вирусяка падла

[pofig13]

привет парни, тут такое дело
притащил друг ноут жены, ноут рабочий, она бухгалтер, тут ей все данные нужны
но так как жена у него женщина ))
дала дочери этот бук
та завела гостевую запись и чтот намутила или навирусячила
запись удалить не могу, ноут тормозит по страшному
если не сложно проверти на вирусню

http://rghost.ru/8NhqmFYvf

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 79132211B9E9317E0AA1AB59FEA01205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA8536B18A639E028C3B5921FCE93F4C7B2AF8 64 Win32/Komodia.A

addsgn 1ACC709A5583278FF42B5194F4DA5605DAAF68E4CDFAE05D1DD181BCAFF3DD5E671795DC7A718942EBF5AC140A32597139FBE441872D41A7F5FCE00BCFF1D3F8 8 Win32/ELEX

addsgn 1A151E9A55834C720BD4C4A50C085C472562E6E389FAF7BEEEC3C5B3E7261B4ECB9BAA573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Win32/ELEX

addsgn 1A3B099A5583338CF42BFB3A8837076DA4C8FC9C88593324C6C32DFFD0D671B3561F2BEA55559DCA16ACD8DC461610A308D78273BDF3302C2D2ECC26C306E29B 8 Win32/Adware.ConvertAd

addsgn 1A3AF59A5583338CF42BFB3A883707E934CCFC9C88590BBDC2C32DFED4D671B3561F2B454C559DCA169441D8461610A308D78273BDF2342C2D2ECC26C306E29B 8 Adware.Shopper.859 [DrWeb]

addsgn A7679B1928664D070E3CCC8764C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D95292A906C6D411649C9BD9F6307595F4659214E91534407327C 64 Adware.Shopper.859 [DrWeb]

addsgn 1A3D729A5583CC8CF42B95BC408A5105D7FFFE044A08F63E82C3C543751A200E239C8EA35ADC90492B8084C6194917A1F63AB523A719E048D242A42FC706AF37 8 Win32/CoinMine

zoo %SystemDrive%\USERS\ELENA\APPDATA\ROAMING\PG459\1NPX.EXE
addsgn BA6F9BB21DE741A7C6D2AE591435120560BB3CC75BCBD690013EC5BC15E7B17DF1260ABFB6A89D496EB144AE94278012F122E87210EB701DFF466D6744C20A9A 8 btc_miner

zoo %SystemDrive%\USERS\ELENA\APPDATA\ROAMING\PG459\C\NI\SHOST.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\CRXBRO BROWSER\CRXBRO\BIN\BROWSERSERVER.EXE
addsgn 1AF9BD9A5583338CF42B627DA804DEC9E946ABA0028E3B680E8FE1A8DBAA5540A8D648863D93A6B75D88BF67499421F97DDFE7C8708E5A6F2D76D72834A2CB64 8 Win32/ELEX

zoo %SystemDrive%\PROGRAMDATA\JWMINIPROJ\WMINIPRO.EXE
addsgn 1AB8029A5583338CF42B627DA804DEC9E946303A457922E8C886C5BD22897EFA6733CBDCEE947D412050E29028CCBBF50D04E87D43013B7809731D20C70622F0 8 Win32/ELEX

zoo %SystemDrive%\PROGRAM FILES (X86)\PICEXA\DUP.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\WINZIPPER\DUP.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

