В хроме открывается рекламная страница + китайские приложения установлены

@Voxa26 · Регистрация: 01.10.2015

Author24 — интернет-сервис помощи студентам

В хроме открывается рекламная страница + китайские приложения установлены.

@Sandor · 28.05.2016, 10:16

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Voxa26. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SaveSense

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\31444335-1458404744-5433-324c-441ea1e079f6\jnso403e.tmp');
 TerminateProcessByName('c:\program files (x86)\31444335-1458404744-5433-324c-441ea1e079f6\knsu9432.tmp');
 TerminateProcessByName('c:\program files (x86)\31444335-1458404744-5433-324c-441ea1e079f6\knsz3915.tmp');
 TerminateProcessByName('c:\programdata\msiql.exe');
 TerminateProcessByName('c:\users\лариса\appdata\local\31444335-1463500779-5433-324c-441ea1e079f6\qnsu8c98.tmp');
 StopService('bemusotezbt');
 StopService('cyfebykuzbt');
 StopService('gerocyni');
 StopService('zigipyro');
 QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\31444335-1458404744-5433-324c-441ea1e079f6\jnso403e.tmp', '');
 QuarantineFile('c:\program files (x86)\31444335-1458404744-5433-324c-441ea1e079f6\knsu9432.tmp', '');
 QuarantineFile('c:\program files (x86)\31444335-1458404744-5433-324c-441ea1e079f6\knsz3915.tmp', '');
 QuarantineFile('c:\programdata\msiql.exe', '');
 QuarantineFile('c:\users\лариса\appdata\local\31444335-1463500779-5433-324c-441ea1e079f6\qnsu8c98.tmp', '');
 QuarantineFile('c:\windows\system32\config\systemprofile\appdata\roaming\snda\sdupdate\sddupdatesvc.dll', '');
 QuarantineFile('C:\Users\лариса\AppData\Local\31444335-1463500779-5433-324C-441EA1E079F6\qnsu8C98.tmp', '');
 QuarantineFile('C:\Program Files (x86)\31444335-1458404744-5433-324C-441EA1E079F6\knsu3486.tmp', '');
 QuarantineFile('C:\Program Files (x86)\31444335-1458404744-5433-324C-441EA1E079F6\knsfC731.tmp', '');
 QuarantineFile('C:\Program Files (x86)\31444335-1458404744-5433-324C-441EA1E079F6\knst13BF.tmp', '');
 QuarantineFile('C:\Program Files (x86)\31444335-1458404744-5433-324C-441EA1E079F6\knsj7BB5.tmp', '');
 QuarantineFile('C:\Program Files (x86)\31444335-1458404744-5433-324C-441EA1E079F6\knsuFEE6.tmp', '');
 QuarantineFile('C:\Program Files (x86)\31444335-1458404744-5433-324C-441EA1E079F6\hnsu6010.tmp', '');
 QuarantineFile('C:\Program Files (x86)\31444335-1458404744-5433-324C-441EA1E079F6\knsoF110.tmp', '');
 QuarantineFile('C:\Program Files (x86)\31444335-1458404744-5433-324C-441EA1E079F6\knsa7A98.tmp', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\ProgramData\service.exe', '');
 QuarantineFile('c:\programdata\homepage.exe', '');
 QuarantineFile('c:\programdata\lightgate.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Intеrnеt Ехplоrеr.lnk', '');
 QuarantineFile('C:\Users\Public\Desktop\Маgiс Dеsktоp.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Маgiс Dеsktоp.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Communication and Chat\Skypе.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Gun Вrоs.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Таnks.lnk', '');
 QuarantineFile('C:\iexplore.bat', '');
 QuarantineFile('C:\ezMDLauncher.bat', '');
 QuarantineFile('C:\Program Files (x86)\SkypeLauncher.bat', '');
 QuarantineFile('C:\Program Files (x86)\launcher.bat', '');
 QuarantineFile('C:\WOTLauncher.bat', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\PPTAssist\assistupdate.exe', '');
 QuarantineFile('C:\Users\лариса\AppData\Local\Temp\Temp4_Chuzzle Deluxe v10.zip\ChuzzleSetup.exe', '');
 QuarantineFile('C:\Users\лариса\AppData\Local\Temp\Temp3_Chuzzle Deluxe v10.zip\ChuzzleSetup.exe', '');
