У вас там оказывается ещё остатки старой заразы, аж с 2011 года остались
.
Создайте текстовый файл
fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
Toolbar: HKU\S-1-5-21-756931912-3927492951-1065201170-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
FF Homepage: hxxp://mail.ru/cnt/10445?gp=openpart1
FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
CHR DefaultSuggestURL: Default -> http://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Plugin: (McAfee Security Scanner +) - C:\Program Files\McAfee Security Scan\3.0.318\npMcAfeeMss.dll No File
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Пользователь\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-14]
CHR HKLM\...\Chrome\Extension: [fidibeiehaokohhbnkdjmkcapgnndfkc] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jkagakiplhpgacmegfblcddbckenmiio] - https://clients2.google.com/service/update2/crx
Folder:C:\Users\Пользователь\AppData\Roaming\Eej8FIL7gEh7
Folder:C:\Users\Пользователь\AppData\Roaming\EgteLt7dtf7l
Folder:C:\Users\Пользователь\AppData\Roaming\EtFhl77hi6tl
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите
Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в
этом руководстве.
потом
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\', '*.exe', false, '', 0, 0);
QuarantineFile('C:\ProgramData\yivouaat.sfe', '');
QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\Edil6ktltGd6', '*.exe, *.dll, *.sys, *.bat, *.vbs, .js', true, '', 0, 0);
QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\fFLdJLjrg0jK', '*', true, '', 0, 0);
QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\EtFhl77hi6tl', '*', true, '', 0, 0);
QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\EgteLt7dtf7l', '*', true, '', 0, 0);
QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\Eej8FIL7gEh7', '*', true, '', 0, 0);
QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\Edil6ktltGd6', '*', true, '', 0, 0);
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\phatk110817.cl', '');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\poclbm110817.cl', '');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\libpthread-2.dll', '');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\libpthread-2.dll');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\example-cfg.json', '');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\example-cfg.json');
DeleteFile('C:\ProgramData\yivouaat.sfe');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\phatk110817.cl');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\poclbm110817.cl');
DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\', '*.exe', false);
DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\fFLdJLjrg0jK', '*', true);
DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\EtFhl77hi6tl', '*', true);
DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\EgteLt7dtf7l', '*', true);
DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\Eej8FIL7gEh7', '*', true);
DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\Edil6ktltGd6', '*', true);
DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\fFLdJLjrg0jK');
DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\EtFhl77hi6tl');
DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\EgteLt7dtf7l');
DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\Eej8FIL7gEh7');
DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\Edil6ktltGd6');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл
quarantine.zip из папки AVZ загрузите по ссылке "
Прислать запрошенный карантин" вверху темы.
сделайте свежие логи Farbar Recovery Scan Tool
