[Najad]

логи

[shestale]

Деинсталируйте Baidu как написано в первом посте этой темы, выполните все до этих слов:

Цитата:

После этого рекомендую обратиться в раздел "Лечение компьютерных вирусов", чтобы дочистить остатки антивируса.

+
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\администратор\appdata\roaming\imagecropresize', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\администратор\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\администратор\appdata\local\systemmonitor2016', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\ImageCropResize\ImageEd\ImageEd.exe', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Dorrible\Ribble\d.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Hostinstaller\4274062137_monster.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\SystemMonitor2016\4274062137.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Ribble" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true);
 DeleteFile('C:\Users\Администратор\AppData\Roaming\ImageCropResize\ImageEd\ImageEd.exe', '32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Dorrible\Ribble\d.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\Hostinstaller\4274062137_monster.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\SystemMonitor2016\4274062137.exe', '32');
 DeleteFileMask('c:\users\администратор\appdata\roaming\imagecropresize', '*', true);
 DeleteFileMask('c:\programdata\timetasks', '*', true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteFileMask('c:\users\администратор\appdata\local\hostinstaller', '*', true);
 DeleteFileMask('c:\users\администратор\appdata\local\systemmonitor2016', '*', true);
 DeleteDirectory('c:\users\администратор\appdata\roaming\imagecropresize');
 DeleteDirectory('c:\programdata\timetasks');
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteDirectory('c:\users\администратор\appdata\local\hostinstaller');
 DeleteDirectory('c:\users\администратор\appdata\local\systemmonitor2016');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ImageEd','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Удалите параметры запуска ярлыков.

Подготовьте лог AdwCleaner.

[Najad]

Байду и ненужные программы удалила еще до Вашего сообщения через установку и удаление программ (извините,если поспешила). Файл с Карантином отправила. Логи прилагаю. И подскажите по поводу остатков Байду обращаться лучше после того, как Вы закончите работу или можно параллельно?

[shestale]

Цитата Najad:

Байду и ненужные программы удалила еще до Вашего сообщения через установку и удаление программ (извините,если поспешила). »

Хорошо. А остатки зачистим.
Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.

[Najad]

Сделано) Лог прилагаю

[shestale]

Хорошо.
+
Подготовьте логи FRST

[Najad]

готово

[shestale]

Выполните скрипт в Farbar Recovery Scan Tool

Код:

start
CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
end

+
Почистите кэш и куки в браузерах.

[Najad]

сделано