03.01.2016, 14:12 | #2 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.86.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v385c OFFSGNSAVE delall %SystemDrive%\TEMP\1.EXE addsgn 1A60A29A5583338CF42BFB3A884BFE0973DD430976FA1F2FEDFCD6BC503E738723171E1236DE6D10720BC991FEE636FA7DD05FBB7612D617E502D97E96DB3E57 8 Win32/RuKometa zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\SYSTEMDIR\NETHOST.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FCIMJKEHGLMIJLHNPBMJBPOIAMJIEGOD\4.5.132_0\ПОДЕЛИТЬСЯ ВКОНТАКТЕ delref HTTP://AZTIWIN.RU/?UTM_SOURCE=UOUA03N&UTM_CONTENT=BDD2EAAFA277CB3EFC6F6D88B287948E&UTM_TERM=078335DE874D5492124C025CBED4AD23 deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните быстрое сканирование (угроз) в Malwarebytes |
03.01.2016, 20:06 | #3 (ссылка) |
Эксперт
Регистрация: 31.03.2009
Сообщений: 12,892
Репутация: 998
|
Уффф, на писихелп смог зайти, лог мбам http://rghost.ru/private/6lxGV7859/7...dd37d13b6c56d1
|
03.01.2016, 20:19 | #4 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
1) В Malwarebytes - всё найденное удалите.
( поместите в карантин ) -------- 2) Далее: Выполните лог в АdwСleaner http://pchelpforum.ru/f26/t24207/2/#post1110672 после завершения сканирования: Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой ) На вкладке: Папки (Folders) для Mail.Ru снимите [V] Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие с автоперезагрузкой 3) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html |
04.01.2016, 16:47 | #5 (ссылка) |
Эксперт
Регистрация: 31.03.2009
Сообщений: 12,892
Репутация: 998
|
Извиняюсь за тормознутость
http://rghost.ru/private/64PDSQHDG/9...67a5c1bb2d1ae5 http://rghost.ru/private/77XyRpzsF/b...3bdbe4a01299c2 |
04.01.2016, 17:00 | #6 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Перед выполнением дальнейших действий*
* Если хотите сохранить закладки браузера Хром выполните... https://support.google.com/chrome/answer/96816?hl=ru Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: ... Запустите FRST и нажмите один раз на кнопку Fix и подождите. Код:
FW: Брандмауэр McAfee (Disabled) {E2A40FF5-9AB1-3894-DE05-F89EB212F22D} Task: {47BFE674-5DFA-4395-B88C-47D28D6E5597} - \Microsoft\Windows\Maintenance\WinSAT -> No File <==== ATTENTION Task: {E5B0D801-4327-4DAF-896D-D26D21E58708} - \nethost task -> No File <==== ATTENTION HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://hp13.msn.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://hp13.msn.com HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://hp13.msn.com HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://hp13.msn.com HKU\S-1-5-21-2352529760-3991643795-3407279014-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://aztiwin.ru/?utm_content=094ef9ef1c8635e95fad13f3d1d3bbe0&utm_source=startpm&utm_term=078335DE874D5492124C025CBED4AD23 HKU\S-1-5-21-2352529760-3991643795-3407279014-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://hp13.msn.com FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/pdf -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [2014-10-20] (Foxit Corporation) FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.fdf -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [2014-10-20] (Foxit Corporation) FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [2014-10-20] (Foxit Corporation) FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [2014-10-20] (Foxit Corporation) FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.56 -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll [2014-10-10] (Intel Corporation) FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll [2014-10-10] (Intel Corporation) FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.29.1\npGoogleUpdate3.dll [2015-12-04] (Google Inc.) CHR HomePage: Default -> mail.ru/cnt/11956636?gp=801007 CHR StartupUrls: Default -> "hxxp://aztiwin.ru/?utm_content=094ef9ef1c8635e95fad13f3d1d3bbe0&utm_source=startpm&utm_term=078335DE874D5492124C025CBED4AD23" CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BE30DDC43-A56A-4CD8-B5CE-D51F0C6771A3%7D&gp=801507 CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms} CHR Extension: (No Name) - C:\Users\USer\AppData\Local\Google\Chrome\User Data\Default\Extensions\eioddfaepdoeifbhjphfefgipcjcdieo [2016-01-03] OPR Extension: (Download Chrome Extension) - C:\Users\USer\AppData\Roaming\Opera Software\Opera Stable\Extensions\kipjbhgniklcnglfaldilecjomjaddfi [2015-11-01] EmptyTemp: Reboot: Проверяем, как работает система... и Пишем по _общему результату лечения. |
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Гляньте логи на досуге | piton331 | Безопасность | 1 | 01.05.2015 16:56 |
Терзают смутные сомнения | piton331 | Безопасность | 1 | 07.03.2014 20:08 |
гляньте на досуге | piton331 | Безопасность | 2 | 03.05.2013 22:58 |
Гляньте на досуге | piton331 | Безопасность | 5 | 21.12.2012 17:23 |
Установка Windows7. Терзают сомнения. | lex30 | Windows 7 | 3 | 21.05.2012 18:13 |