Здравствуйте. Мать на ноуте подхватила какой-то вирус. Говорит окна рекламные вылазили всякие в браузерах. Я когда к ней пришел в браузеры вообще ничего не грузило почемуто. Прогнал принесенные на флэшке cure it и kaspersky virus removal tool. Cure it удалил несколько файлов. После этого дома у себя еще погонял всякие антируткиты и антималвары. В итоге страницы в браузере начали грузится, но окошки от рекламы все равно появлялись (прозрачные такие с крестиком в углу, самой рекламы в них уже не грузило). И еще заметил что мышь тупит, то двойной щелчок сработает вместо одного, то наоборот не сработает и тп. Пока рыл по этим вирусам, натыкался на тему где у парня такие же грабли были с вирусом и мышью. 10 часов уже сижу с этим ноутом, реклама вроде как пропала уже, но проблемы с мышью остались, а значит зараза сидит где-то. и еще заметил что в папке C\user\1\appdata после запуска браузера появляются скрытые папки EmieBrowserModeList, EmieSiteList, EmieUserList. Их удаляеш, но после запуска браузера они снова появляются. В этих папках по файлу conteiner.dat весом 0 кб. Помню еще в Application Data\Browsers были файлы exe.erolpxei.bat, exe.xoferif.bat и exe.emorch.bat. В папке windows\system32 находились софтом файлы OptimizerMonitor.dll(3 штуки,один с маленькой буквы, а два с большой и вроде названия идентичные), при чем так их видно небыло, хоть и стоят галки показывать скрытые файлы и системные. Помогите вылечить, задолбался уже с этим ноутом. Логи с AutoLogger прилагаю.

Мышь кстати сама по себе тупит. Ток ща доперло со своей из компа их местами поменять, голова уже не соображает. Батарейки видать садятся. Посмотрите логи всетаки, остался вирус или нету уже? папки то появляются после запуска браузера

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\1\AppData\Local\Temp\3261637FdOh', '');
QuarantineFile('C:\Windows\Test.bat', '');
DeleteFile('C:\Users\1\AppData\Local\Temp\3261637FdOh', '32');
DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\3261778','command');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.



Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

сперва выпал в синий экран смерти при выполнении скрипта, а после перезагрузки скрипт выполнил, но файл с карантином пустой. да и визуально я этих файлов в папках не вижу

Продолжайте.

что продолжать? что именно делать то?
заметил сейчас еще папку пустую systemhost в корне С:, но там неизвестно когда вирус был, может давно уже. Еще в папке windows нашел батник s.bat с содержимым:
@echo off
if exist c:\prdv10\*.* goto testc
if exist d:\prdv10\*.* goto testd
if exist e:\prdv10\*.* goto teste

:testc
c:
cd c:\prdv10
if exist message.exe start message.exe
if exist script.exe start script.exe
exit
goto end

:testd
d:
cd d:\prdv10
if exist message.exe start message.exe
if exist script.exe start script.exe
exit
goto end

:teste
e:
cd e:\prdv10
if exist message.exe start message.exe
if exist script.exe start script.exe
exit
goto end

:end
удалять его? это от вируса какогото осталось?

Если Вы не знаете эти папки из скрипта, удалите.

что продолжать? »
Это:
Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению. »

вот

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
По окончанию сканирования снимите галочки со следующих строк:

***** [ Services ] *****

Service Found : Guard.Mail.ru

***** [ Files / Folders ] *****

Folder Found : C:\Program Files (x86)\Mail.Ru


Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157088).


Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Я наоборот его удалял, а он остался зараза. ща везде уберу, а на майле оставлю. и в регистри Media Get LLC галку оставлю, я удалял Mediaget.
Тут наконец нарыл по папкам EmieBrowserModeList, EmieSiteList, EmieUserList, думаю с вирусами сам справился, эти папки не от вируса а от IE.
Вот статья https://social.technet.microsoft.com/Forums/ie/en-US/9b080135-dd7c-458a-93bb-e62b3fdbdd07/emiesitelist-and-emieuserlist-hidden-directories-and-datfiles?forum=ieitprocurrentver

Thses directories and dat files are used to store data for the IE11 EnterpriseMode.

It is not a: Virus, neither it is a Trojan, Hoax, KeyLogger or anything else bad.
Спасибо за помощ, извините что побеспокоил

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Удалить).
Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157905).


Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения (http://safezone.cc/threads/16715/).