Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:
 

Название темы: Вирус из-за нагруженности или сбоя беспроводной сети
Показать сообщение отдельно

Аватара для akok

Ветеран


Консультант


Сообщения: 766
Благодарности: 204

Профиль | Сайт | Отправить PM | Цитировать

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код: Выделить весь код
>>> [HTTP][RO][s] "C:\Users\Denis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"   -> ["C:\Program Files\Internet Explorer\iexplore.exe"  =>> "hxxp://rugooglee.ru"]
>>> [HTTP][RO][s] "C:\Users\Denis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera Unofficial.lnk"         -> ["C:\Program Files\Opera Unofficial\OperaLauncher.exe"  =>> "hxxp://rugooglee.ru"]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: Выделить весь код
 begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('BrsHelper', 4);
 SetServiceStart('sbmntr', 4);
 StopService('sbmntr');
 QuarantineFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll', '');
 QuarantineFile('C:\PROGRA~2\YTDOWN~1\BROWSE~2.EXE', '');
 QuarantineFile('C:\PROGRA~2\YTDOWN~1\sbmntr.sys', '');
 QuarantineFile('C:\Program Files\Common Files\lsass.exe', '');
 QuarantineFile('C:\ProgramData\csrss.exe', '');
 QuarantineFile('C:\Users\Denis\AppData\Local\GoToMeeting\12933\g2mupdate.exe', '');
 QuarantineFile('C:\windows\3622157919425178\winlpwq.exe', '');
 QuarantineFile('C:\windows\4898364518958176\winutmx.exe', '');
 QuarantineFile('C:\windows\7485253215635974\winbjyv.exe', '');
 QuarantineFile('c:\windows\8677886615281465\winxbbk.exe', '');
 QuarantineFile('C:\windows\TEMP\13784225D.sys', '');
 DeleteFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll', '64');
 DeleteFile('C:\PROGRA~2\YTDOWN~1\BROWSE~2.EXE', '64');
 DeleteFile('C:\PROGRA~2\YTDOWN~1\sbmntr.sys', '64');
 DeleteFile('C:\Program Files\Common Files\lsass.exe', '64');
 DeleteFile('C:\ProgramData\csrss.exe', '64');
 DeleteFile('C:\windows\3622157919425178\winlpwq.exe', '32');
 DeleteFile('C:\windows\4898364518958176\winutmx.exe', '32');
 DeleteFile('C:\windows\7485253215635974\winbjyv.exe', '32');
 DeleteFile('C:\windows\8677886615281465\winxbbk.exe', '32');
 DeleteFile('C:\windows\TEMP\13784225D.sys', '64');
 DeleteService('BrsHelper');
 DeleteService('sbmntr');
 DeleteSchedulerTask('{09399987-F793-40B0-B656-CC867CFA2123}');
 DeleteSchedulerTask('{12604B4A-F4E6-4B87-B33E-44B53D190937}');
 DeleteSchedulerTask('{178360DF-B20C-4A83-ACD3-705BB4602DB4}');
 DeleteSchedulerTask('{308572E5-0208-4AF5-A4DB-2985F5656709}');
 DeleteSchedulerTask('{37723531-5D36-48C3-BB27-8729662544D4}');
 DeleteSchedulerTask('{436A0DC9-D57F-4F47-9D3C-37B7CE4C7A51}');
 DeleteSchedulerTask('{4ED37E70-E849-4099-BBA6-BB644C7A95F3}');
 DeleteSchedulerTask('{65EDA0D1-369D-4884-A6F4-D77BB423A742}');
 DeleteSchedulerTask('{6AB136DB-E49D-497D-A17C-BC233FDBBF1F}');
 DeleteSchedulerTask('{6B7E0833-E63A-4AA5-A3BF-4CCFAB0C99A8}');
 DeleteSchedulerTask('{A240B0D5-E5E7-4E10-94D1-885B57E771DF}');
 DeleteSchedulerTask('{B8AB0158-C4AB-498A-81B2-1ECA206B52A4}');
 DeleteSchedulerTask('{C45BD810-8B63-4B2F-B539-2B2C88B540B7}');
 DeleteSchedulerTask('{CD0DCB76-2622-4939-9BEF-1AAF6D637FAB}');
 DeleteSchedulerTask('{D4DD82C2-03A7-416C-B9C1-B35B0E6DD8DA}');
 DeleteSchedulerTask('{E0EB5928-6342-4B39-AD5D-CD0B73DF9C73}');
 DeleteSchedulerTask('{E4F926E9-85CC-4620-97DE-5BFBB485ACD3}');
 DeleteSchedulerTask('{EB223C7B-1C75-44DD-AB60-295F36F20620}');
 DeleteSchedulerTask('{EB6F3EDC-3D1C-464B-9D66-3037975573AD}');
 DeleteSchedulerTask('{F46A1C3A-BFB7-4184-B846-A5FD9724F226}');
 DeleteSchedulerTask('{FBD68C56-6230-4623-B52C-6BEE2CC938AD}');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\SMupdate2');
 DeleteSchedulerTask('Microsoft\Windows\Multimedia\SMupdate3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'Audio Driver', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Microsoft Windows Services', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows DDGG', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update 39405', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'WindowsServicesUpdates32', 'x32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
 ExecuteRepair(3);
 ExecuteRepair(4);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: Выделить весь код
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма..

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: Выделить весь код
O4-32 - HKLM\..\Run: [Microsoft Windows Services] = C:\windows\8677886615281465\winxbbk.exe
O4-32 - HKLM\..\Run: [Windows DDGG] = C:\windows\7485253215635974\winbjyv.exe
O4-32 - HKLM\..\Run: [Windows Update 39405] = C:\windows\3622157919425178\winlpwq.exe
O4-32 - HKLM\..\Run: [WindowsServicesUpdates32] = C:\windows\4898364518958176\winutmx.exe
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

-------

Отправлено: 16:42, 04-05-2019 | #2

Название темы: Вирус из-за нагруженности или сбоя беспроводной сети