 QuarantineFile('C:\Users\лариса\appdata\roaming\upupdata\service.exe', '');
 DeleteFile('C:\Windows\Tasks\PPTAssistantUpdateTask_система.job', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "PPTAssistantUpdateTask_система" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{225635B9-B82F-44E6-A2BE-178937D0EB2F}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{CF84848F-582C-4B77-9704-F6BC8F5A2644}" /F', 0, 15000, true);
 DeleteFile('c:\program files (x86)\31444335-1458404744-5433-324c-441ea1e079f6\jnso403e.tmp', '32');
 DeleteFile('c:\program files (x86)\31444335-1458404744-5433-324c-441ea1e079f6\knsu9432.tmp', '32');
 DeleteFile('c:\program files (x86)\31444335-1458404744-5433-324c-441ea1e079f6\knsz3915.tmp', '32');
 DeleteFile('c:\programdata\msiql.exe', '32');
 DeleteFile('C:\iexplore.bat', '');
 DeleteFile('C:\ezMDLauncher.bat', '');
 DeleteFile('C:\Program Files (x86)\SkypeLauncher.bat', '');
 DeleteFile('C:\Program Files (x86)\launcher.bat', '');
 DeleteFile('C:\WOTLauncher.bat', '');
 DeleteFile('c:\users\лариса\appdata\local\31444335-1463500779-5433-324c-441ea1e079f6\qnsu8c98.tmp', '32');
 DeleteFile('c:\windows\system32\config\systemprofile\appdata\roaming\snda\sdupdate\sddupdatesvc.dll', '32');
 DeleteFile('C:\Users\лариса\AppData\Local\31444335-1463500779-5433-324C-441EA1E079F6\qnsu8C98.tmp', '32');
 DeleteFile('C:\Program Files (x86)\31444335-1458404744-5433-324C-441EA1E079F6\knsu3486.tmp', '32');
 DeleteFile('C:\Program Files (x86)\31444335-1458404744-5433-324C-441EA1E079F6\knsfC731.tmp', '32');
 DeleteFile('C:\Program Files (x86)\31444335-1458404744-5433-324C-441EA1E079F6\knst13BF.tmp', '32');
 DeleteFile('C:\Program Files (x86)\31444335-1458404744-5433-324C-441EA1E079F6\knsj7BB5.tmp', '32');
 DeleteFile('C:\Program Files (x86)\31444335-1458404744-5433-324C-441EA1E079F6\knsuFEE6.tmp', '32');
 DeleteFile('C:\Program Files (x86)\31444335-1458404744-5433-324C-441EA1E079F6\hnsu6010.tmp', '32');
 DeleteFile('C:\Program Files (x86)\31444335-1458404744-5433-324C-441EA1E079F6\knsoF110.tmp', '32');
 DeleteFile('C:\Program Files (x86)\31444335-1458404744-5433-324C-441EA1E079F6\knsa7A98.tmp', '32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
 DeleteFile('C:\ProgramData\service.exe', '32');
 DeleteFile('c:\programdata\homepage.exe', '32');
 DeleteFile('c:\programdata\lightgate.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
 DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Local\PPTAssist\assistupdate.exe', '32');
 DeleteFile('C:\Users\лариса\AppData\Local\Temp\Temp4_Chuzzle Deluxe v10.zip\ChuzzleSetup.exe', '32');
 DeleteFile('C:\Users\лариса\AppData\Local\Temp\Temp3_Chuzzle Deluxe v10.zip\ChuzzleSetup.exe', '32');
 DeleteFile('C:\Users\лариса\appdata\roaming\upupdata\service.exe', '32');
 DeleteFileMask('c:\programdata\timetasks', '*', true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\programdata\timetasks');
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SDDUpdate\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HomePageHelper','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightGate','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msiql','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
 DeleteService('bemusotezbt');
 DeleteService('cyfebykuzbt');
 DeleteService('gerocyni');
 DeleteService('zigipyro');
 DeleteService('kijilezyzbt');
 DeleteService('lolexypuzbt');
 DeleteService('menexuhizbt');
 DeleteService('nesirekyzbt');
 DeleteService('roxobyfezbt');
 DeleteService('wucotusy');
 DeleteService('zokijuxezbt');
 DeleteService('zulefewozbt');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@Voxa26 · 28.05.2016, 13:19 **[ТС]**

