[Sandor]

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

AnySend Body Text Feathering Интернет Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\temp\302a.tmp');
 TerminateProcessByName('c:\windows\temp\8832.tmp');
 TerminateProcessByName('c:\program files (x86)\00000000-1454614483-0000-0000-1c6f65422ff1\hnswd6e.tmp');
 TerminateProcessByName('c:\program files (x86)\spacesondpro_v53.12704\ioproduct.exe');
 TerminateProcessByName('c:\program files (x86)\00000000-1454614483-0000-0000-1c6f65422ff1\jnswf470.tmp');
 TerminateProcessByName('c:\program files (x86)\00000000-1454614483-0000-0000-1c6f65422ff1\knswd8b0.tmpfs');
 TerminateProcessByName('c:\users\Артур\appdata\local\00000000-1454691897-0000-0000-1c6f65422ff1\qnsw30c2.tmp');
 TerminateProcessByName('c:\program files (x86)\spacesondpro_v53.12704\spacesondpro_service.exe');
 TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe');
 StopService('cyjohipozbt');
 StopService('SSFK');
 StopService('wucotusy');
 StopService('zigipyro');
 StopService('zutuzuni');
 QuarantineFileF('c:\program files (x86)\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\SpaceSoundPro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\windows\temp\302a.tmp', '');
 QuarantineFile('c:\windows\temp\8832.tmp', '');
 QuarantineFile('c:\program files (x86)\00000000-1454614483-0000-0000-1c6f65422ff1\hnswd6e.tmp', '');
 QuarantineFile('c:\program files (x86)\spacesondpro_v53.12704\ioproduct.exe', '');
 QuarantineFile('c:\program files (x86)\00000000-1454614483-0000-0000-1c6f65422ff1\jnswf470.tmp', '');
 QuarantineFile('c:\program files (x86)\00000000-1454614483-0000-0000-1c6f65422ff1\knswd8b0.tmpfs', '');
 QuarantineFile('c:\users\Артур\appdata\local\00000000-1454691897-0000-0000-1c6f65422ff1\qnsw30c2.tmp', '');
 QuarantineFile('c:\program files (x86)\spacesondpro_v53.12704\spacesondpro_service.exe', '');
 QuarantineFile('c:\program files (x86)\sfk\ssfk.exe', '');
 QuarantineFile('C:\Users\Артур\AppData\Local\00000000-1454691897-0000-0000-1C6F65422FF1\qnsw30C2.tmp', '');
 QuarantineFile('C:\Program Files (x86)\SpaceSondPro_v53.12704\ioproduct_service.bat', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
 QuarantineFile('C:\ProgramData\EdTknCxKfR\XyvKXlg0.bat', '');
 QuarantineFile('C:\ProgramData\hidRoyx\ZVCoIrVxB5.bat', '');
 DeleteFile('c:\windows\temp\302a.tmp', '32');
 DeleteFile('c:\windows\temp\8832.tmp', '32');
 DeleteFile('c:\program files (x86)\00000000-1454614483-0000-0000-1c6f65422ff1\hnswd6e.tmp', '32');
 DeleteFile('c:\program files (x86)\spacesondpro_v53.12704\ioproduct.exe', '32');
 DeleteFile('c:\program files (x86)\00000000-1454614483-0000-0000-1c6f65422ff1\jnswf470.tmp', '32');
 DeleteFile('c:\program files (x86)\00000000-1454614483-0000-0000-1c6f65422ff1\knswd8b0.tmpfs', '32');
 DeleteFile('c:\users\Артур\appdata\local\00000000-1454691897-0000-0000-1c6f65422ff1\qnsw30c2.tmp', '32');
 DeleteFile('c:\program files (x86)\spacesondpro_v53.12704\spacesondpro_service.exe', '32');
 DeleteFile('c:\program files (x86)\sfk\ssfk.exe', '32');
 DeleteFile('C:\Users\Артур\AppData\Local\00000000-1454691897-0000-0000-1C6F65422FF1\qnsw30C2.tmp', '32');
 DeleteFile('C:\Program Files (x86)\SpaceSondPro_v53.12704\ioproduct_service.bat', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
 DeleteFile('C:\ProgramData\EdTknCxKfR\XyvKXlg0.bat', '32');
 DeleteFile('C:\ProgramData\hidRoyx\ZVCoIrVxB5.bat', '32');
 DeleteFileMask('c:\program files (x86)\sfk', '*', true);
 DeleteFileMask('C:\Program Files\SpaceSoundPro', '*', true);
 DeleteDirectory('c:\program files (x86)\sfk');
 DeleteDirectory('C:\Program Files\SpaceSoundPro');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','IOPROTECT');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('cyjohipozbt');
 DeleteService('SSFK');
 DeleteService('wucotusy');
 DeleteService('zigipyro');
 DeleteService('zutuzuni');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Файл CheckBrowserLnk.log
из папки

Цитата:

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ArthurBulikyan]

Вот 2 отчета

[regist]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Артур\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Артур\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Артур\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Артур\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk', '');
 QuarantineFile('C:\Users\Артур\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk', '');
 QuarantineFile('C:\Users\Артур\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (4).lnk', '');
 QuarantineFile('C:\Users\Артур\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (5).lnk', '');
 QuarantineFile('C:\Users\Артур\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk', '');
 QuarantineFile('C:\Users\Public\Desktop\Mozilla Firefox.lnk', '');
 QuarantineFile('C:\Users\Public\Desktop\Opera.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk', '');
 QuarantineFile('C:\ProgramData\EdTknCxKfR\XyvKXlg0.bat', '');
 QuarantineFile('C:\ProgramData\hidRoyx\ZVCoIrVxB5.bat', '');
 QuarantineFile('C:\ProgramData\YfmeJk\kkfSFk3.bat', '');
 QuarantineFile('C:\ProgramData\dxKiUHRM\jeNTgg4.bat', '');
 QuarantineFileF('C:\ProgramData\EdTknCxKfR', '*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\hidRoyx', '*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\YfmeJk', '*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\dxKiUHRM', '*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\EdTknCxKfR\XyvKXlg0.bat', '');
 DeleteFile('C:\ProgramData\hidRoyx\ZVCoIrVxB5.bat', '');
 DeleteFile('C:\ProgramData\YfmeJk\kkfSFk3.bat', '');
 DeleteFile('C:\ProgramData\dxKiUHRM\jeNTgg4.bat', '');
 DeleteFileMask('C:\ProgramData\EdTknCxKfR', '*', true);
 DeleteFileMask('C:\ProgramData\hidRoyx', '*', true);
 DeleteFileMask('C:\ProgramData\YfmeJk', '*', true);
 DeleteFileMask('C:\ProgramData\dxKiUHRM', '*', true);
 DeleteDirectory('C:\ProgramData\EdTknCxKfR');
 DeleteDirectory('C:\ProgramData\hidRoyx');
 DeleteDirectory('C:\ProgramData\YfmeJk');
 DeleteDirectory('C:\ProgramData\dxKiUHRM');
 QuarantineFileF('C:\Users\Артур\AppData\Local\blacount', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Users\Артур\AppData\Local\blacount', '*', true);
 DeleteDirectory('C:\Users\Артур\AppData\Local\blacount');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.