Прошу помочь в лечении Trojan.Multi.Accesstr.a.sh

[victuar]

Антивирус Касперского Internet Security обнаружил на удалённой машине :Trojan.Multi.Accesstr.a.sh. Лечение невозможно. Архив с логами прилагаю.

CollectionLog-2018.10.11-10.47.zip

[regist]

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.url', '');
 QuarantineFile('C:\Users\Аделина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Аделина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
 QuarantineFile('C:\Users\Аделина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\установка-лечение-читать!!!.txt', '');
 QuarantineFile('C:\Users\Аделина\Desktop\Internet Explorer.lnk', '');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.url', '32');
 DeleteFile('C:\Users\Аделина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\установка-лечение-читать!!!.txt', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Аделина^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^установка-лечение-читать!!!.txt','x32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в АВЗ:

 

 

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 11 октября, 2018 пользователем regist

[victuar]

Добрый день! Спасибо за быстрое реагирование!

Ссылка на результаты проверки VirusDetector  https://virusinfo.info/virusdetector/report.php?md5=D124A4A63B09A9DE727DBC8198F84B31

Ссылка на обсуждение https://virusinfo.info/showthread.php?t=220527

 

AVZ ругается на строку в присланном Вами скрипте: "Тоо many actual parameters в позиции 13.11"

 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^???????^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^?????????-???????-??????!!!.txt', '32');   

[regist]

 

 

AVZ ругается на строку в присланном Вами скрипте: "Тоо many actual parameters в позиции 13.11" RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^???????^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^?????????-???????-??????!!!.txt', '32');

а вы точно по инструкции всё делаете?

 

Как выполнить скрипт в AVZ?
 
Утилита AVZ находится в папке ..\AutoLogger\AVZ, т.е. там, откуда Вы запускали автоматический сборщик логов.

Только что проверил. В этом AVZ не ругается.

да и то что у вас русские символы заменились на вопросы говорит о том, что вы пытаетесь использовать устаревшую версию AVZ.

[victuar]

Да, извините, я скачал с сайта с VirusDetector старую версию AVZ (ссылка на шаге 1). Теперь  все скрипты выполнились.

Высылаю ClearLnk лог и ответ от newvirus@kaspersky.com:

 

KLAN-8900957907

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
iexplore.url

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
Launch Internet Explorer Browser.lnk - UDS:DangerousObject.Multi.Generic
Internet Explorer (No Add-ons).lnk - UDS:DangerousObject.Multi.Generic
Internet Explorer.lnk - UDS:DangerousObject.Multi.Generic
bcqr00003.dat - UDS:DangerousObject.Multi.Generic
bcqr00004.dat - UDS:DangerousObject.Multi.Generic
bcqr00005.dat - UDS:DangerousObject.Multi.Generic
bcqr00006.dat - UDS:DangerousObject.Multi.Generic
bcqr00009.dat - UDS:DangerousObject.Multi.Generic
bcqr00010.dat - UDS:DangerousObject.Multi.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Также высылаю новый лог автоматического сборщика (после лечения)

ClearLNK-2018.10.11_15.10.50.log

CollectionLog-2018.10.11-15.45.zip

[regist]

1) деинсталируйте

Weatherbar [20130930]-->MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360}
WinDealist [20131124]-->MsiExec.exe /X{B8F10001-9552-4F40-8F61-6765CD22DD9E}

2) 

Java 8 Update 91 [20160630]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83218091F0}

устаревшая версия, её тоже деинсталируйте. Если она нужна, то потом скачайте и поставьте свежую.

 

3) "Пофиксите" в HijackThis:

