[regist]

Здравствуйте!

1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

2) mystartsearch uninstall [2015/04/30 19:42:55]-->C:\Users\Альберт\AppData\Roaming\mystartsearch\UninstallManager.exe -ptid=ima
SensePlus [2015/04/30 19:41:26]-->C:\Program Files (x86)\SensePlus\Uninstall.exe /fcp=1

Деинсталируйте эти программы. При деинсталяции первой там ещё капчу попросит ввести .

Unity Web Player - пользуетесь? Сами ставили?

3)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\Альберт\appdata\roaming\f64952e0-1425649374-11e0-8ffc-471625272857\jnsc8499.tmp');
 TerminateProcessByName('c:\users\Альберт\appdata\roaming\f64952e0-1425649374-11e0-8ffc-471625272857\nse9ce5.tmp');
 StopService('bymyheku');
 StopService('gyxivuwi');
 QuarantineFileF('c:\users\Альберт\appdata\roaming\f64952e0-1425649374-11e0-8ffc-471625272857\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
 QuarantineFile('c:\users\Альберт\appdata\roaming\f64952e0-1425649374-11e0-8ffc-471625272857\jnsc8499.tmp', '');
 QuarantineFile('c:\users\Альберт\appdata\roaming\f64952e0-1425649374-11e0-8ffc-471625272857\nse9ce5.tmp', '');
 QuarantineFile('C:\Users\Альберт\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 QuarantineFile('C:\Users\Альберт\AppData\Local\Temp\nso5715.tmp\blowfish.dll', '');
 QuarantineFile('C:\Windows\Temp\TS_8469.tmp', '');
 QuarantineFile('C:\Windows\Temp\TS_9E51.tmp', '');
 QuarantineFile('H:\autorun.inf', '');
 DeleteFile('c:\users\Альберт\appdata\roaming\f64952e0-1425649374-11e0-8ffc-471625272857\jnsc8499.tmp', '32');
 DeleteFile('c:\users\Альберт\appdata\roaming\f64952e0-1425649374-11e0-8ffc-471625272857\nse9ce5.tmp', '32');
 DeleteFile('C:\Users\Альберт\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
 DeleteFile('C:\Users\Альберт\AppData\Local\Temp\nso5715.tmp\blowfish.dll', '32');
 DeleteFile('C:\Users\Альберт\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 DeleteService('bymyheku');
 DeleteService('gyxivuwi');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 BC_DeleteSvc('bymyheku');
 BC_DeleteSvc('gyxivuwi');
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:


Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.


4) )

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

5)- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

Код:

C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Internet Еxplorer Brоwsеr.lnk
C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlorеr (2).lnk
C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlorеr.lnk
C:\Users\Альберт\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Exрlorer (Nо Add-ons).lnk
C:\Users\Альберт\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхplоrer.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Public\Desktop\Opera.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk
C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk
C:\Users\Альберт\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Альберт\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Обнови Софт.lnk
C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk
C:\Users\Альберт\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk
C:\Users\48C4~1\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\26B6~1\PPS~1\8850~1.LNK

6) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Guron7777]

Файл 124850

Файл 124851

Файл 124852

Цитата regist:

после выполнения скрипта компьютер перезагрузится. после перезагрузки выполнить второй скрипт: »

Второго скрипта не увидел.

Цитата regist:

2) mystartsearch uninstall [2015/04/30 19:42:55]-->C:\Users\Альберт\AppData\Roaming\mystartsearch\UninstallManager.exe -ptid=ima »

капчу вводил несколько раз, но говорилось что она неверная и закрывался диалог удаления. Потом просто удалил всю папку, правильно?
Unity web player ставил сам.
Логи прилагаю . Все вроде работает, поиск поменян на дефолтный.
ADW Gleaner что то еще хочет удалить, 3 пункта стоят с галочкоми. Дожидаться проверки логов вами?
Спасибо!

[Guron7777]

Логи как то позже приложил .

[regist]

Цитата regist:

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: »

сделали?

WinCheck [2015/03/06 16:44:41]-->"C:\Users\Альберт\AppData\Local\F64952E0-1425663880-11E0-8FFC-471625272857\uninstall.exe"

тоже деинсталируйте.

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".