; SmartWeb
exec  C:\Users\ELENA\AppData\Local\SmartWeb\__u.exe _?=C:\Users\ELENA\AppData\Local\SmartWeb

delref {1F91A9A1-01BA-4C81-863D-3BA0751E1419}\[CLSID]
delref {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DSPP&TS=1434611587&FROM=XTAB&UID=50B2C6A06CBB47B3B10F86E0921437B5&Q={SEARCHTERMS}
delref %Sys32%\DRIVERS\QRNFD_1_10_0_9.SYS
del %Sys32%\DRIVERS\QRNFD_1_10_0_9.SYS

delref %Sys32%\DRIVERS\{3E8DF589-8978-47FB-B852-51E65D6286CA}W64.SYS
del %Sys32%\DRIVERS\{3E8DF589-8978-47FB-B852-51E65D6286CA}W64.SYS

delref %Sys32%\DRIVERS\{6571BA1E-BF60-4C34-B63C-0A34E3F9DFBD}W64.SYS
del %Sys32%\DRIVERS\{6571BA1E-BF60-4C34-B63C-0A34E3F9DFBD}W64.SYS

delref %Sys32%\DRIVERS\{BE073B13-44CE-4697-9DCC-760851EE3095}GW64.SYS
del %Sys32%\DRIVERS\{BE073B13-44CE-4697-9DCC-760851EE3095}GW64.SYS

delref %Sys32%\DRIVERS\{C9B41A3A-FFD8-4839-A7F5-4167345D7600}W64.SYS
del %Sys32%\DRIVERS\{C9B41A3A-FFD8-4839-A7F5-4167345D7600}W64.SYS

delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DSPP&TS=1426792893&FROM=CMI&UID=HITACHIXHTS545050A7E380_TE851749JLESUMJLESUMX&Q={SEARCHTERMS}
del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT

deldirex %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\ISERVERINFO

deldirex %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\TSERVERINFO

deldirex %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\SSERVERINFO

del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT

regt 28
regt 29
deldirex %SystemDrive%\USERS\ELENA\APPDATA\ROAMING\PG459
deldirex %SystemDrive%\PROGRAM FILES (X86)\PICEXA
deldirex %SystemDrive%\PROGRAM FILES (X86)\WINZIPPER
deldirex %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\MEDIAGET2

deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

[pofig13]

safety, сделал скрипт, ноут перестал тормозить, в интернет нормально выходит
проверил малвиком, там жопа что твориться 2325 гадостей

http://rghost.ru/private/8VfBWSzKC/1...d2e883e41ab116

пока писал интернет опять посыпался, с предложением установит какойто FLV плеер

[safety]

да, там ложный антивирус был еще установлен, не стал пока трогать его скриптом.

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://pchelpforum.ru/f26/t24207/2/#post1110672

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

[pofig13]

safety, всё сделал как написано
логи

аддд http://rghost.ru/private/8rNpCrBRS/c...4449bc966648b7
фрст http://rghost.ru/private/8PppZ2l5T/0...6ebe50c8fb94b8

[safety]

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

CHR Extension: (Стартовая — Яндекс) - C:\Users\ELENA\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp [2015-06-28]
CHR Extension: (\) - C:\Users\ELENA\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmjindpbjjflhaojplclpcjfoaepgnhm [2015-10-07]
EmptyTemp:
Reboot:

+
сделайте новый образ автозапуска, сделаем контрольный выстрел в голову вирусякам, ели они еще останутся.

[pofig13]

safety, а я не из папки её запускал

[Vvvyg]

А откуда? Туда же и этот файл нужно.

[pofig13]

Цитата:

Сообщение от Vvvyg

А откуда? Туда же и этот файл нужно.

с рабочего стола, но я всё в папку сложил перезапустил и фикс сделался)
щас ноут перегрузится выложу

[pofig13]

Цитата:

Сообщение от pofig13

щас ноут перегрузится выложу

вот перегрузился
http://rghost.ru/private/8yWMhRqWj/5...e421cd943841ce

[safety]

+
сделайте новый образ автозапуска, сделаем контрольный выстрел в голову вирусякам, если они еще останутся.

[pofig13]

один момент)

[pofig13]

готово
образ http://rghost.ru/7s2rSHfHm

[safety]

норм, чисто

7.закрываем уязвимости
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[pofig13]

safety, спасибо большое
последний раз им ковыряю ноут, если опять не поймё , в топку их
щас уязвимости проверю и антивирус им поставлю
ещё раз огромное спасибо))