Реклама в браузере

[саша98]

Все браузеры в рекламе. Скачать с интернета ничего не возможно. Скачевается почти до конца, а потом пишет "файл поврежден"

CollectionLog-2014.12.30-19.24.zip

[thyrex]

SavePass

cyti web

Sense

Ge-Force

Shopper-Pro

Time tasks

YTDownloader

Zaxar Games Browser

 

удалите через Установку программ

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

QuarantineFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','');
 QuarantineFile('C:\Program Files (x86)\YTDownloader\updater.exe','');
 QuarantineFile('C:\Program Files (x86)\ShopperPro\updater.exe','');
 QuarantineFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe','');
 QuarantineFile('C:\Users\Вова\AppData\Roaming\SCOWI.exe','');
 QuarantineFile('C:\Program Files (x86)\Sense\df132ace-68b1-4906-b6d8-1c0deac3451f-7.exe','');
 QuarantineFile('C:\Program Files (x86)\Sense\df132ace-68b1-4906-b6d8-1c0deac3451f-6.exe','');
 QuarantineFile('C:\Program Files (x86)\Sense\df132ace-68b1-4906-b6d8-1c0deac3451f-5.exe','');
 QuarantineFile('C:\Program Files (x86)\Sense\df132ace-68b1-4906-b6d8-1c0deac3451f-4.exe','');
 QuarantineFile('C:\Users\Вова\AppData\Roaming\BBHJ.exe','');
 QuarantineFile('C:\Program Files (x86)\Sense\df132ace-68b1-4906-b6d8-1c0deac3451f-2.exe','');
 QuarantineFile('C:\Program Files (x86)\Sense\df132ace-68b1-4906-b6d8-1c0deac3451f-11.exe','');
 QuarantineFile('C:\Program Files (x86)\Sense\Sense-codedownloader.exe','');
 QuarantineFile('C:\Program Files (x86)\Ge-Force\b3a2de55-1200-4b64-80a2-8ac77e67cedf-7.exe','');
 QuarantineFile('C:\Program Files (x86)\Ge-Force\b3a2de55-1200-4b64-80a2-8ac77e67cedf-6.exe','');
 QuarantineFile('C:\Program Files (x86)\Ge-Force\b3a2de55-1200-4b64-80a2-8ac77e67cedf-5.exe','');
 QuarantineFile('C:\Program Files (x86)\Ge-Force\b3a2de55-1200-4b64-80a2-8ac77e67cedf-4.exe','');
 QuarantineFile('C:\Program Files (x86)\Ge-Force\b3a2de55-1200-4b64-80a2-8ac77e67cedf-2.exe','');
 QuarantineFile('C:\Program Files (x86)\Ge-Force\b3a2de55-1200-4b64-80a2-8ac77e67cedf-11.exe','');
 QuarantineFile('C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe','');
 QuarantineFile('C:\Program Files (x86)\SavePass 1.1\17ce670e-4c78-4329-a0d5-39d8afc47fa8-7.exe','');
 QuarantineFile('C:\Program Files (x86)\SavePass 1.1\17ce670e-4c78-4329-a0d5-39d8afc47fa8-6.exe','');
 QuarantineFile('C:\Program Files (x86)\SavePass 1.1\17ce670e-4c78-4329-a0d5-39d8afc47fa8-5.exe','');
 QuarantineFile('C:\Program Files (x86)\SavePass 1.1\17ce670e-4c78-4329-a0d5-39d8afc47fa8-4.exe','');
 QuarantineFile('C:\Program Files (x86)\SavePass 1.1\17ce670e-4c78-4329-a0d5-39d8afc47fa8-2.exe','');
 QuarantineFile('C:\Program Files (x86)\SavePass 1.1\17ce670e-4c78-4329-a0d5-39d8afc47fa8-11.exe','');
 DelBHO('{11111111-1111-1111-1111-110611341129}');
 DelBHO('{11111111-1111-1111-1111-110611901159}');
 DelBHO('{11111111-1111-1111-1111-110611911129}');
 DelBHO('{A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C}');
 DelBHO('{aa2fac44-d24d-4fed-9e32-397d138365f1}');
 DelBHO('{C0173A2E-3103-4954-AB8D-CD3C1D4B082A}');
 QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1455.0.0.0\jsdrv.exe','');
 SetServiceStart('SPDRIVER_1455.0.0.0', 4);
 DeleteService('SPDRIVER_1455.0.0.0');
 SetServiceStart('sbmntr', 4);
 DeleteService('sbmntr');
 QuarantineFile('C:\Windows\system32\windhcpclient.exe','');
 SetServiceStart('Update Cyti Web', 4);
 DeleteService('Update Cyti Web');
 QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1455.0.0.0\jsdrv.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{14d0f170-74e0-4cbf-843b-3db832216c50}Gw64.sys','');
 QuarantineFile('C:\PROGRA~2\YTDOWN~1\sbmntr.sys','');
 QuarantineFile('C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-bho.dll','');
 QuarantineFile('C:\Program Files (x86)\Sense\Sense-bho.dll','');
 QuarantineFile('C:\ProgramData\ShopperPro\ShopperPro.dll','');
 QuarantineFile('C:\Users\Вова\AppData\Roaming\WebOptimizer\bho.dll','');
 QuarantineFile('C:\Program Files (x86)\Cyti Web\bin\CytiWeb.expextdll.dll','');
 QuarantineFile('C:\Program Files (x86)\Cyti Web\bin\{14d0f170-74e0-4cbf-843b-3db832216c50}.dll','');
 QuarantineFile('C:\Program Files (x86)\Ge-Force\Ge-Force-bho.dll','');
 QuarantineFile('C:\Program Files (x86)\Cyti Web\CytiWebbho.dll','');
 TerminateProcessByName('c:\program files (x86)\ytdownloader\ytdownloader.exe');
 QuarantineFile('c:\program files (x86)\ytdownloader\ytdownloader.exe','');
 TerminateProcessByName('c:\program files (x86)\cyti web\bin\utilcytiweb.exe');
 QuarantineFile('c:\program files (x86)\cyti web\bin\utilcytiweb.exe','');
 TerminateProcessByName('c:\program files (x86)\cyti web\updatecytiweb.exe');
 QuarantineFile('c:\program files (x86)\cyti web\updatecytiweb.exe','');
 TerminateProcessByName('c:\programdata\schedule\timetasks.exe');
 QuarantineFile('c:\programdata\schedule\timetasks.exe','');
 TerminateProcessByName('c:\program files (x86)\sense\sense-bg.exe');
 QuarantineFile('c:\program files (x86)\sense\sense-bg.exe','');
 TerminateProcessByName('c:\program files (x86)\savepass 1.1\savepass 1.1-bg.exe');
 QuarantineFile('c:\program files (x86)\savepass 1.1\savepass 1.1-bg.exe','');
 TerminateProcessByName('c:\program files (x86)\shopperpro\jsdriver\1455.0.0.0\jsdrv.exe');
 QuarantineFile('c:\program files (x86)\shopperpro\jsdriver\1455.0.0.0\jsdrv.exe','');
 TerminateProcessByName('c:\program files (x86)\ge-force\ge-force-bg.exe');
 QuarantineFile('c:\program files (x86)\ge-force\ge-force-bg.exe','');
 TerminateProcessByName('c:\program files (x86)\ytdownloader\downloadhelper.exe');
 QuarantineFile('c:\program files (x86)\ytdownloader\downloadhelper.exe','');
 TerminateProcessByName('C:\Program Files (x86)\Cyti Web\bin\CytiWeb.PurBrowse64.exe');
 QuarantineFile('C:\Program Files (x86)\Cyti Web\bin\CytiWeb.PurBrowse64.exe','');
 TerminateProcessByName('c:\program files (x86)\cyti web\bin\cytiweb.expext.exe');
 QuarantineFile('c:\program files (x86)\cyti web\bin\cytiweb.expext.exe','');
 TerminateProcessByName('C:\Program Files (x86)\Cyti Web\bin\CytiWeb.BrowserAdapter64.exe');
 QuarantineFile('C:\Program Files (x86)\Cyti Web\bin\CytiWeb.BrowserAdapter64.exe','');