Логи

@Sandor · 28.05.2016, 13:30

1.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Voxa26 · 28.05.2016, 13:56 **[ТС]**

Логи

@Sandor · 28.05.2016, 14:04

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
BHO-x32: WebGuardBHO -> {1B2639A9-EE25-4AE7-A2E3-B308F08125C4} -> C:\Program Files (x86)\BaiduSd3.0\BaiduSd\4.2.0.7816\WebGuardBHO.dll => No File
BHO-x32: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
BHO-x32: No Name -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> No File
Toolbar: HKLM-x32 - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartab.dll No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1883617875-3863437637-1900094789-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
FF Plugin-x32: @baidu.com/BaiduExpert-npplugin -> C:\Users\лариса\AppData\Roaming\Baidu\BDWebAdapter\3.0.331.0\npBDExNP.dll [2015-08-23] (百度在线网络技术（北京）有限公司)
CHR StartupUrls: Default -> "hxxp://www.istartpageing.com/?type=hp&ts=1458471456&z=07ea268c92dc3bcf39328b0g6zfwbbcz4m2g8zcwaw&from=cmi&uid=HitachiXHTS543232A7A384_E2434243261UNK261UNKX"
2016-05-27 17:41 - 2016-05-24 04:43 - 01609216 _____ C:\Users\Все пользователи\RiliDlr.exe
2016-05-27 17:41 - 2016-05-24 04:43 - 01609216 _____ C:\ProgramData\RiliDlr.exe
2014-12-26 13:39 - 2014-12-26 13:39 - 0000117 ____H () C:\Program Files (x86)\launcher.bat
2014-12-26 13:39 - 2011-04-23 03:38 - 0274784 ____H (WildTangent) C:\Program Files (x86)\lаunсhеr.bаt.exe
2014-12-26 13:38 - 2014-12-26 13:39 - 0000111 ____H () C:\Program Files (x86)\SkypeLauncher.bat
2014-12-26 13:38 - 2011-06-11 12:05 - 0379784 ____H (Microsoft) C:\Program Files (x86)\SkypеLаunсhеr.bаt.exe
AlternateDataStreams: C:\Users\лариса\Local Settings:wa [146]
AlternateDataStreams: C:\Users\лариса\Desktop\яндекс.website:DESTICON_98fe7RGgatvcZCaXxF7ff2529Fk-481123052 [2302]
AlternateDataStreams: C:\Users\лариса\Desktop\яндекс.website:DESTICON_98fe7RGgatvcZCaXxF7ff2529Fk-760708827 [2302]
AlternateDataStreams: C:\Users\лариса\Desktop\яндекс.website:DESTICON_gdtS6a0b5ZRt_6PIn1MCYzp2mNI-1645993638 [2302]
AlternateDataStreams: C:\Users\лариса\Desktop\яндекс.website:DESTICON_gdtS6a0b5ZRt_6PIn1MCYzp2mNI-851079600 [2302]
AlternateDataStreams: C:\Users\лариса\Desktop\яндекс.website:DESTICON_l2V968dCa1zMr5TTWgVJQP6xPVU-2076455910 [2302]
AlternateDataStreams: C:\Users\лариса\Desktop\яндекс.website:DESTICON_l2V968dCa1zMr5TTWgVJQP6xPVU1582337518 [2302]
AlternateDataStreams: C:\Users\лариса\Desktop\яндекс.website:DESTICON_qFyz_p77Mklm6G-g9tbfmp6arrk-507839564 [2302]
AlternateDataStreams: C:\Users\лариса\Desktop\яндекс.website:DESTICON_qFyz_p77Mklm6G-g9tbfmp6arrk-91909773 [2302]
AlternateDataStreams: C:\Users\лариса\Desktop\яндекс.website:DESTICON_qUrYP-q7tpBAiiIGw2drcOQ1OLk285189430 [2302]
