rdp wrapper - ваше?
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\program files (x86)\winstep\wsxservice.exe', '');
QuarantineFile('c:\programdata\realtekhd\taskhostw.exe', '');
QuarantineFile('c:\users\muriko\desktop\autologger\avz\da.exe', '');
DeleteFile('c:\programdata\realtekhd\taskhostw.exe', '32');
DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64');
DeleteSchedulerTask('Microsoft\Windows\Wininet\SystemC');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', 'x32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', 'x64');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteRepair(9);
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма..
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft -
O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates -
O26 - Debugger: HKLM\..\EOSNOTIFY.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\InstallAgent.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\MUSNOTIFICATIONUX.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\MusNotification.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\SIHClient.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UpdateAssistant.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UsoClient.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WINDOWS10UPGRADERAPP.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WaaSMedic.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WaasMedicAgent.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\Windows10Upgrade.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\dismHost.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\remsh.exe: [Debugger] = * (file missing)
- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:- Запустите AVZ.
- Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
- В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
- Закачайте полученный архив, как описано на этой странице.
- Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
|