CHKLST.RU
В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

ЕВГЕНИЙ: Плановая проверка

отредактировано Ноябрь 2016 Раздел: Форум лечения заражений
тест
«13456

Комментарии

  • хорошо, возможно это временное решение,
  • отредактировано Март 2016 PM
    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    ;uVS v3.87.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v385c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------

    chklst
    delvir

    delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=GFIMGICDOMBNIJNJGPCKDJHNJMAAPAFJ&INSTALLSOURCE=ONDEMAND&UC

    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=GKBEHDIBCCCCAKLBCHJDJKPIFIKJICLO&INSTALLSOURCE=ONDEMAND&UC

    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=MDELDJOLAMFBCGNNDJMJJIINNHBNBNLA&INSTALLSOURCE=ONDEMAND&UC

    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GFIMGICDOMBNIJNJGPCKDJHNJMAAPAFJ\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=DHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO&INSTALLSOURCE=ONDEMAND&UC

    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=DMPOJJILDDEFGNHIICJCMHBKJGBBCLOB&INSTALLSOURCE=ONDEMAND&UC

    regt 27
    regt 28
    regt 29
    ; OpenAL
    exec C:\Program Files (x86)\OpenAL\oalinst.exe" /U
    deltmp
    delnfr
    ;-------------------------------------------------------------

    restart
    перезагрузка, пишем о старых и новых проблемах.
    ----------
    далее,
    выполните сканирование (угроз) в Malwarebytes
  • 002 ювс http://rghost.ru/8NxRr8NdJ (по возможности удалить китайский софт)
  • отредактировано Апрель 2016 PM
    по 002:

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    ;uVS v3.87.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    OFFSGNSAVE
    sreg

    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\PLUGINS\QQREPAIR2335
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16923.222\TAOFRAME.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\PLUGINS\QQREPAIRFIXSVC
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16923.222\QQPCRTP.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16923.222\TS888X64.SYS
    delref %Sys32%\DRIVERS\TSSKX64.SYS
    delref %Sys32%\DRIVERS\CHERIMOYA.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16923.222\QMUDISK64.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16923.222\QQSYSMONX64.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16923.222\SOFTAAL64.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\PLUGINS\SREPAIRDRV
    delref %Sys32%\DRIVERS\TAOACCELERATOR64.SYS
    delref %Sys32%\DRIVERS\TAOKERNEL64.SYS
    delref %Sys32%\DRIVERS\TFSFLTX64.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16923.222\TSDEFENSEBT64.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16923.222\TSSYSKIT64.SYS
    delref %Sys32%\DRIVERS\UCGUARD.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16923.222\QQPCTRAY.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\SCREENSHOTERRF\SCREENSHOTER.RF.EXE
    delref %SystemDrive%\PROGRAM FILES\SPACESOUNDPRO\SPACESOUNDPRO.EXE
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\BIRDS\BIRDS365.EXE
    areg
    перезагрузка, пишем о старых и новых проблемах.
    +
    добавить новый образ автозапуска.
  • выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    ;uVS v3.87.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    OFFSGNSAVE

    delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\STARTMENU\强力卸载电脑上的软件 .LNK
    delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\PROSHOPPER\PROSHOPPER.EXE
    ;------------------------autoscript---------------------------

    chklst
    delvir

    delref %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\APPLICATION\UPDATE_TASK.EXE
    del %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\APPLICATION\UPDATE_TASK.EXE

    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC

    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHBLDCGBJBLIPEGBECLMCNNDDNOPNHJM%26INSTALLSOURCE%3DONDEMAND%26UC

    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC

    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEIDJEEFDDHGEFEPLHDLEGOLDLGIODON%26INSTALLSOURCE%3DONDEMAND%26UC

    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLGDNILODCPLJOMELBBNPGDOGDBMCLBNI%26INSTALLSOURCE%3DONDEMAND%26UC

    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

    delref %SystemDrive%\PROGRAM FILES (X86)\SCREENSHOTERRF\SCREENSHOTER.RF.EXE
    del %SystemDrive%\PROGRAM FILES (X86)\SCREENSHOTERRF\SCREENSHOTER.RF.EXE

    deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16923.222

    delref %Sys32%\IHCTRL32.DLL
    del %Sys32%\IHCTRL32.DLL

    delref %Sys32%\DRIVERS\UCGUARD.SYS
    del %Sys32%\DRIVERS\UCGUARD.SYS

    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.2_0\ПОИСК MAIL.RU
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\1.2.9.2_0\СТАРТОВАЯ — ЯНДЕКС
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.2.0.1_0\СТАРТОВАЯ — ЯНДЕКС
    delref %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\APPLICATION\UCBROWSER.EXE
    del %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\APPLICATION\UCBROWSER.EXE

    delref %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\APPLICATION\UNINSTALL.EXE
    del %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\APPLICATION\UNINSTALL.EXE

    deltmp
    delnfr
    ;-------------------------------------------------------------

    restart
    перезагрузка, пишем о старых и новых проблемах.
    ----------
    +
    выполнить проверку в малваребайт
    https://forum.esetnod32.ru/forum9/topic10688/
  • 003:
    судя по образу, все ок.

