[ildar89m]

У меня продолжают устанавливаться левые программы, как удалить вирус?

[ildar89m]

Скачал программу ReimageRepair, но она платная. Так стало после скачивания программы.

[iskander-k]

Выложите логи в соответствии с этими инструкциями.

[ildar89m]

iskander-k,

[ildar89m]

iskander-k, Я лог выложил, что дальше делать?

[ildar89m]

Помогите кто нибудь вылечить систему.

[regist]

Здравствуйте!

1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

2)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010015\gmsd_ru_005010015.exe');
 TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010016\gmsd_ru_005010016.exe');
 TerminateProcessByName('c:\users\admin\appdata\roaming\075bfa80-1435388158-0000-0000-000000000000\hnsj57a4.tmp');
 TerminateProcessByName('c:\users\admin\appdata\roaming\075bfa80-1435388158-0000-0000-000000000000\jnsz3fa0.tmp');
 TerminateProcessByName('c:\users\admin\appdata\roaming\075bfa80-1435388158-0000-0000-000000000000\knsy555f.tmp');
 TerminateProcessByName('c:\users\admin\appdata\local\075bfa80-1435406342-0000-0000-000000000000\snsvd849.tmp');
 TerminateProcessByName('c:\users\admin\appdata\local\gmsd_ru_005010015\upgmsd_ru_005010015.exe');
 StopService('gopibeko');
 StopService('resunyre');
 StopService('vicoqudu');
 QuarantineFile('c:\program files (x86)\gmsd_ru_005010015\gmsd_ru_005010015.exe', '');
 QuarantineFile('c:\program files (x86)\gmsd_ru_005010016\gmsd_ru_005010016.exe', '');
 QuarantineFile('c:\users\admin\appdata\roaming\075bfa80-1435388158-0000-0000-000000000000\hnsj57a4.tmp', '');
 QuarantineFile('c:\users\admin\appdata\roaming\075bfa80-1435388158-0000-0000-000000000000\jnsz3fa0.tmp', '');
 QuarantineFile('c:\users\admin\appdata\roaming\075bfa80-1435388158-0000-0000-000000000000\knsy555f.tmp', '');
 QuarantineFile('c:\users\admin\appdata\local\075bfa80-1435406342-0000-0000-000000000000\snsvd849.tmp', '');
 QuarantineFile('c:\users\admin\appdata\local\gmsd_ru_005010015\upgmsd_ru_005010015.exe', '');
 QuarantineFile('C:\Temp\E_SB95.tmp', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\G3KwbR7yATf2bWFJdrtyvF.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\WabRZHL.exe', '');
 DeleteFile('c:\program files (x86)\gmsd_ru_005010015\gmsd_ru_005010015.exe', '32');
 DeleteFile('c:\program files (x86)\gmsd_ru_005010016\gmsd_ru_005010016.exe', '32');
 DeleteFile('c:\users\admin\appdata\roaming\075bfa80-1435388158-0000-0000-000000000000\hnsj57a4.tmp', '32');
 DeleteFile('c:\users\admin\appdata\roaming\075bfa80-1435388158-0000-0000-000000000000\jnsz3fa0.tmp', '32');
 DeleteFile('c:\users\admin\appdata\roaming\075bfa80-1435388158-0000-0000-000000000000\knsy555f.tmp', '32');
 DeleteFile('c:\users\admin\appdata\local\075bfa80-1435406342-0000-0000-000000000000\snsvd849.tmp', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\G3KwbR7yATf2bWFJdrtyvF.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\WabRZHL.exe', '32');
 DeleteService('gopibeko');
 DeleteService('resunyre');
 DeleteService('vicoqudu');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.


3)

Код:

AnySend [2015/06/27 12:07:02]-->"C:\Users\admin\AppData\Roaming\ASPackage\Uninstall.exe"
Crossbrowse [20150627]-->"C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\39.6.2171.95\Installer\setup.exe" --uninstall --system-level
Driver Booster 2.3 [20150629]-->"C:\Program Files (x86)\IObit\Driver Booster\unins000.exe"
GamesDesktop 033.005010015 [20150628]-->"C:\Program Files (x86)\gmsd_ru_005010015\unins000.exe"
GamesDesktop 033.005010016 [20150629]-->"C:\Program Files (x86)\gmsd_ru_005010016\unins000.exe"
Reimage Repair [2015/06/29 18:44:42]-->C:\Program Files\Reimage\Reimage Repair\uninst.exe
SmartWeb [2015/06/27 12:08:21]-->C:\Users\admin\AppData\Local\SmartWeb\__u.exe _?=C:\Users\admin\AppData\Local\SmartWeb
Software Version Updater [2015/06/28 10:41:42]-->C:\Users\admin\AppData\Local\15136\Updater.exe /uninstall
Time tasks [2015/06/27 11:55:57]-->"C:\ProgramData\TimeTasks\uninstall.exe"
Zaxar Games Browser [2015/06/27 11:55:56]-->"C:\Program Files (x86)\Zaxar\uninstall.exe"
Обнови Софт [2015/06/29 18:10:50]-->C:\Program Files (x86)\Obnovi Soft\uninstall.exe

деинсталируйте.


4)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ildar89m]

regist, http://files.webfile.ru/065ca68ee014...ff795985033aaa - архив.
Скрипт выполнил quarantine отправил по форме

regist, В пункте 3, что нужно сделать?

[regist]

Цитата ildar89m:

В пункте 3, что нужно сделать? »

...

Цитата regist:

деинсталируйте. »