O2 - HKLM\..\BHO: windealist.BHO - {B8F10001-9552-4F40-8F61-6765CD22DD9E} - C:\Program Files\windealist\Internet Explorer\windealist.dll (file missing)
O4 - HKCU\..\RunOnce: [Application Restart #3] = C:\Users\Аделина\AppData\Local\Yandex\YandexBrowser\Application\browser.exe  --flag-switches-begin --flag-switches-end --flag-switches-begin --flag-switches-end --disable-ssl-false-start --disable-client-side-phishing-detection --disable-breadcrumbs-api --gaia-profile-info --disable-sync-search-engines --disable-sync-tabs --disable-sync-themes --sync-try-ssltcp-first-for-xmpp --restore-last-session http://www.rambler.ru/ (file missing)
O4 - MSConfig\startupreg: BlueStacks Agent [command] = C:\Program Files\Bluestacks\HD-Agent.exe (HKCU) (2017/10/03) (file missing)
O4 - MSConfig\startupreg: CA Research [command] = C:\Users\Аделина\AppData\Local\CA Research\CAResearch.exe (HKLM) (2013/12/26) (file missing)
O4 - MSConfig\startupreg: CoolStartUp [command] = C:\Program Files\OSTEC\CoolGram\CoolGramS.exe (HKLM) (2017/10/03) (file missing)
O4 - MSConfig\startupreg: Discord [command] = C:\Users\Аделина\AppData\Local\Discord\app-0.0.298\Discord.exe (HKCU) (2017/10/03) (file missing)
O4 - MSConfig\startupreg: LogMeIn Hamachi Ui [command] = C:\hamachi-2-ui.exe --auto-start (HKLM) (2015/08/22) (file missing)
O4 - MSConfig\startupreg: RaidCall [command] = C:\Program Files\RaidCall.RU\raidcall.exe (HKLM) (2017/10/03) (file missing)
O4 - MSConfig\startupreg: Safe-Ads [command] = C:\Users\Аделина\AppData\Local\delta\delta\1.3.28.0\safeads.exe (HKCU) (2015/11/28) (file missing)
O4 - MSConfig\startupreg: Skype [command] = C:\Program Files\Skype\Phone\Skype.exe /minimized /regrun (HKCU) (2015/09/04) (file missing)
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O22 - Task: Raidcall_EN - C:\Program Files\RaidCall.RU\raidcall.exe (file missing)
O22 - Task: \Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan - c:\Program Files\Microsoft Security Client\MpCmdRun.exe Scan -ScheduleJob -RestrictPrivileges (file missing)
O23 - Service S3: BlueStacks Android Service  - (BstHdAndroidSvc) - C:\Program Files\Bluestacks\HD-Service.exe BstHdAndroidSvc Android (file missing)
O23 - Service S3: BlueStacks Plus Android Service  - (BstHdPlusAndroidSvc) - C:\Program Files\Bluestacks\HD-Plus-Service.exe BstHdPlusAndroidSvc Android (file missing)

 

4)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

[victuar]

Всё выполнил, прилагаю лог AdwCleaner.

AdwCleanerS02.txt

[regist]

Рассширения от Яндекс сами ставили? Если нет, то

 

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[victuar]

Всё сделал по инструкции,лог AdwCleaner прилагаю. Но Антивирус Касперского по-прежнему сигнализирует о наличии Trojan.Multi.Accesstr.a.sh в системной памяти.

AdwCleanerC04.txt

[regist]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

[victuar]

Выполнил указанные Вами действия.

NEW_2018-10-12_14-55-27_v4.1.7z

[regist]

1) Media View - деинсталируйте. Там у вас две такие рекламные программы с одним именем должны быть. Деинсталируйте обе.

Media Player - также деинсталируйте.

 

2)

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.1 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   deltmp
   ;---------command-block---------
   delref %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
   bl CA5BCAC7BBA74ED47B540A80C88B8927 544
   zoo %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3411243170-982897956-1389545595-1000\$IK7JYTP.EXE
   delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3411243170-982897956-1389545595-1000\$IK7JYTP.EXE
   zoo %SystemDrive%\PROGRAM FILES\LYRMIX\133.XPI
   delall %SystemDrive%\PROGRAM FILES\LYRMIX\133.XPI
   zoo %SystemDrive%\PROGRAM FILES\LYRMIX\133.CRX
   delall %SystemDrive%\PROGRAM FILES\LYRMIX\133.CRX
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {B8F10001-9552-4F40-8F61-6765CD22DD9E}\[CLSID]
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {8479696E-499A-4D3D-B4F3-B5B9A5498BFF}\[CLSID]
   delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
   delref {74F475FA-6C75-43BD-AAB9-ECDA6184F600}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {5A8FF410-F3CE-4844-B31B-F18D911239E8}\[CLSID]
   delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
   delref {CAFEEFAC-DEC7-0000-0001-ABCDEFFEDCBA}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
   delref {17177FAA-3830-43D3-A70B-FDE532676B1E}\[CLSID]
   delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
   delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
   zoo %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\CH\MEDIAVIEWV1ALPHA5725.CRX
   delall %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\CH\MEDIAVIEWV1ALPHA5725.CRX
   zoo %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA8669\CH\MEDIAVIEWV1ALPHA8669.CRX
   delall %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA8669\CH\MEDIAVIEWV1ALPHA8669.CRX
   zoo %SystemDrive%\PROGRAM FILES\BETTERSURF\BETTERSURFPLUSV1\FF
   delall %SystemDrive%\PROGRAM FILES\BETTERSURF\BETTERSURFPLUSV1\FF
   zoo %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\XPOM\APPLICATION\28.0.1500.74\DELEGATE_EXECUTE.EXE
   delall %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\XPOM\APPLICATION\28.0.1500.74\DELEGATE_EXECUTE.EXE
   zoo %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\XPOM\APPLICATION\CHROME.EXE
   delall %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\XPOM\APPLICATION\CHROME.EXE
   zoo %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_91\BIN\WSDETECT.DLL
   delall %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_91\BIN\WSDETECT.DLL
   delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
   apply
   