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    ;uVS v3.87.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------

    chklst
    delvir

    deltmp
    delnfr
    ;-------------------------------------------------------------

    restart
    перезагрузка, пишем о старых и новых проблемах.
    ----------
  • 004 ювс http://rgho.st/8KLPBf9CV
    как-то странно ведет себя хром - то работает то не хочет запускаться
  • отредактировано Май 2016 PM
    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    ;uVS v3.87.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------

    chklst
    delvir

    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FOOCPCIKEAKAHDLPLGPGFOILANOAJIJF\2.4.0_0\SLITHER.IO MOD PLAY WITH FRIENDS WITHOUT LAGS
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LADDJIJKCFPAKBBNNEDBHNNCIECIDNCP\8.17.1_0\ПОИСК ЯНДЕКСA

    deltmp
    delnfr
    ;-------------------------------------------------------------

    restart
    перезагрузка, пишем о старых и новых проблемах.
    ----------
    если проблема не излечится,
    добавьте лог FRST
    https://forum.esetnod32.ru/forum9/topic2798/
  • по 005: особых проблем не вижу по образу.
    java если нужен надо будет обязательно установить актуальную версию.

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    ;uVS v3.87.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    OFFSGNSAVE
    delref %SystemDrive%\USERS\SPAUN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CFHNMHPIBGMLGFAHAGJEFLHOACONCAGP\1.5_0\ВХОД В ОДНОКЛАССНИКИ.RU
    ;------------------------autoscript---------------------------

    chklst
    delvir

    ; Java(TM) 6 Update 20
    exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet
    deltmp
    delnfr
    ;-------------------------------------------------------------

    restart
    перезагрузка, пишем о старых и новых проблемах.
    ----------
  • судя по образу, возможно лишь в хроме были левые расширения.

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    ;uVS v3.87.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------

    chklst
    delvir

    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC

    deltmp
    delnfr
    ;-------------------------------------------------------------

    restart
    перезагрузка, пишем о старых и новых проблемах.
    ----------
    далее,
    выполните быстрое сканирование (угроз) в Malwarebytes
  • отредактировано Июнь 2016 PM
    Женя, как то особых проблем не вижу по образу.

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    ;uVS v3.87.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    OFFSGNSAVE
    deltmp
    delnfr
    restart
    перезагрузка, пишем о старых и новых проблемах.
    ----------
  • 008 на сайтах всплывает реклама http://rgho.st/6hzZ2ZMzS
  • 008:

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    ;uVS v3.87.4 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    chklst
    delvir
    
    delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=CNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH&INSTALLSOURCE=ONDEMAND&UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE&INSTALLSOURCE=ONDEMAND&UC
    
    deldirex %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA3171\CH
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=MDELDJOLAMFBCGNNDJMJJIINNHBNBNLA&INSTALLSOURCE=ONDEMAND&UC
    
    deldirex %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA478\CH
    
    deldirex %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA3171
    
    deldirex %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA478
    
    del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL
    
    regt 28
    regt 29
    deltmp
    delnfr
    ;-------------------------------------------------------------
    
    regt 27
    restart
    
    
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    выполните cканирование (угроз) в Malwarebytes
  • 360 тотал секюрити тоже бы удалить
  • отредактировано Август 2016 PM
    Женя,
    в системе установлено два антивируса. Касперский и 360.
    ;uVS v3.87.4 [http://dsrt.dyndns.org] [Windows 6.1.7601 SP1 Service Pack 1]
    ; Процессы

    ?ВИРУС? (A)| C:\PROGRAM FILES (X86)\360\TOTAL SECURITY\SAFEMON\QHACTIVEDEFENSE.EXE
    ?ВИРУС? (A)| C:\PROGRAM FILES (X86)\360\TOTAL SECURITY\SAFEMON\QHSAFETRAY.EXE
    ?ВИРУС? (A)| C:\PROGRAM FILES (X86)\360\TOTAL SECURITY\SAFEMON\QHWATCHDOG.EXE
    АКТИВЕН | C:\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 15.0.2\AVP.EXE
    АКТИВЕН | C:\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 15.0.2\AVPUI.EXE

    Рекомендуем один деинсталлировать, и добавить новый образ автозапуска. Думаю, основная проблема здесь: реклама в браузерах.

    >>>>>>360 тотал секюрити тоже бы удалить
    его можно деинсталлировать через установку/удаление программ.
  • пробуем вначале деинсталлировать Total 360.
    ;uVS v3.87.4 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    OFFSGNSAVE
    
    exec32 C:\Program Files (x86)\360\Total Security\Uninstall.exe
    QUIT
    

    затем добавить новый образ автозапуска.
  • ок, total 360 нормально деинсталлировался.

