile('C:\ProgramData\c9cfc141c775452e8a42ee75acb78cd5\Ery2lHyIi4J.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\71027245e0cb4bb89bce18c869da41b4\8ATP7x8Y11aXz.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\Temp\0317b2ac241c4f79907032289c5572ce\Ja5Xfcr.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\Temp\0e8fa263ae7540ddb61d52c134a78b97\0lnmw1Q.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\Temp\9a1fa29d85764ea5b1fcc4e5297302ce\WSSTQrGeWW.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\c976810804df4a62a8d14285dd83bbc5\NEhbP5ozzlPh7e.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Local\f9c42986100b47c7af495e47706b9252\ZDrUbWrv3LF3l.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\08fb9231fb504313bf46220f4b6c12a8\2vjjDTqOOP.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\1045170e20dc4accb7a9556aa554fcbb\EAU2oIl4m.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\18d034137f244c138de759eb27c2beec\imLvb9ZlJx.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\3e683629d4a440e992d83a9e04106136\2NZ2s4oo1j.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\4a6bbcb0c48242b7850b243e1c1ed041\WtEKI0LkW.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\694f7a655b5248288a7f6c35fb9a26a5\E2ftxqIVM.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\90a6a0a28072469588517fddba888d09\t7lTlu1DI4.exe','32');
 DeleteFile('C:\Users\Максим\AppData\Roaming\bcb9f1f6073c4022bc26c81ea99a33b1\t5gHEVOWv.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uNRhdQi.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tK2cMAJIxRLK.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ery2lHyIi4J.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8ATP7x8Y11aXz.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ja5Xfcr.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','0lnmw1Q.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WSSTQrGeWW.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NEhbP5ozzlPh7e.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','ZDrUbWrv3LF3l.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2vjjDTqOOP.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','EAU2oIl4m.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','imLvb9ZlJx.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2NZ2s4oo1j.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WtEKI0LkW.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','E2ftxqIVM.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t7lTlu1DI4.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','t5gHEVOWv.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gWJBEBw&7B.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Lahin_Raw_barra_al3eb_b3id_VnmI#VJR_R.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8v6TkbMKp2f.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Lahin_Raw_barra_al3eb_b3id_+pU9nlOZc+.exe');
 DeleteService('adgnetworkwfpdrv');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Если при выполнении скрипта возникнет проблема, уберите команды TerminateProcessByName

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 
Файл HOSTS раньше что то делал с ним, сейчас не трогал.
 

Вложения

  • MEH0S_2017-07-19_23-38-04.7z
    789.8 KB · Просмотры: 4
Сейчас в отъезде, постараюсь ответить вечером или мои коллеги ответят раньше.

