[iskander-k]

Выложите логи http://forum.oszone.net/thread-98169.html

[ildar89m]

iskander-k,

[vvvyg]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 TerminateProcessByName('c:\windows\syswow64\rundll32.exe');
 TerminateProcessByName('c:\users\Ильдар\appdata\local\mail.ru\mrkeeper.exe');
 TerminateProcessByName('c:\program files (x86)\075bfa80-1447871765-0000-0000-000000000000\jnsp6677.tmp');
 TerminateProcessByName('C:\Program Files\Content Defender\ContentDefender.exe');
 StopService('jufyribu');
 StopService('ContentDefender');
 QuarantineFile('C:\Windows\system32\drivers\contentdefenderdrv.sys', '');
 QuarantineFile('C:\Users\Ильдар\AppData\Local\Rush Image\zBin\RushImage.dll', '');
 QuarantineFile('C:\Users\Ильдар\AppData\Local\Rush Image\zBin\cyqqi.dll', '');
 QuarantineFile('C:\Users\Ильдар\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '');
 QuarantineFile('c:\users\Ильдар\appdata\local\mail.ru\mrkeeper.exe', '');
 QuarantineFile('c:\program files (x86)\075bfa80-1447871765-0000-0000-000000000000\jnsp6677.tmp', '');
 QuarantineFile('C:\Program Files\Content Defender\ContentDefender.exe', '');
 DeleteFile('C:\Program Files\Content Defender\ContentDefender.exe', '32');
 DeleteFile('c:\users\Ильдар\appdata\local\mail.ru\mrkeeper.exe', '32');
 DeleteFile('C:\Users\Ильдар\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '32');
 DeleteFile('C:\Users\Ильдар\AppData\Local\Rush Image\zBin\cyqqi.dll', '32');
 DeleteFile('C:\Users\Ильдар\AppData\Local\Rush Image\zBin\RushImage.dll', '32');
 DeleteFile('C:\Windows\system32\drivers\contentdefenderdrv.sys', '32');
 DeleteFile('C:\Program Files (x86)\075BFA80-1447871765-0000-0000-000000000000\jnsp6677.tmp', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\zc1h3r7o5m4e.lnk', '32');
 DeleteFile('C:\Users\Ильдар\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\coupondo\coupondo.lnk', '32');
 DeleteService('swsedrvr_vt_1_10_0_25');
 DeleteService('contentdefenderdrv');
 DeleteService('jufyribu');
 DeleteService('myfejozi');
 DeleteService('ContentDefender');
 DeleteFileMask('C:\Program Files (x86)\SFK', '*', true);
 DeleteFileMask('C:\ProgramData\QWMiniProQ', '*', true);
 DeleteFileMask('C:\Users\Ильдар\AppData\Roaming\istartpageing', '*', true);
 DeleteFileMask('C:\Program Files\AmazingTab', '*', true);
 DeleteFileMask('C:\Users\Ильдар\AppData\Roaming\cpuminer', '*', true);
 DeleteFileMask('C:\Program Files (x86)\075BFA80-1447871765-0000-0000-000000000000', '*', true);
 DeleteFileMask('C:\Program Files\Content Defender', '*', true);
 DeleteFileMask('C:\ProgramData\lnpAggVdwH', '*', true);
 DeleteFileMask('C:\Users\Ильдар\AppData\Roaming\Searcher', '*', true);
 DeleteFileMask('C:\ProgramData\vbkuAkLbiyfAZF', '*', true);
 DeleteDirectory('C:\Program Files (x86)\SFK');
 DeleteDirectory('C:\ProgramData\QWMiniProQ');
 DeleteDirectory('C:\Users\Ильдар\AppData\Roaming\istartpageing');
 DeleteDirectory('C:\Program Files\AmazingTab');
 DeleteDirectory('C:\Users\Ильдар\AppData\Roaming\cpuminer');
 DeleteDirectory('C:\Program Files (x86)\075BFA80-1447871765-0000-0000-000000000000');
 DeleteDirectory('C:\Program Files\Content Defender');
 DeleteDirectory('C:\ProgramData\lnpAggVdwH');
 DeleteDirectory('C:\Users\Ильдар\AppData\Roaming\Searcher');
 DeleteDirectory('C:\ProgramData\vbkuAkLbiyfAZF');
 DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
 ExecuteFile('schtasks.exe', '/delete /TN "Rush Image" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_46750A8B5F67F5233A0B3C70156B71BD');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

[ildar89m]

Отправляю логи

[vvvyg]

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования уберите галочки на вкладках Папки (Folders) и Реестр (Registry) со всех пунктов, где упоминаются MediaGet если используете эту программу.
В пункте меню "Настройки" (Settings) установите галочку "Сброс политик Chrome".
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[ildar89m]

vvvyg, Папки и реестор там галочек небыло нигде, "Сброс политик Chrome" выполнил.

[ildar89m]

vvvyg,

Цитата vvvyg:

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами. »

Теперь все нормально банеров не вижу, только лицензия почему то слетела после нападения вируса.

[vvvyg]

Rckb система лицензионная - активируйте повторно.