OWEN101, Приветы.
Отключите:
Антивирус/Файерволл.
• Выполните скрипт
AVZ. Меню
Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка
Запустить, после выполнения компьютер перезагрузится.
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\587.tmp','');
QuarantineFile('C:\WINDOWS\system32\ixhufll.dll','');
QuarantineFile('C:\System Volume Information\_restore{72D2D334-DC9D-450E-B45A-7ECEB3FE1944}\RP344\A0083172.dll','');
QuarantineFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\wyiWXTQEIbA.exe','');
DeleteFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\wyiWXTQEIbA.exe');
DeleteFile('C:\System Volume Information\_restore{72D2D334-DC9D-450E-B45A-7ECEB3FE1944}\RP344\A0083172.dll');
DeleteFile('C:\WINDOWS\system32\587.tmp');
DeleteFile('C:\WINDOWS\system32\ixhufll.dll');
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
DelBHO('{5C255C8A-E604-49b4-9D64-90988571CECB}');
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
ExecuteRepair(13);
RebootWindows(true);
end.
После перезагрузки откроется папка AVZ в которой будет файл
quarantine.zip. Отправьте
quarantine.zip при помощи
этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.
• Нужно
Пофиксить в эти строки в
HiJackThis. Возможно некоторых строчек не будет, ничего страшного.
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O1 - Hosts: 31.214.145.172 odnoklassniki.ru
O1 - Hosts: 31.214.145.172 www.facebook.com
O1 - Hosts: 31.214.145.172 www.vk.com
O1 - Hosts: 31.214.145.172 www.vkontakte.ru
O1 - Hosts: 31.214.145.172 vk.com
O1 - Hosts: 31.214.145.172 facebook.com
O1 - Hosts: 31.214.145.172 www.odnoklassniki.ru
O1 - Hosts: 31.214.145.172 ru-ru.facebook.com
O1 - Hosts: 31.214.145.172 vkontakte.ru
O1 - Hosts: 31.214.145.172 vkontakte.ru
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - S-1-5-18 Startup: wyiWXTQEIbA.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: wyiWXTQEIbA.exe (User 'Default user')
O4 - Startup: wyiWXTQEIbA.exe
Сделайте повторные логи AVZ + RSIT
Скачайте
Malwarebytes' Anti-Malware или с
зеркала, установите, обновите базы, выберите "
Perform Full Scan", нажмите "
Scan", после сканирования -
Ok -
Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.
http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление
MBAM
