[ Закрыто ] вирус SHOWJET, выскакивает showjet

Добрый день.
Решить проблему пробовал malwarebyres и adwcleaner, но так все по нулям.
Прошу вашей помощи!

Отчет SysInspector и образ автозапуска системы прилагаю
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAM FILES\DEFENDER SCORPION X7 GAMEPAD\X86\XI.DLL
addsgn 6E8C9F9A556A4C2F8839A93CE981ECFADA0AC5F7867E5D7A85C303BD515DB467A6CA3EA8C1DC1894D67F7B9EC31BB70582525D23AB254F2D2B22F245876E2263 8 Win32/LockScreen.BAS 7

zoo H:\DISHONORED 2\STP-DH2.EXE
addsgn A1BA20CF1DE779C7460251F9E9761275DF75ABC752CBD630060E3A5400D6714C22CCB755CD96165763036A6357CDC3EC8E1CA0FF51F533D528FDB459E64EA18E 8 miner 7

chklst
delvir

delref HTTP=127.0.0.1:4444;HTTPS=127.0.0.1:444;FTP=127.0.0.1:444
apply

deltmp
delref %SystemDrive%\USERS\1\APPDATA\ROAMING\DISCORD\0.0.304\MODULES\DISCORD_DESKTOP_CORE\CORE.ASAR\APP\MAINSCREENPRELOAD.JS
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\MCE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {57B83450-FD6E-4A1E-8B53-1320576F8054}\[CLSID]
delref {870B678D-913A-4ABC-81FC-9F380BB4B24D}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\NPNV3DV.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\NPNV3DVSTREAMING.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {05A1D945-A794-44EF-B41A-2F851A117155}\[CLSID]
delref {3376086C-D6F9-4CE4-8B89-33CD570106B5}\[CLSID]
delref {6DDA37BA-0553-499A-AE0D-BEBA67204548}\[CLSID]
delref {C9361F5A-3282-4944-9899-6D99CDC5370B}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\BCSCLIENT.MSG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\MSIPC\EN-US\MSIPC.DLL.MUI
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\MSIPC\MSIPC.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\45357F66-7636F710-7F57E28E-D739A7C0\6498A701.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\HOTSPOT SHIELD\BIN\TRAFMGR_1_4_64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BIGNOX\BIGNOXVM\RT\NOXVMSVC.EXE
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\WBEM\KEYBOARDFILTERWMI.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref {0468C085-CA5B-11D0-AF08-00609797F0E0}\[CLSID]
delref %SystemDrive%\USERS\1\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\MIPHONEMANAGER\MAIN\MIPHONEMANAGER.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\MIPHONEMANAGER\MAIN\UNINSTALL.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
Запустил скрипт, компьютер перезагрузился. Запускаю ютуб, делаю клик, а оно опять открылось. Пробовал понять от чего это зависит и сделал вывод, что скорее всего работает по таймеру, т.к. от кол-ва кликов не зависит, а открывается именно от клика.

UPD. Также забыл добавить что иногда в вкладка полностью открывается и я вижу сайт showjet, но в большинстве случаев вкладка не успевает открыться.
Не успеваю даже посмотреть что открылось. Думал сначала баг какой, а потом у меня открылся showjet и я решил написать вам.
Изменено: Денис Давыденко - 16.01.2019 19:49:24
цитировать не надо наши ответы без необходимости,
таки у нас не дискуссия, а диалог.

3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
За цитату извиняюсь, думал вам так быстрее уведомление дойдет.
Адвклинером еще до этого сканировал, креплю лог где он что то нашел и сегодняшний.  
Изменено: Денис Давыденко - 16.01.2019 21:17:25
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
  
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Task: {B2F4AC84-A8D0-4524-9363-BFF5A5911A00} - \Microsoft\Windows\BrokerInfrastructure\BgTaskRegistrationMaintenanceTask -> No File <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION

EmptyTemp:
Reboot:


Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...
и
Пишем по _общему результату лечения
Изменено: RP55 RP55 - 17.01.2019 10:26:24
После фикса зашел на ютуб и покликал пару раз, все тоже самое.
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


Код
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
restart
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES\SANDBOXIE\SBIEDRV.SYS
del %SystemDrive%\PROGRAM FILES\SANDBOXIE\SBIEDRV.SYS
apply








Проблема в одном браузере, или во всех ?
? Это знакомо: C:\QT\QT5.11.2\5.11.2\MINGW53_32\BIN\QTENV2.BAT
Выполнил скрипт, вроде все хорошо. Проблема только в одном браузере была. C:\QT\QT5.11.2\5.11.2\MINGW53_32\BIN\QTENV2.BAT Сам батник не знаю, но папка со студией программирования. Всем спасибо большое!

UDP Вкладка все же открывается, сейчас скину логи из malwarebytes
Логи не все, но там просто повторы с другим временем будут.
Изменено: Денис Давыденко - 18.01.2019 03:54:04
В каком именно браузере? в Chrome? проверьте как будет работать Chrome при отключенных расширениях. Отключайте по одному, пока не обнаружится источник проблемы.
Читают тему (гостей: 5)