AlternateDataStreams: C:\Users\лариса\Desktop\яндекс.website:DESTICON_qUrYP-q7tpBAiiIGw2drcOQ1OLk887519297 [2302]
AlternateDataStreams: C:\Users\лариса\Desktop\яндекс.website:DESTICON_TS_g8TeGGDswpR4ufNJw3TS0-CM-1719715208 [2302]
AlternateDataStreams: C:\Users\лариса\Desktop\яндекс.website:DESTICON_TS_g8TeGGDswpR4ufNJw3TS0-CM-2018099378 [2302]
AlternateDataStreams: C:\Users\лариса\Desktop\яндекс.website:DESTICON_Uk8wMlO6kp7jGPt0n6rTPeL77QE-1116572040 [2302]
AlternateDataStreams: C:\Users\лариса\Desktop\яндекс.website:DESTICON_Uk8wMlO6kp7jGPt0n6rTPeL77QE395690960 [2302]
AlternateDataStreams: C:\Users\лариса\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\лариса\AppData\Local\Application Data:wa [146]
AlternateDataStreams: C:\Users\лариса\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_98fe7RGgatvcZCaXxF7ff2529Fk-481123052 [2302]
AlternateDataStreams: C:\Users\лариса\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_98fe7RGgatvcZCaXxF7ff2529Fk-760708827 [2302]
AlternateDataStreams: C:\Users\лариса\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_gdtS6a0b5ZRt_6PIn1MCYzp2mNI-1645993638 [2302]
AlternateDataStreams: C:\Users\лариса\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_gdtS6a0b5ZRt_6PIn1MCYzp2mNI-851079600 [2302]
AlternateDataStreams: C:\Users\лариса\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_l2V968dCa1zMr5TTWgVJQP6xPVU-2076455910 [2302]
AlternateDataStreams: C:\Users\лариса\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_l2V968dCa1zMr5TTWgVJQP6xPVU1582337518 [2302]
AlternateDataStreams: C:\Users\лариса\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_qFyz_p77Mklm6G-g9tbfmp6arrk-507839564 [2302]
AlternateDataStreams: C:\Users\лариса\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_qFyz_p77Mklm6G-g9tbfmp6arrk-91909773 [2302]
AlternateDataStreams: C:\Users\лариса\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_qUrYP-q7tpBAiiIGw2drcOQ1OLk285189430 [2302]
AlternateDataStreams: C:\Users\лариса\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_qUrYP-q7tpBAiiIGw2drcOQ1OLk887519297 [2302]
AlternateDataStreams: C:\Users\лариса\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_TS_g8TeGGDswpR4ufNJw3TS0-CM-1719715208 [2302]
AlternateDataStreams: C:\Users\лариса\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_TS_g8TeGGDswpR4ufNJw3TS0-CM-2018099378 [2302]
AlternateDataStreams: C:\Users\лариса\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_Uk8wMlO6kp7jGPt0n6rTPeL77QE-1116572040 [2302]
AlternateDataStreams: C:\Users\лариса\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_Uk8wMlO6kp7jGPt0n6rTPeL77QE395690960 [2302]
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Подготовьте лог uVS.

@Voxa26 · 28.05.2016, 14:47 **[ТС]**

Логи

@Sandor · 28.05.2016, 15:01

Выполните скрипт в UVS.

Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
zoo %SystemDrive%\USERS\ЛАРИСА\APPDATA\ROAMING\BAIDU\BDWEBADAPTER\3.0.331.0\BDEXIE.DLL
bl 7B21507D94CB4844D0FDDDACE54B8B6D 443512
addsgn A7679B1928664D070E3C301364C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323DAD582D906CD21C1649C9BD9F6307595F4659214E912F6700327C 64 baidu

zoo %Sys32%\DRIVERS\BD0001_1.SYS
bl 9AA610DBF6234D95B747B6C88639E488 203280
addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2ABF48AF29BD807F1787575B55EB494280E79F231615FA1FDF8C7265DA802C1D77952FC706EEBF 64 Baidu

zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\112\BDDOWNLOADER.EXE
bl F3B03162752CDDEAF6B9FF0F1A2E2DA4 1518088
addsgn 1A70BE9A55835B8CF42B69B06C9B5805CC0D400976AC948942C5CDEF1AD699359FE83CA17A7195485F87D27768ADB60524542E2C97DEB07A7AFCD80BCB8D6577 8 baidu

zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\112\DL.DLL
bl D5D4AD019C262C9B08E44C04FCFB6D4E 2009480
addsgn 71905392541F499AD709AEB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB34023DB0F9BF2995185E74C4853139DA5ADF6A2E041955979D3DFD927EEC6F1FBF0 64 Baidu

addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A537DAE29BD80C347C2573E559D492B80849FB44548FA5DAFE872958AB12C2D77A42FC7062273 64 baidu

zoo %Sys32%\DRIVERS\BDACCTBX64.SYS
bl 5DF6493E45D14E933E6C46A9A8DEB34D 82312
addsgn 71905392541F499ACF64AEB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB34023DB0F9BF2995185E74C4853CD5A6DFE8A1EEB7255DAC408A77627EEC682E207 64 baidu

zoo %SystemDrive%\PROGRAMDATA\BAIDU\BOWERBIRD\1.1.0.187\AGENT\BDBBAGENTBROWSER.DLL
bl BBBFC084750BFE5197AF8C21481FDB2E 506760
addsgn 71905392541F499A36DFAFB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB340237DD33F7E198459C32BEB9F469D14F2F8049D7CAAAFBCC42A925BD09EEFEE72 64 baidu

zoo %SystemDrive%\PROGRAMDATA\BAIDU\BOWERBIRD\1.1.0.187\BDBOWERBIRDCENTER.DLL
bl C4156E991E1D5D0447AEBCA190AA269C 2026376
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL
delall %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
delall %Sys32%\DRIVERS\BDMNETMON.SYS
zoo %SystemDrive%\EZMDLAUNCHER.BAT
bl D49279FACCF935D1EE8E462E3FC9BF47 99
delall %SystemDrive%\EZMDLAUNCHER.BAT
zoo %SystemDrive%\USERS\ЛАРИСА\APPDATA\ROAMING\BAIDU\BDWEBADAPTER\3.0.331.0\PROTOCOL.DLL
bl 1FD6DDF1EA87B3F39B8BAA0AE9E8FF81 684152
delall %SystemDrive%\USERS\ЛАРИСА\APPDATA\ROAMING\BAIDU\BDWEBADAPTER\3.0.331.0\PROTOCOL.DLL
zoo %SystemDrive%\USERS\ЛАРИСА\APPDATA\ROAMING\BAIDU\BDWEBADAPTER\3.0.331.0\REPORT.DLL
bl 3D352D629E13C1E2F9D60E024DBDD3B1 325752
delall %SystemDrive%\USERS\ЛАРИСА\APPDATA\ROAMING\BAIDU\BDWEBADAPTER\3.0.331.0\REPORT.DLL
zoo %SystemDrive%\ЕZМDLАUNСHЕR.BАT.EXE
bl FF312A3D08A0064B8299A81D4F0E4145 1237000
delall %SystemDrive%\ЕZМDLАUNСHЕR.BАT.EXE
zoo %SystemDrive%\USERS\ЛАРИСА\APPDATA\LOCAL\GOOGLE\СHRОMЕ.BАT.EXE
bl 5F3587E344F2990B59C941FB405CAA0F 856904
delall %SystemDrive%\USERS\ЛАРИСА\APPDATA\LOCAL\GOOGLE\СHRОMЕ.BАT.EXE
delref HTTP://WWW.BAIDU.COM/S?WD={SEARCHTERMS}&TN=28026190_DG&IE=UTF-8
delref %SystemDrive%\USERS\ЛАРИСА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM\7.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\ЛАРИСА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.2_0\ПОИСК MAIL.RU
chklst
delvir

deldir %SystemDrive%\USERS\ЛАРИСА\APPDATA\ROAMING\BAIDU
deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU
deldir %SystemDrive%\PROGRAMDATA\BAIDU

czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подготовьте контрольный лог uVS.