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    ;uVS v3.87.4 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    OFFSGNSAVE
    zoo %SystemDrive%\PROGRAM FILES (X86)\HPPROTECTOR\WEBLAUNCHER.EXE
    addsgn 1A13729A5583CC8CF42B519424C95105AEC7089200F71F7885C39CE30F882AC7C64A92A5FD05F9B61E80849F469B0DDE71F48C565989E67BA45F2FC766763237 8 Trojan.StartPage1.28117 [DrWeb]
    
    zoo %SystemDrive%\USERS\ВАЛЯ\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
    addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]
    
    ;------------------------autoscript---------------------------
    
    chklst
    delvir
    
    deldirex %SystemDrive%\USERS\ВАЛЯ\APPDATA\LOCAL\MEDIAGET2
    
    deldirex %SystemDrive%\USERS\ВАЛЯ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=BBIDPPMGMDMJGFENJDAFCALMCIOLCEHP&INSTALLSOURCE=ONDEMAND&UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH&INSTALLSOURCE=ONDEMAND&UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=FDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG&INSTALLSOURCE=ONDEMAND&UC
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=IIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG&INSTALLSOURCE=ONDEMAND&UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=KFECNPMGNLNBMIPAOGFHOACOIOIFJGKO&INSTALLSOURCE=ONDEMAND&UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=NECFMKPLPMINFJAGBLFABGGOMDPAAKAN&INSTALLSOURCE=ONDEMAND&UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=PFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL&INSTALLSOURCE=ONDEMAND&UC
    
    delref %SystemDrive%\USERS\ВАЛЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DFLTUSER\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.11_0\СТАРТОВАЯ — ЯНДЕКС
    
    deldirex %SystemDrive%\USERS\ВАЛЯ\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\TSERVERINFO
    
    deldirex %SystemDrive%\USERS\ВАЛЯ\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\ISERVERINFO
    
    deldirex %SystemDrive%\USERS\ВАЛЯ\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\SSERVERINFO
    
    regt 27
    ; Findwide Toolbar
    exec C:\Users\Валя\AppData\Local\TNT2\2.0.0.1991\TNT2User.exe" /UNINSTALL PARTNER=11451
    exec "C:\Users\Валя\AppData\Local\Package Cache\{a4e708c3-efaf-49b0-aa5a-394305338e7b}\BrowserManagerInstaller.exe"  /uninstall
    exec32 "C:\Program Files (x86)\Аудио и видео скачивание\unins000.exe"
    
    deltmp
    delnfr
    ;-------------------------------------------------------------
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    выполните сканирование (угроз) в Malwarebytes

    скан в малваребайт надо обязательно сделать, возможно еще часть мусора из системы вычистится, которого нет в образе.
  • пока мбам сканирует следующий случай
    010 http://muonium.rgho.st/8Wh5KphXZ
  • отредактировано Август 2016 PM
    по 09:

    2.удалите все найденное в малваребайт
    перегрузите систему
    далее,
    3.сделайте проверку в АдвКлинере
    http://forum.esetnod32.ru/forum9/topic7084/

    *****
    4.в АдвКлинере, после завершения проверки,
    в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
    остальное удалите по кнопке Очистить
    далее,

    5.сделайте проверку в FRST
    http://forum.esetnod32.ru/forum9/topic2798/
    010 сейчас гляну.
  • отредактировано Август 2016 PM
    по 010:
    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    ;uVS v3.87.4 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    OFFSGNSAVE
    zoo %SystemDrive%\USERS\ПК\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
    addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]
    
    ;------------------------autoscript---------------------------
    
    chklst
    delvir
    
    delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
    
    delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
    
    deldirex %SystemDrive%\USERS\ПК\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=AEEMBEEJEKGHKOPIABADONPMFPIGOJOK&INSTALLSOURCE=ONDEMAND&UC
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB&INSTALLSOURCE=ONDEMAND&UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH&INSTALLSOURCE=ONDEMAND&UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=FDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG&INSTALLSOURCE=ONDEMAND&UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=GDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO&INSTALLSOURCE=ONDEMAND&UC
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=IIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG&INSTALLSOURCE=ONDEMAND&UC
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=JDFONANKHFNHIHDCPAAGPABBAOCLNJFP&INSTALLSOURCE=ONDEMAND&UC
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=JGGBJBMNFMIPGCANIDAMJFPECHDEEKOI&INSTALLSOURCE=ONDEMAND&UC
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=LBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM&INSTALLSOURCE=ONDEMAND&UC
    
    delref %SystemDrive%\USERS\ПК\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU
    
    delref %SystemDrive%\USERS\ПК\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.11_0\СТАРТОВАЯ — ЯНДЕКС
    
    deldirex %SystemDrive%\USERS\ПК\APPDATA\LOCAL\UNITY\WEBPLAYER
    
    deldirex %SystemDrive%\USERS\ПК\APPDATA\LOCAL\MEDIAGET2
    
    deldirex %SystemDrive%\USERS\ПК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET2
    
    REGT 27
    regt 28
    regt 29
    deltmp
    delnfr
    ;-------------------------------------------------------------
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    выполните сканирование (угроз) в Malwarebytes
Войдите или Зарегистрируйтесь чтобы комментировать.