Отправлено с моего HTC One через Tapatalk
 
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.5 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\ROAMING\B735496FA9EC42F5A33CECB81E012385\4D0UCH4SY.EXE
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\ROAMING\B735496FA9EC42F5A33CECB81E012385\4D0UCH4SY.EXE
    bl 70282B793557C4098CBEC0373DAF49AA 833024
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\LOCAL\TEMP\5C29B930934647B19A761AACBBED7A9B\AEFZYUGK.EXE
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\LOCAL\TEMP\5C29B930934647B19A761AACBBED7A9B\AEFZYUGK.EXE
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\ROAMING\3B809FED373847628DC15B2A6408D845\TNPRU1JXH.EXE
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\ROAMING\3B809FED373847628DC15B2A6408D845\TNPRU1JXH.EXE
    bl DA8502CAB477C5C4A39D28A6AE00B43C 146944
    zoo %SystemDrive%\PROGRAM FILES\INTEL\KZE7NK9AEB5K\GLQA4SM8-A.EXE
    delall %SystemDrive%\PROGRAM FILES\INTEL\KZE7NK9AEB5K\GLQA4SM8-A.EXE
    zoo %SystemDrive%\PROGRAMDATA\A373105C5CA24C059C8414DC856D2AEE\2PHDC9IBG91.EXE
    delall %SystemDrive%\PROGRAMDATA\A373105C5CA24C059C8414DC856D2AEE\2PHDC9IBG91.EXE
    zoo %SystemDrive%\PROGRAMDATA\E80510966BA34975895BAA1549BB08C8\BYX7Q8OYXXF.EXE
    delall %SystemDrive%\PROGRAMDATA\E80510966BA34975895BAA1549BB08C8\BYX7Q8OYXXF.EXE
    zoo %SystemDrive%\PROGRAMDATA\0509789214AB4185A61A7D1576514906\KUKKWQFFRUC.EXE
    delall %SystemDrive%\PROGRAMDATA\0509789214AB4185A61A7D1576514906\KUKKWQFFRUC.EXE
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\ROAMING\0982CDE5DB4842378A1BD706CA7CF1E6\L2QKEVGZM.EXE
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\ROAMING\0982CDE5DB4842378A1BD706CA7CF1E6\L2QKEVGZM.EXE
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\ROAMING\2C8BC0BCA4A64AF097A357E51419E722\L9FALSVVRK.EXE
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\ROAMING\2C8BC0BCA4A64AF097A357E51419E722\L9FALSVVRK.EXE
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\LOCAL\7694B5D97DBA487BA92117261AC74030\RHTEDSVXX9R3LS.EXE
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\LOCAL\7694B5D97DBA487BA92117261AC74030\RHTEDSVXX9R3LS.EXE
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\ROAMING\C535156A115D41509AA25AA068092FA9\VIG6S5V2XB.EXE
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\ROAMING\C535156A115D41509AA25AA068092FA9\VIG6S5V2XB.EXE
    zoo %SystemDrive%\PROGRAMDATA\1042AFDC3C8A403D829DC04AEEB8D9D7\ZXREELDEQYI.EXE
    delall %SystemDrive%\PROGRAMDATA\1042AFDC3C8A403D829DC04AEEB8D9D7\ZXREELDEQYI.EXE
    zoo %SystemDrive%\PROGRAM FILES (X86)\YIUASKIE\KNLQ0GJS6.DLL
    delall %SystemDrive%\PROGRAM FILES (X86)\YIUASKIE\KNLQ0GJS6.DLL
    zoo %SystemDrive%\PROGRAM FILES (X86)\YIUASKIE\TWWCODY.DLL
    delall %SystemDrive%\PROGRAM FILES (X86)\YIUASKIE\TWWCODY.DLL
    delref HTTP://MAIL.RU/CNT/10445?GP=821268
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.1.30_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EPGJFMBLHACACPHALJKDCJLLKOMDCJPC\12.0.21_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
    delref %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EPGJFMBLHACACPHALJKDCJLLKOMDCJPC\12.0.21_1\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM\7.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF\12.0.28_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM\6.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF\12.0.28_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI\12.0.23_0\ПОИСК MAIL.RU
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU
    delref %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI\12.0.23_0\ПОИСК MAIL.RU
    delref %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\6.0.1_0\ПОИСК MAIL.RU
    zoo %SystemDrive%\PROGRAM FILES\REVIVERSOFT\REGISTRY REVIVER\REGISTRYREVIVER.EXE
    delall %SystemDrive%\PROGRAM FILES\REVIVERSOFT\REGISTRY REVIVER\REGISTRYREVIVER.EXE
    zoo %SystemRoot%\TEMP\G65DF.TMP.EXE
    bl CF01F1F8171D426A2033CB10DFE27408 484352
    addsgn BA6F9BB2BD7D4B720B9C2D754C2190FBDA75303AC171DB340C8BE5F0D9966904AA47D3046802DC1F630368A70F9DB8B3F607A4F9A71CF0E42D3F2FD58E098D8B 15 Trojan.Win64.Eroyee.aok [Kaspersky] 7
    
    zoo %Sys32%\WPDSHEXTAUTOPLAY.EXE
    bl D2CEFDDF0FCFDB505208F536AD4767F8 30208
    addsgn BA6F9BB2BD6D4B720B9C2D754C211005258A303AC173435C8D8B4CC074C6301A6B962FE73E559DCA4FA4A49F0E9B05DE3D20FDC345DAB0BC483F2F2BE2362273 8 Trojan.Win64.Eroyee.aoc [Kaspersky] 7
    
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\ROAMING\7F1E8D5F22A74D458895A98F992AFF25\VHJYIMIOI.EXE
    bl 9C3E49D0F8FAA6E4565CE1386446E941 133120
    addsgn 0DC977BA156A4D720BD4AFB164C81305258AFDF689FA157885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 8 Dangerous.Multi.Generic [Kaspersky] 7
    
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\LOCAL\0E6FF0A62AA846649149253EC3A53422\PVMAYFGIWWRASS.EXE
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР.MEH0S\APPDATA\LOCAL\70A571A1618E4FE6B1CAEF2CD9437A2B\2I6EWEYT4ZAK7.EXE
    chklst
    delvir
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


Соберите и прикрепите контрольный лог uVS.
 
