Тормозит система и открываются новые страницы в браузере!

[Kil1990ler]

http://rghost.ru/7hNzQDmhF UVS
http://rghost.ru/8NPDnXPTy AVZ

[safety]

у вас в системе активный шифратор.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWSMANGERPROTECT\PROTECTWINDOWSMANAGER.EXE
addsgn 1AD39C9A5583338CF42BFB3A88434711AEC7F4A00C286A75000AB0B1699B7D39022403BC10D0543D320BC193C3D63DE8F80D9D76DDCB5BC5A602B4AA317335B5 8 Win32/ELEX.BH

zoo %SystemDrive%\PROGRAM FILES (X86)\XTAB\PROTECTSERVICE.EXE
addsgn 1A2E749A5583008CF42B5194207B53054F8694F65ABB1F90DFC2C5BCD3B3954CA84ACFDCFDDEE059242F4314331E4A0AF4AAE0F13026B063A40AB457CB2DD1FA 8 Adware.Mutabaha.107 [DrWeb]

zoo %SystemDrive%\USERS\RINAT\APPDATA\LOCAL\MICROSOFT\WINDOWS\SYSTEM.EXE
addsgn A7679BF0AA02B4424BD4C6C145881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CCA4D9FE82BD6D7FC3C6A775BACCA563234 8 Win32/Kryptik

zoo %SystemDrive%\PROGRAM FILES (X86)\VK DOWNLOADER\UTIKZNZHO9.EXE
addsgn 1A592F9A5583C58CF42B627DA804DE8E71AEF07DC5DE1BFD57B7AC8F905C35682B93032228D467C92B8084ED489574EEE39EE87221DF59367477A4784CFFA189 8 Adware.Downware.10694 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX\ANYPROTECT.EXE
addsgn 1A74EF9A5583C58CF42B95BC14B97A0550880F3560E586788548043F30D2718B238FA6343E93DD412B430FDE4293898F7867481736DA73A7D2222FC3447B2A73 8 anyprotect

sreg

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BAIDUHIPS\1.2.0.751\BAIDUHIPS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4605\BAIDUSDSVC.EXE

delref %SystemDrive%\USERS\RINAT\APPDATA\LOCAL\0F94E558-1428924988-3F9A-03CE-089E0198FE19\CNSGFDE0.TMP
delref %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\GOOGLEUPDATE.EXE
delref %SystemDrive%\USERS\RINAT\APPDATA\ROAMING\0F94E558-1428913991-3F9A-03CE-089E0198FE19\JNST64A2.TMP
delref %SystemDrive%\USERS\RINAT\APPDATA\ROAMING\0F94E558-1428913991-3F9A-03CE-089E0198FE19\NSG98F9.TMP
delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BD0003.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDDEFENSE.SYS
delref %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4605\BAIDUSDTRAY.EXE
ZOO %SystemDrive%\USERS\RINAT\APPDATA\ROAMING\B62615E7\BIN.EXE
delref %SystemDrive%\USERS\RINAT\APPDATA\ROAMING\B62615E7\BIN.EXE
delref %SystemDrive%\USERS\RINAT\APPDATA\LOCAL\0F94E558-1428924849-3F9A-03CE-089E0198FE19\BNSGE995.EXE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delref HTTP://SIMSIMOTKROYSIA.RU/
delref HTTP://WWW.LUCKYSEARCHES.COM/?TYPE=HPPP&TS=1430069220&FROM=CMI&UID=ST1000LM024XHN-M101MBB_S2U5J9CD200739
delref %SystemDrive%\USERS\RINAT\APPDATA\LOCAL\KOMETA\KOMETAUP.EXE
delref %SystemDrive%\USERS\RINAT\APPDATA\ROAMING\VOPACKAGE\VOPACKAGE.EXE
czoo
areg

перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) из папки uVS отправить в почту safety@chklst.ru
----------
далее,
+
добавьте новый образ автозапуска для дальнейшей очистки системы.

[Kil1990ler]

Архив отправил!Не меняется начальная страница в хроме и всплывают окна.
UVS http://rghost.ru/6G7VDM2cl
И какая то программа которая не удаляется

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE

sreg

delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BAIDUHIPS\1.2.0.751\BAIDUHIPS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4791\BAIDUSDSVC.EXE
delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BD0003.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDDEFENSE.SYS
delref %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4791\BAIDUSDTRAY.EXE

areg

перезагрузка, пишем о старых и новых проблемах.
----------
+
добавьте новый образ автозапуска

[Kil1990ler]

Огромное спасибо!!!Все наладилось!!!
Можете объяснить что такое активный шифратор

[safety]

выполните все наши рекомендации по очистке системы

это обязательно

Цитата:

+
добавьте новый образ автозапуска

---------
про активный шифратор после.
так же проверьте ваши файлы в документах: doc, xls.
в каком они сейчас состоянии.

[Kil1990ler]

http://rghost.ru/7GqzJWkdq uvs
Файлы в норме

[safety]

Что с документами? в порядке или зашифрованы?
----------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES (X86)\APPLICATION ASSISTANCE\AP.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\WEBBARS\SAT_VU5.EXE
delall %SystemDrive%\USERS\RINAT\APPDATA\LOCAL\MICROSOFT\WINDOWS\TOOLBAR.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\VERSION42BLOCKANDSURF\192.XPI
delall %SystemDrive%\PROGRAM FILES (X86)\VK DOWNLOADER\K_L9ETQEFC.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\VK DOWNLOADER\LLCEMZEZEK.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0\NPGOOGLEUPDATE4.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\WEBBARS\IEEF\QGRJNAUGGX.DLL
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\VERSION42BLOCKANDSURF\J4BLOCKANDSURFJ52.EXE

delref %SystemDrive%\USERS\RINAT\APPDATA\ROAMING\IVMQAML.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4791\WEBSAFE

delref {1FE48F08-A2AC-44AC-A21C-0556D91C50DA}\[CLSID]

delref {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}\[CLSID]

delref {79AAD48C-7658-E566-0E71-9D097E9E899C}\[CLSID]

deldirex %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4791\EXPLUGIN

deldirex %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4791

deldirex %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4605

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108

del %SystemDrive%\USERS\RINAT\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

del %SystemDrive%\USERS\RINAT\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.TIHAIDEM.BAT

del %SystemDrive%\USERS\RINAT\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT

del %SystemDrive%\USERS\RINAT\APPDATA\ROAMING\BROWSERS\EXE.RESWORB.BAT

regt 28
regt 29
; Weatherbar
exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} /quiet
; AnyProtect
exec  C:\Program Files (x86)\AnyProtectEx\uninstall.exe
; Remote Desktop Access (VuuPC)
exec  C:\Users\Rinat\AppData\Roaming\VOPackage\Uninstall.exe
; WebBars
exec  C:\Program Files (x86)\WebBars\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes
--------------

[Kil1990ler]

safety, Документы в порядке!

[safety]

хорошо,
выполните скрипт, +
сделайте проверку в мбам
------------
по документам значит повезло. не успел шифратор xtbl шифрануть документы.
удалили его первым скриптом

------
скрипт поправил, если еще не выполнили его, тогда заново откопируйте себе скрипт.

[Kil1990ler]

Спасибо большое!