Прошу помощи в избавлении от инфекции

[Yargl]

Гадость завелась на ноуте. Постоянно (каждых 10-15 сек) вылазит Обработчик команд Windows, запрашивающий добро на внесение изменений. При этом Аваст периодически сообщает о блокировании угрозы:

процесс C:\Windows\SysWOW64\explorer.exe; инфекция: URL:Mal; адрес: http://svxiualmpgvqpthpx.pw.

Проверил Авастом и Dr.Web. Проблема не решена. Помогите, пожалуйста, вылечить.
Логи в uVS

[Гризлик]

Yargl, Скопируйте код ниже в буфер обмена

Код:

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
zoo %SystemDrive%\PROGRAMDATA\DWOKLBTHBGZEXC.EXE
del %SystemDrive%\PROGRAMDATA\DWOKLBTHBGZEXC.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JLIPCAFLAOCIHNMLHNHCFOMBGMMFGLHO\3.2015.110.122_0\RDS BAR (SEO: ТИЦ, PR, DMOZ, YANDEX)
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\DEALPLY\UPDATE~1\UPDATE~1.EXE
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE
delall %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\JRE-8U45-WINDOWS-AU.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHLHNICPBHIGNBDHEDGJHGDOCNMHOMNP\0.5.6_0\COLORZILLA
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PIOCLPOPLCDBAEFIHAMJOHNEFBIKJILC\6.7_0\EVERNOTE WEB CLIPPER
delall %SystemDrive%\USERS\1\APPDATA\LOCAL\CRE\IKLOIGADAFPFGEPIGFCLHBFEHILNLJKG.CRX
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IKLOIGADAFPFGEPIGFCLHBFEHILNLJKG\10.15.0.62_0\RADIO W
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NNEAJNKJBFFGBLLEAOOJGAACOKIFDKHM\2.1.2.172_0\DIVX PLUS WEB PLAYER HTML5 \U003CVIDEO>
;------------------------autoscript---------------------------

chklst
delvir

delall %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\DROPBOX_SQLITE_EXT.{5F3E3153-5BCE-5766-8F84-3E3E7ECF0D81}.TMPYJC94J.DLL

deldirex %SystemDrive%\PROGRAM FILES (X86)\NETCRAWL

delall %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\JRE-8U51-WINDOWS-AU.EXE

delall %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\JRE-8U60-WINDOWS-AU.EXE

regt 28
regt 29
;-------------------------------------------------------------

deltmp
delnfr

Закройте все браузеры. Запустите UVS под текущим пользователем. В меню: Скрипты---Выполнить из буфера обмена. После перезагрузки выполните http://pchelpforum.ru/showpost.php?p=206554&postcount=6

[Yargl]

Гризлик, всё выполнил. После скрипта пропали запросы Обработчика команд. Прикладываю лог_МВАМ.
Вопрос: что мне делать с результатами сканирования МВАМ?

[RP55.RP55]

1) В Malwarebytes - всё найденное удалите.
( поместите в карантин )

--------
2) Далее: Выполните лог в АdwСleaner
http://pchelpforum.ru/f26/t24207/2/#post1110672
после завершения сканирования:
Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html

[Yargl]

RP55.RP55,
1) ОК
2) AdwCleaner
3) Farbar
От Farbar требуется только лог? Ничего фиксить не нужно?

[Гризлик]

Yargl, Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

ShortcutTarget: Evernote.lnk -> C:\ProgramData\dWOKlBThBgzEXc.exe (No File)
ShortcutTarget: Notepad++.lnk -> C:\ProgramData\dWOKlBThBgzEXc.exe (No File)
ShortcutTarget: Restart Denwer.lnk -> C:\ProgramData\dWOKlBThBgzEXc.exe (No File
ShortcutTarget: Start Denwer.lnk -> C:\ProgramData\dWOKlBThBgzEXc.exe (No File)
ShortcutTarget: Stop Denwer.lnk -> C:\ProgramData\dWOKlBThBgzEXc.exe (No File)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2042719726-2790081857-1897564295-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Task: {0D397892-F9D8-4D25-AB15-A1160E63A083} - \{72D762CF-BC63-42B8-8F19-7B4CF2D9A1F3} -> No File <==== ATTENTION
Task: {35CDDCE7-EDD5-4842-99DF-496BEA6946A9} - \{0BD5B161-E9DC-49CF-9DCB-39CF07CCF362} -> No File <==== ATTENTION
Task: {464824C1-2C39-4A9C-9CC1-4AC64C603105} - \{0FE87329-04A3-430B-A4E9-955D59CE09ED} -> No File <==== ATTENTION
Task: {860A275C-A34D-4E8B-8F8F-622FB8ABB40C} - \{6327EE10-7BD0-4640-AEFA-82B193595132} -> No File <==== ATTENTION
Task: {E64026C3-D6ED-40FD-9150-8BFA5F65A70E} - \DealPly -> No File <==== ATTENTION
EmptyTemp:
Reboot:

[Yargl]

Гризлик,
Готово.

[Гризлик]

Yargl, Что с проблемой?

[Yargl]

Гризлик, ну, дык, внешние признаки пропали уже после первого скрипта.

[Гризлик]

Yargl, Тогда выполните закрытие уязвимостей системы http://pchelpforum.ru/showpost.php?p...4&postcount=16
И на этом всё!