 TerminateProcessByName('c:\program files (x86)\cyti web\bin\cytiweb.browseradapter.exe');
 QuarantineFile('c:\program files (x86)\cyti web\bin\cytiweb.browseradapter.exe','');
 TerminateProcessByName('C:\Program Files (x86)\SavePass 1.1\17ce670e-4c78-4329-a0d5-39d8afc47fa8-64.exe');
 QuarantineFile('C:\Program Files (x86)\SavePass 1.1\17ce670e-4c78-4329-a0d5-39d8afc47fa8-64.exe','');
 DeleteFile('C:\Program Files (x86)\SavePass 1.1\17ce670e-4c78-4329-a0d5-39d8afc47fa8-64.exe','32');
 DeleteFile('c:\program files (x86)\cyti web\bin\cytiweb.browseradapter.exe','32');
 DeleteFile('C:\Program Files (x86)\Cyti Web\bin\CytiWeb.BrowserAdapter64.exe','32');
 DeleteFile('c:\program files (x86)\cyti web\bin\cytiweb.expext.exe','32');
 DeleteFile('C:\Program Files (x86)\Cyti Web\bin\CytiWeb.PurBrowse64.exe','32');
 DeleteFile('c:\program files (x86)\ytdownloader\downloadhelper.exe','32');
 DeleteFile('c:\program files (x86)\ge-force\ge-force-bg.exe','32');
 DeleteFile('c:\program files (x86)\shopperpro\jsdriver\1455.0.0.0\jsdrv.exe','32');
 DeleteFile('c:\program files (x86)\savepass 1.1\savepass 1.1-bg.exe','32');
 DeleteFile('c:\program files (x86)\sense\sense-bg.exe','32');
 DeleteFile('c:\programdata\schedule\timetasks.exe','32');
 DeleteFile('c:\program files (x86)\cyti web\updatecytiweb.exe','32');
 DeleteFile('c:\program files (x86)\cyti web\bin\utilcytiweb.exe','32');
 DeleteFile('c:\program files (x86)\ytdownloader\ytdownloader.exe','32');
 DeleteFile('C:\Program Files (x86)\Cyti Web\CytiWebbho.dll','32');
 DeleteFile('C:\Program Files (x86)\Ge-Force\Ge-Force-bho.dll','32');
 DeleteFile('C:\Program Files (x86)\Cyti Web\bin\{14d0f170-74e0-4cbf-843b-3db832216c50}.dll','32');
 DeleteFile('C:\Program Files (x86)\Cyti Web\bin\CytiWeb.expextdll.dll','32');
 DeleteFile('C:\Users\Вова\AppData\Roaming\WebOptimizer\bho.dll','32');
 DeleteFile('C:\ProgramData\ShopperPro\ShopperPro.dll','32');
 DeleteFile('C:\Program Files (x86)\Sense\Sense-bho.dll','32');
 DeleteFile('C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-bho.dll','32');
 DeleteFile('C:\PROGRA~2\YTDOWN~1\sbmntr.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{14d0f170-74e0-4cbf-843b-3db832216c50}Gw64.sys','32');
 DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1455.0.0.0\jsdrv.sys','32');
 DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1455.0.0.0\jsdrv.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SPDriver');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SPDriver');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader');
 DeleteFile('C:\Users\Вова\AppData\Local\Amigo\Application\ok.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
 DeleteFile('C:\Users\Вова\AppData\Local\Amigo\Application\vk.exe','32');
 DeleteFile('C:\Program Files (x86)\SavePass 1.1\17ce670e-4c78-4329-a0d5-39d8afc47fa8-11.exe','32');
 DeleteFile('C:\Program Files (x86)\SavePass 1.1\17ce670e-4c78-4329-a0d5-39d8afc47fa8-2.exe','32');
 DeleteFile('C:\Program Files (x86)\SavePass 1.1\17ce670e-4c78-4329-a0d5-39d8afc47fa8-4.exe','32');