@Voxa26 · 28.05.2016, 15:31 **[ТС]**

Лог

@Sandor · 28.05.2016, 15:35

Что с проблемой?

@Voxa26 · 28.05.2016, 15:44 **[ТС]**

Вроде всё норм. Единственное когда на файле нажимаешь правой кнопкой мыши вот такие непонятные проги остались. прикрепил фото.

@Sandor · 28.05.2016, 15:50

Повторите еще раз логи FRST (п.2 из сообщения №4)

@Voxa26 · 28.05.2016, 15:58 **[ТС]**

лог

@Sandor · 28.05.2016, 16:25

Пожалуйста, скачайте MiniRegTool64.zip и распакуйте его.

Запустите утилиту
Скопируйте и вставьте следующий текст в поле ввода:
Код
```
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell
```
Отметьте опцию Export keys.
нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.

@Voxa26 · 28.05.2016, 16:38 **[ТС]**

лог

@Sandor · 28.05.2016, 16:51

Еще раз, пожалуйста:

Запустите MiniRegTool64
Скопируйте и вставьте следующий текст в поле ввода:
Код
```
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers
```
Отметьте опцию Export keys.
нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.

@Voxa26 · 28.05.2016, 16:58 **[ТС]**

лог

@Sandor · 28.05.2016, 17:03

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
[-HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\KuaiZipShlExt]
[-HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ContextMenuExt]
[-HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\JZContextMenuExt]
[-HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\JZipShlExt]
[-HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\MRACMenu]
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@Voxa26 · 28.05.2016, 17:20 **[ТС]**

лог

@Sandor · 28.05.2016, 17:23

Сообщение от Voxa26

когда на файле нажимаешь правой кнопкой мыши вот такие непонятные

Что с этим?

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	28.05.2016, 13:30	4
	1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	28.05.2016, 15:35	10
	Что с проблемой? 0

@Voxa26 3 / 3 / 2 Регистрация: 01.10.2015 Сообщений: 108
	28.05.2016, 15:44 [ТС]	11
	Вроде всё норм. Единственное когда на файле нажимаешь правой кнопкой мыши вот такие непонятные проги остались. прикрепил фото. Миниатюры 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	28.05.2016, 15:50	12
	Повторите еще раз логи FRST (п.2 из сообщения №4) 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	28.05.2016, 16:25	14
	Пожалуйста, скачайте MiniRegTool64.zip и распакуйте его. Запустите утилиту Скопируйте и вставьте следующий текст в поле ввода: Код HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CommandStore\shell Отметьте опцию Export keys. нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	28.05.2016, 16:51	16
	Еще раз, пожалуйста: Запустите MiniRegTool64 Скопируйте и вставьте следующий текст в поле ввода: Код HKEY_CLASSES_ROOT\\shellex\ContextMenuHandlers Отметьте опцию Export keys. нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt*. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	28.05.2016, 17:03	18
	Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните. Windows Batch file start CreateRestorePoint: [-HKEY_CLASSES_ROOT\\shellex\ContextMenuHandlers\KuaiZipShlExt] [-HKEY_CLASSES_ROOT\\shellex\ContextMenuHandlers\ContextMenuExt] [-HKEY_CLASSES_ROOT\\shellex\ContextMenuHandlers\JZContextMenuExt] [-HKEY_CLASSES_ROOT\\shellex\ContextMenuHandlers\JZipShlExt] [-HKEY_CLASSES_ROOT\\shellex\ContextMenuHandlers\MRACMenu] Reboot: end Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix* и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	28.05.2016, 17:23	20
	Сообщение от Voxa26 когда на файле нажимаешь правой кнопкой мыши вот такие непонятные Что с этим? 1