   dirzooex %SystemDrive%\PROGRAM FILES\MEDIAPLAYERV1\MEDIAPLAYERV1ALPHA579\FF
   dirzooex %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\FF
   delref HTTPS://SECURE.VUUPC.COM/
   bl FB4CA2A48477AB82FE1C4182BB8AAF3A 151
   zoo %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\DELTA\DELTA\UPDT.JS
   delall %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\DELTA\DELTA\UPDT.JS
   deldir %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\FF
   deldir %SystemDrive%\PROGRAM FILES\MEDIAPLAYERV1\MEDIAPLAYERV1ALPHA579\FF
   dirzooex %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\FF
   bl 78AA0D02EC8889D9E118DAF1C654A617 785
   zoo %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA8669\FF\INSTALL.RDF
   delall %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA8669\FF\INSTALL.RDF
   deldir %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\FF
   dirzooex %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\FF
   deldir %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\FF
   zoo %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\CH\WEBEXPENHANCEDV1ALPHA5350.CRX
   delall %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\CH\WEBEXPENHANCEDV1ALPHA5350.CRX
   zoo %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\CH\VIDEOPLAYERV3BETA418.CRX
   delall %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\CH\VIDEOPLAYERV3BETA418.CRX
   ;---------command-block---------
   zoo %SystemDrive%\PROGRAM FILES\BETTERSURF\BETTERSURFPLUSV1\CH\BETTERSURFPLUSV1.CRX
   delall %SystemDrive%\PROGRAM FILES\BETTERSURF\BETTERSURFPLUSV1\CH\BETTERSURFPLUSV1.CRX
   zoo %SystemDrive%\USERS\АДЕЛИНА\APPDATA\ROAMING\BABSOLUTION\CR\DELTA.CRX
   delall %SystemDrive%\USERS\АДЕЛИНА\APPDATA\ROAMING\BABSOLUTION\CR\DELTA.CRX
   apply
   
   regt 27
   czoo
   restart 

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

3) Сделайте свежий образ автозапуска.

+ раз у вас столько адвари в компе. То обязательно стоит включить обнаружение нежелательных программ.

[victuar]

Архив Zoo отправил.

В приложении свежий образ автозапуска.

Обнаружение нежелательных программ включено.

NEW_2018-10-12_19-44-09_v4.1.7z

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.1 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   ;---------command-block---------
   zoo %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\FF
   delall %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\FF
   zoo %SystemDrive%\PROGRAM FILES\MEDIAPLAYERV1\MEDIAPLAYERV1ALPHA579\FF
   delall %SystemDrive%\PROGRAM FILES\MEDIAPLAYERV1\MEDIAPLAYERV1ALPHA579\FF
   zoo %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\FF
   delall %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\FF
   zoo %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\FF
   delall %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\FF
   delref %SystemDrive%\USERS\E3FA~1\APPDATA\LOCAL\TEMP\HYD935E.TMP.1488631820\HTA\3RDPARTY\FS.OCX
   delref %Sys32%\DRIVERS\QXAGRGTZ.SYS
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

е

ещё раз свежий образ автозапуска сделайте.
 

[victuar]

Доброе утро!

Выполнил указанные Вами действия.

NEW_2018-10-13_09-57-43_v4.1.7z