[iskander-k]

1. В панели управления - установка удаление программ найдите и удалите :

mystartsearch

AnyProtectEx

BasementDuster

2.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1426522814&from=cmi&uid=SPCCXSSD110_001110001B
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystart.com/?pr=vmn&id=mystarttb&v=5_4&ent=hp_5108&src=5108
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1426522814&from=cmi&uid=SPCCXSSD110_001110001B
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1426522814&from=cmi&uid=SPCCXSSD110_001110001B&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1426522814&from=cmi&uid=SPCCXSSD110_001110001B&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1426522814&from=cmi&uid=SPCCXSSD110_001110001B
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.mystartsearch.com/web/?type=dspp&ts=1426522814&from=cmi&uid=SPCCXSSD110_001110001B&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.mystartsearch.com/web/?type=dspp&ts=1426522814&from=cmi&uid=SPCCXSSD110_001110001B&q={searchTerms}
O3 - Toolbar: (no name) - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)

3.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\9C048120-1426532841-11D5-A9D5-001E8CEC8239\bnso4FC7.exe','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.xoferif.bat','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.xoferif.bat http://lowsearch.ru','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.resworb.bat http://lowsearch.ru','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.erolpxei.bat http://lowsearch.ru','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.emorhc.bat http://lowsearch.ru','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.arepo.bat http://lowsearch.ru','');
 QuarantineFile('C:\Program Files\IGS\BasementDuster.exe','');
 DeleteService('BasementDuster');
 SetServiceStart('BasementDuster', 4);
 StopService('BasementDuster');
 QuarantineFile('C:\Program Files\IGS\BasementDusterCert.dll','');
 QuarantineFile('c:\program files\igs\basementduster.exe','');
 DeleteFile('c:\program files\igs\basementduster.exe','32');
 DeleteFile('C:\Program Files\IGS\BasementDusterCert.dll','32');
 DeleteFile('C:\Program Files\IGS\BasementDuster.exe','32');
 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.arepo.bat http://lowsearch.ru','32');
 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.emorhc.bat http://lowsearch.ru','32');
 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.erolpxei.bat http://lowsearch.ru','32');
 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.resworb.bat http://lowsearch.ru','32');
 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.xoferif.bat http://lowsearch.ru','32');
 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.xoferif.bat','32');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\9C048120-1426532841-11D5-A9D5-001E8CEC8239\bnso4FC7.exe','32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

4.

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, подробнее здесь . Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt

[regist]

+ - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Shanti87]

Через панель управления удалила только одну программу Mystartsearch, двух других в списке не было.
Все остальное сделала по пунктам.
Прикрепляю лог

[Shanti87]

лог Check_Browsers_LNK.log

[Shanti87]

Логи

[iskander-k]

Запустите сканирование МБАМ и удалите все , что будет найдено кроме этого

Цитата:

PUP.Optional.CrossRider.A, HKLM\SOFTWARE\Cinema Plus Pro 3.2cV24.03, , [fb365c35652581b5355e9940e320ce32], PUP.Optional.CrossRider.A, HKLM\SOFTWARE\Cinema Plus Pro 3.2cV24.03-nv, , [d55cbed35e2cc86eade644953ac96e92], PUP.Optional.CrossRider.A, HKLM\SOFTWARE\Cinema Plus Pro 3.2cV24.03-nv-ie, , [f53c01904a400531a2f18950d42f32ce],

[regist]

+ перед этим

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Удалить).
• Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

- выполните такой скрипт в AVZ

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Google Chrome\Gооgle Сhrоme.lnk','');
 QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Мozillа Firеfох.lnk','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Yаndeх.lnk','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Мail.Ru.lnk','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Мozilla Firеfox.lnk','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Оperа.lnk','');
 QuarantineFile('C:\Documents and Settings\user\Desktop\Неиспользуемые ярлыки\Орerа.lnk','');
 QuarantineFile('C:\Documents and Settings\user\Start Menu\Programs\Accessories\System Tools\Intеrnеt Еxрlоrer (Nо Аdd-ons).lnk','');
 QuarantineFile('C:\Documents and Settings\user\Start Menu\Programs\Intеrnеt Еxрlorer.lnk','');
 QuarantineFile('C:\Documents and Settings\All Users\Desktop\Рicture Motion Brоwser.lnk','');
 QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Sony Picture Utility\Инструменты для Handycam (жесткий диск)\НDD Handyсam Utility.lnk','');
 QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Sony Picture Utility\Источник импорта\Наndyсam (жесткий диск).lnk','');
 QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Sony Picture Utility\Рiсture Motiоn Вrоwsеr.lnk','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.xoferif.bat','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.resworb.bat','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.arepo.bat','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.resworbups.bat','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.rehcnualppa1ddhups.bat','');
 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.emorhc.bat','');
 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.xoferif.bat','');
 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.erolpxei.bat','');
 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.resworb.bat','');
 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.arepo.bat','');
 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.resworbups.bat','');
 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.rehcnualppa1ddhups.bat','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.