 DeleteFile('C:\Program Files (x86)\SavePass 1.1\17ce670e-4c78-4329-a0d5-39d8afc47fa8-5.exe','32');
 DeleteFile('C:\Program Files (x86)\SavePass 1.1\17ce670e-4c78-4329-a0d5-39d8afc47fa8-6.exe','32');
 DeleteFile('C:\Program Files (x86)\SavePass 1.1\17ce670e-4c78-4329-a0d5-39d8afc47fa8-7.exe','32');
 DeleteFile('C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe','32');
 DeleteFile('C:\Program Files (x86)\Ge-Force\b3a2de55-1200-4b64-80a2-8ac77e67cedf-11.exe','32');
 DeleteFile('C:\Program Files (x86)\Ge-Force\b3a2de55-1200-4b64-80a2-8ac77e67cedf-2.exe','32');
 DeleteFile('C:\Program Files (x86)\Ge-Force\b3a2de55-1200-4b64-80a2-8ac77e67cedf-4.exe','32');
 DeleteFile('C:\Program Files (x86)\Ge-Force\b3a2de55-1200-4b64-80a2-8ac77e67cedf-5.exe','32');
 DeleteFile('C:\Program Files (x86)\Ge-Force\b3a2de55-1200-4b64-80a2-8ac77e67cedf-6.exe','32');
 DeleteFile('C:\Program Files (x86)\Ge-Force\b3a2de55-1200-4b64-80a2-8ac77e67cedf-7.exe','32');
 DeleteFile('C:\Program Files (x86)\Sense\Sense-codedownloader.exe','32');
 DeleteFile('C:\Program Files (x86)\Sense\df132ace-68b1-4906-b6d8-1c0deac3451f-11.exe','32');
 DeleteFile('C:\Program Files (x86)\Sense\df132ace-68b1-4906-b6d8-1c0deac3451f-2.exe','32');
 DeleteFile('C:\Users\Вова\AppData\Roaming\BBHJ.exe','32');
 DeleteFile('C:\Program Files (x86)\Sense\df132ace-68b1-4906-b6d8-1c0deac3451f-4.exe','32');
 DeleteFile('C:\Program Files (x86)\Sense\df132ace-68b1-4906-b6d8-1c0deac3451f-5.exe','32');
 DeleteFile('C:\Program Files (x86)\Sense\df132ace-68b1-4906-b6d8-1c0deac3451f-6.exe','32');
 DeleteFile('C:\Program Files (x86)\Sense\df132ace-68b1-4906-b6d8-1c0deac3451f-7.exe','32');
 DeleteFile('C:\Users\Вова\AppData\Roaming\SCOWI.exe','32');
 DeleteFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe','32');
 DeleteFile('C:\Program Files (x86)\ShopperPro\updater.exe','32');
 DeleteFile('C:\Program Files (x86)\YTDownloader\updater.exe','32');
 DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\YTDownloaderUpd','64');
 DeleteFile('C:\Windows\system32\Tasks\YTDownloader','64');
 DeleteFile('C:\Windows\system32\Tasks\temp_df132ace-68b1-4906-b6d8-1c0deac3451f-2','64');
 DeleteFile('C:\Windows\system32\Tasks\temp_17ce670e-4c78-4329-a0d5-39d8afc47fa8-6','64');
 DeleteFile('C:\Windows\system32\Tasks\temp_17ce670e-4c78-4329-a0d5-39d8afc47fa8-2','64');
 DeleteFile('C:\Windows\system32\Tasks\SPDriver','64');
 DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd','64');
 DeleteFile('C:\Windows\system32\Tasks\ShopperPro','64');
 DeleteFile('C:\Windows\system32\Tasks\df132ace-68b1-4906-b6d8-1c0deac3451f-7','64');
 DeleteFile('C:\Windows\system32\Tasks\df132ace-68b1-4906-b6d8-1c0deac3451f-6','64');
 DeleteFile('C:\Windows\system32\Tasks\df132ace-68b1-4906-b6d8-1c0deac3451f-5','64');
 DeleteFile('C:\Windows\system32\Tasks\df132ace-68b1-4906-b6d8-1c0deac3451f-4','64');
 DeleteFile('C:\Windows\system32\Tasks\df132ace-68b1-4906-b6d8-1c0deac3451f-2','64');
 DeleteFile('C:\Windows\system32\Tasks\df132ace-68b1-4906-b6d8-1c0deac3451f-11','64');
 DeleteFile('C:\Windows\system32\Tasks\df132ace-68b1-4906-b6d8-1c0deac3451f-1','64');
 DeleteFile('C:\Windows\system32\Tasks\b3a2de55-1200-4b64-80a2-8ac77e67cedf-7','64');
 DeleteFile('C:\Windows\system32\Tasks\b3a2de55-1200-4b64-80a2-8ac77e67cedf-6','64');
 DeleteFile('C:\Windows\system32\Tasks\b3a2de55-1200-4b64-80a2-8ac77e67cedf-5','64');
 DeleteFile('C:\Windows\system32\Tasks\b3a2de55-1200-4b64-80a2-8ac77e67cedf-4','64');
 DeleteFile('C:\Windows\system32\Tasks\b3a2de55-1200-4b64-80a2-8ac77e67cedf-1','64');
 DeleteFile('C:\Windows\system32\Tasks\b3a2de55-1200-4b64-80a2-8ac77e67cedf-11','64');
 DeleteFile('C:\Windows\system32\Tasks\17ce670e-4c78-4329-a0d5-39d8afc47fa8-7','64');
 DeleteFile('C:\Windows\system32\Tasks\17ce670e-4c78-4329-a0d5-39d8afc47fa8-6','64');
 DeleteFile('C:\Windows\system32\Tasks\17ce670e-4c78-4329-a0d5-39d8afc47fa8-5','64');
 DeleteFile('C:\Windows\system32\Tasks\17ce670e-4c78-4329-a0d5-39d8afc47fa8-4','64');
 DeleteFile('C:\Windows\system32\Tasks\17ce670e-4c78-4329-a0d5-39d8afc47fa8-2','64');
 DeleteFile('C:\Windows\system32\Tasks\17ce670e-4c78-4329-a0d5-39d8afc47fa8-11','64');
 DeleteFile('C:\Windows\system32\Tasks\17ce670e-4c78-4329-a0d5-39d8afc47fa8-1','64');
 DeleteFile('C:\Windows\Tasks\SCOWI.job','64');
 DeleteFile('C:\Windows\Tasks\df132ace-68b1-4906-b6d8-1c0deac3451f-7.job','64');
 DeleteFile('C:\Windows\Tasks\df132ace-68b1-4906-b6d8-1c0deac3451f-6.job','64');
 DeleteFile('C:\Windows\Tasks\df132ace-68b1-4906-b6d8-1c0deac3451f-5_user.job','64');
 DeleteFile('C:\Windows\Tasks\df132ace-68b1-4906-b6d8-1c0deac3451f-5.job','64');
 DeleteFile('C:\Windows\Tasks\df132ace-68b1-4906-b6d8-1c0deac3451f-4.job','64');
 DeleteFile('C:\Windows\Tasks\df132ace-68b1-4906-b6d8-1c0deac3451f-2.job','64');
 DeleteFile('C:\Windows\Tasks\df132ace-68b1-4906-b6d8-1c0deac3451f-11.job','64');
 DeleteFile('C:\Windows\Tasks\df132ace-68b1-4906-b6d8-1c0deac3451f-1.job','64');
 DeleteFile('C:\Windows\Tasks\BBHJ.job','64');
 DeleteFile('C:\Windows\Tasks\b3a2de55-1200-4b64-80a2-8ac77e67cedf-7.job','64');
 DeleteFile('C:\Windows\Tasks\b3a2de55-1200-4b64-80a2-8ac77e67cedf-6.job','64');
 DeleteFile('C:\Windows\Tasks\b3a2de55-1200-4b64-80a2-8ac77e67cedf-5_user.job','64');
 DeleteFile('C:\Windows\Tasks\b3a2de55-1200-4b64-80a2-8ac77e67cedf-5.job','64');
 DeleteFile('C:\Windows\Tasks\b3a2de55-1200-4b64-80a2-8ac77e67cedf-4.job','64');
 DeleteFile('C:\Windows\Tasks\b3a2de55-1200-4b64-80a2-8ac77e67cedf-1.job','64');
 DeleteFile('C:\Windows\Tasks\17ce670e-4c78-4329-a0d5-39d8afc47fa8-7.job','64');
 DeleteFile('C:\Windows\Tasks\b3a2de55-1200-4b64-80a2-8ac77e67cedf-11.job','64');
 DeleteFile('C:\Windows\Tasks\17ce670e-4c78-4329-a0d5-39d8afc47fa8-6.job','64');
 DeleteFile('C:\Windows\Tasks\17ce670e-4c78-4329-a0d5-39d8afc47fa8-5_user.job','64');
 DeleteFile('C:\Windows\Tasks\17ce670e-4c78-4329-a0d5-39d8afc47fa8-5.job','64');
 DeleteFile('C:\Windows\Tasks\17ce670e-4c78-4329-a0d5-39d8afc47fa8-4.job','64');
 DeleteFile('C:\Windows\Tasks\17ce670e-4c78-4329-a0d5-39d8afc47fa8-2.job','64');
 DeleteFile('C:\Windows\Tasks\17ce670e-4c78-4329-a0d5-39d8afc47fa8-11.job','64');
 DeleteFile('C:\Windows\Tasks\17ce670e-4c78-4329-a0d5-39d8afc47fa8-1.job','64');