  • Like
Реакции: akok
лог
 

Вложения

  • MEH0S_2017-07-20_15-24-09.7z
    780.7 KB · Просмотры: 3
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Сканирование
 

Вложения

  • FRST.txt
    97.1 KB · Просмотры: 1
  • Addition.txt
    69.5 KB · Просмотры: 1
  • Shortcut.txt
    153.6 KB · Просмотры: 1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION
    HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION
    HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION
    HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION
    HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION
    HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION
    HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION
    HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION
    HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION
    HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION
    HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION
    HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION
    HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION
    HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION
    HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION
    HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION
    HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION
    HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION
    HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION
    HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION
    HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION
    HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION
    HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION
    HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION
    HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION
    HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION
    HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION
    HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION
    HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION
    HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION
    HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION
    HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
    HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
    HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION
    HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION
    HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION
    HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION
    HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION
    HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
    HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION
    HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
    HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION
    HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION
    HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION
    HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    2017-07-19 23:21 - 2017-07-20 15:12 - 00000000 ____D C:\Users\Все пользователи\a373105c5ca24c059c8414dc856d2aee
    2017-07-19 23:21 - 2017-07-20 15:12 - 00000000 ____D C:\Users\Все пользователи\0509789214ab4185a61a7d1576514906
    2017-07-19 23:21 - 2017-07-20 15:12 - 00000000 ____D C:\Users\Администратор.MEH0S\AppData\Roaming\7f1e8d5f22a74d458895a98f992aff25
    2017-07-19 23:21 - 2017-07-20 15:12 - 00000000 ____D C:\Users\Администратор.MEH0S\AppData\Local\70a571a1618e4fe6b1caef2cd9437a2b
    2017-07-19 23:21 - 2017-07-20 15:12 - 00000000 ____D C:\Users\Администратор.MEH0S\AppData\Local\0e6ff0a62aa846649149253ec3a53422
    2017-07-19 23:21 - 2017-07-20 15:12 - 00000000 ____D C:\ProgramData\a373105c5ca24c059c8414dc856d2aee
    2017-07-19 23:21 - 2017-07-20 15:12 - 00000000 ____D C:\ProgramData\0509789214ab4185a61a7d1576514906
    2017-07-19 23:21 - 2017-07-19 23:21 - 00000000 ____D C:\Users\Администратор.MEH0S\AppData\Roaming\646a0ca3b9a145f3a0827496d7e8044c
    2017-07-19 23:21 - 2017-07-19 23:21 - 00000000 ____D C:\Users\Администратор.MEH0S\AppData\Local\9ec674261a2040e7bdc7dcb77349b733
    2017-07-19 23:21 - 2017-07-19 23:21 - 00000000 ____D C:\Users\Администратор.MEH0S\AppData\Local\240b8f44a2d54c9dbf5b1ae47cd18adb
    2017-07-19 22:46 - 2017-07-19 23:09 - 00000000 ____D C:\Users\Максим\AppData\Local\3a4320d8177e4fbf8a001b73149440a1
    2017-07-19 22:46 - 2017-07-19 23:03 - 00000000 ____D C:\Users\Все пользователи\19c9ae7981a64b79b01246099d97e8eb
    2017-07-19 22:46 - 2017-07-19 23:03 - 00000000 ____D C:\ProgramData\19c9ae7981a64b79b01246099d97e8eb
    2017-07-19 19:59 - 2017-07-19 19:59 - 00000000 ____D C:\Users\Максим\AppData\Local\yc
    FirewallRules: [{480514B6-E433-4987-A7F2-E955705E8A8C}] => (Allow) C:\Program Files\UBar\ubar.exe
    FirewallRules: [{FB4F608D-E6F4-4B5B-8C3C-3FF47BD989E2}] => (Allow) C:\Users\Максим\AppData\Local\yc\Application\yc.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Сообщите что с проблемой.
 
  • Like
Реакции: akok
ну реклама пропала, и уже не выскакивает
 

Вложения

  • Fixlog.txt
    16 KB · Просмотры: 1
Хорошо, завершаем:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Спасибо большое, держите.
 

Вложения

  • SecurityCheck.txt
    9.8 KB · Просмотры: 1
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.00 (32-bit) v.5.00.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43916 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.76.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
---------------------------- [ UnwantedApps ] -----------------------------
WildTangent Games v.1.0.0.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Update Installer for WildTangent Games App << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
WildTangent Games App v.4.0.10.5 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Прочтите и выполните Рекомендации после удаления вредоносного ПО
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу