1) Запустите файл
Код:
C:\Users\Андрей\Local Settings\Application Data\Webalta Toolbar\uninstall.exe
2) Здравствуйте!
Закройте все программы,
временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт): (надеюсь вы помните, что
запускать надо правой кнопкой от имени администратора).
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('D:\Взлом\MPK\mpk.exe','');
QuarantineFile('C:\PROGRA~3\Mozilla\ghzpjyb.exe','');
QuarantineFile('C:\PROGRA~3\Mozilla\xabzymc.dll','');
QuarantineFileF('C:\Users\Андрей\Local Settings\Application Data\Webalta Toolbar','*', true,'',0 ,0);
QuarantineFileF('C:\ProgramData\MPK\','*', true,'',0 ,0);
QuarantineFileF('C:\Users\Андрей\AppData\Local\Webalta Toolbar','*', true,'',0 ,0);
QuarantineFile('D:\Програми\Avira 13\Keys\avkeys.exe','');
DeleteFile('C:\PROGRA~3\Mozilla\xabzymc.dll','32');
DeleteFile('C:\PROGRA~3\Mozilla\ghzpjyb.exe','32');
DeleteFile('C:\Windows\system32\Tasks\dnfnolc','64');
DeleteFile('D:\Взлом\MPK\mpk.exe','32');
DeleteFileMask('C:\Users\Андрей\Local Settings\Application Data\Webalta Toolbar', '*', true);
DeleteFileMask('C:\ProgramData\MPK\', '*', true);
DeleteFileMask('C:\Users\Андрей\AppData\Local\Webalta Toolbar', '*', true);
DeleteDirectory('C:\Users\Андрей\Local Settings\Application Data\Webalta Toolbar', '');
DeleteDirectory('C:\ProgramData\MPK\', '');
DeleteDirectory('C:\Users\Андрей\AppData\Local\Webalta Toolbar', '');
QuarantineFileF('C:\ProgramData\MPK','*', true,'',0 ,0);
DeleteFileMask('C:\ProgramData\MPK', '*', true);
DeleteDirectory('C:\ProgramData\MPK', '');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
end.
после выполнения скрипта компьютер перезагрузится.
3) Файл
quarantine.zip из папки AVZ отправьте с помощью
этой формы или на этот почтовый ящик:
quarantine <at> safezone.cc (замените
<at> на
@) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля:
virus в теле письма.
Сделайте новые логи
virusinfo_syscheck.zip; log.txt, info.txt.
4)
Внимание, следующее действие удалит установленные тулбары.
- Запустите повторно AdwCleaner (by Xplode), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!
5) Повторите сканирование в MBAM если уже его закрыли, отметьте галочками
всё кроме указанных ниже строчек - нажмите "
Remove Selected" ("
Удалить выделенные" -
смотрите, что удаляете).
Подробнее читайте в
руководстве
Код:
Обнаруженные процессы в памяти: 1
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> 480 -> Действие не было предпринято.
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\activator.exe (PUP.Hacktool) -> Действие не было предпринято.
C:\Program Files\TC\Programs\UltraISO\reg.zip (Riskware.Tool.CK) -> Действие не было предпринято.
C:\Program Files\TC\Programs\WinRAR\keygens.zip (PUP.RiskwareTool.CK) -> Действие не было предпринято.
C:\Program Files\TC\Programs\WinRARx64\keygens.zip (PUP.RiskwareTool.CK) -> Действие не было предпринято.
D:\Програми\Avira 13\Keys\avkeys.exe (Trojan.MSIL) -> Действие не было предпринято.
После удаления перезагрузитесь, после чего ещё раз просканируйте и прикрепите к своему сообщению новый лог.
5) смените все пароли!