 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

 

Сделайте новые логи

[саша98]

Запрос отправил, сообщения пока нет 

 [KLAN-2385935495]

ClearLNK-30.12.2014_21-50.log

CollectionLog-2014.12.30-21.58.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\3C5C~1\AppData\Local\Temp\nsnD8B5.tmp\b3a2de55-1200-4b64-80a2-8ac77e67cedf-2.exe','');
 QuarantineFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll','');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Maintenance\SMupdate2','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\SMupdate3','64');
 DeleteFile('C:\Windows\system32\Tasks\SMupdate1','64');
 DeleteFile('C:\Windows\system32\Tasks\temp_b3a2de55-1200-4b64-80a2-8ac77e67cedf-2','64');
 DeleteFile('C:\Windows\system32\drivers\{14d0f170-74e0-4cbf-843b-3db832216c50}Gw64.sys','32');
 DeleteFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll','32');
 DeleteFile('C:\Users\3C5C~1\AppData\Local\Temp\nsnD8B5.tmp\b3a2de55-1200-4b64-80a2-8ac77e67cedf-2.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

 

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f48da7155dc545a5e9654baedf0632f9&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f48da7155dc545a5e9654baedf0632f9&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f48da7155dc545a5e9654baedf0632f9&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f48da7155dc545a5e9654baedf0632f9&text=
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f48da7155dc545a5e9654baedf0632f9&text=

 

Сделайте новые логи по правилам (только пункт 3).

+

лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

[саша98]

"Для создания архива с карантином выполните скрипт"

Пишет: Скрипт выполнен, без ошибок.

Этот файл нигде не могу найти, ни в папке  AVZ, ни на диске С

Профиксил

Вот логи

CollectionLog-2014.12.30-22.43.zip

AdwCleanerR1.txt

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

[саша98]

Новые логи.

Только вот программа FRST создала дополнительный лог Shortcut.txt

AdwCleanerS1.txt

Addition.txt

FRST.txt

Shortcut.txt

[mike 1]

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

HKU\S-1-5-21-1671947272-2465842328-804535116-1000\...\Run: [ZaxarGameBrowser] => C:/ProgramData/Zaxar/ZaxarLoader.exe /verysilent
HKU\S-1-5-21-1671947272-2465842328-804535116-1000\...\RunOnce: [Application Restart #2] => C:\Users\>24\AppData\Local\Yandex\YandexBrowser\Application\browser.exe  --http://searchnova.ru --flag-switches-begin --flag-switches-end --disable-ssl-false-start --disable-direct-npapi-requests  (the data entry has 111 more characters).
HKU\S-1-5-21-1671947272-2465842328-804535116-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://multi-search.org
URLSearchHook: HKU\S-1-5-21-1671947272-2465842328-804535116-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
FF Extension: Info Enhancer for Firefox - C:\Users\Вова\AppData\Roaming\Mozilla\Firefox\Profiles\41uxdg7u.default\Extensions\dldcbakcjliccckkmfjcblhciilpdcil@infoenhancer.com [2014-11-04]
FF Extension: WebOptimizer - C:\Users\Вова\AppData\Roaming\Mozilla\Firefox\Profiles\41uxdg7u.default\Extensions\{2BA52DF5-983C-4CEE-817C-A6053DC0E326} [2014-11-30]
FF Extension: PhoenixGuard - C:\Users\Вова\AppData\Roaming\Mozilla\Firefox\Profiles\41uxdg7u.default\Extensions\jid1-mQ4tv5noZTml7A@jetpack.xpi [2014-11-22]
FF Extension: Everysale.Net - C:\Users\Вова\AppData\Roaming\Mozilla\Firefox\Profiles\41uxdg7u.default\Extensions\{4d31e4c9-ce86-4b0f-8ffb-56345a8b5f6c}.xpi [2014-11-22]
CHR HKLM-x32\...\Chrome\Extension: [ajkpgdiejopejkllbihfkpcbmgclpkij] - No Path
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - No Path
CHR HKLM-x32\...\Chrome\Extension: [iapdadaeaebaoigieglfababneoaifnf] - No Path
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path
CHR HKLM-x32\...\Chrome\Extension: [pleoihkpdomoijdpaibdciidfoeedamm] - No Path
2014-12-14 12:57 - 2014-12-31 23:13 - 00000000 ____D () C:\Users\Вова\AppData\Local\CrashDumps
Folder: C:\Users\Вова\AppData\Roaming\.mono
Folder: C:\Users\Вова\AppData\Roaming\WebTest
2014-12-30 21:40 - 2014-11-30 19:18 - 00000000 ____D () C:\Users\Вова\AppData\Roaming\WebOptimizer
Task: {00DDF33C-FC93-4809-9F72-D6AAC117B23F} - \b3a2de55-1200-4b64-80a2-8ac77e67cedf-5 No Task File <==== ATTENTION
Task: {04E22E5B-643E-4A5D-9C8F-1D2F7CF73910} - \RegClean Pro_UPDATES No Task File <==== ATTENTION
Task: {099E1346-412A-4047-9ABC-43D6741BB4D7} - \df132ace-68b1-4906-b6d8-1c0deac3451f-7 No Task File <==== ATTENTION
Task: {09D7FD5A-047F-44BF-94D4-A020194E1CD8} - \b3a2de55-1200-4b64-80a2-8ac77e67cedf-1 No Task File <==== ATTENTION
Task: {18B8A5DC-9B76-4F55-BA04-84F154C84CF5} - \RegClean Pro No Task File <==== ATTENTION
Task: {1AA2CA50-702F-4D77-AE44-E01842C9E162} - \Microsoft\Windows\Maintenance\SMupdate2 No Task File <==== ATTENTION
Task: {319DF2F7-F572-4DD2-8457-ABB71EB69552} - \b3a2de55-1200-4b64-80a2-8ac77e67cedf-7 No Task File <==== ATTENTION
Task: {42131C01-599C-4775-A96D-AE0AB6299EFD} - \b3a2de55-1200-4b64-80a2-8ac77e67cedf-6 No Task File <==== ATTENTION
Task: {531C9311-EDC4-424B-8373-E823A0629BFF} - \df132ace-68b1-4906-b6d8-1c0deac3451f-4 No Task File <==== ATTENTION
Task: {8A8D141C-A28B-4B83-9BB4-5980FC83C34C} - \RegClean Pro_DEFAULT No Task File <==== ATTENTION
Task: {9D0F09F4-B030-4F1A-8A7B-A81FAF4469BC} - \temp_17ce670e-4c78-4329-a0d5-39d8afc47fa8-6 No Task File <==== ATTENTION
Task: {A30A678E-2317-4CB8-A34C-3B18E34C40A9} - \temp_b3a2de55-1200-4b64-80a2-8ac77e67cedf-2 No Task File <==== ATTENTION
Task: {DED3EAF7-B908-4F4E-9DFA-9C9C834825EF} - \Microsoft\Windows\Multimedia\SMupdate3 No Task File <==== ATTENTION
Task: {F90A2CC6-8496-422A-8E96-7A8FABAB7D70} - \17ce670e-4c78-4329-a0d5-39d8afc47fa8-7 No Task File <==== ATTENTION
EmptyTemp:
Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[саша98]

Лог готов

Fixlog.txt

[mike 1]

Что с проблемой?

[саша98]

@mike 1, спасибо!))) Эта проблема решена)))) 

Изменено 1 января, 2015 пользователем mike 1

[mike 1]

• Скачайте DelFix и сохраните утилиту на Рабочем столе

Запустите DelFix

Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

Да

В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

Нажмите на кнопку Run

После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt

Прикрепите этот отчет в вашей теме.

 

 

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

 

[саша98]

Вот

DelFix.txt

SecurityCheck.txt

[mike 1]

Обновите:

 

Adobe Flash Player 15 ActiveX v.15.0.0.246 Внимание! Скачать обновления

Adobe Flash Player 15 Plugin v.15.0.0.246 Внимание! Скачать обновления

 

Советы и рекомендации после лечения компьютера

 

[саша98]

@mike 1,готово!))) Спасибо!)))