Закройте все программы,
временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\WinUpd.dll','');
QuarantineFile('C:\crypto\CPUMIN~1.EXE','');
QuarantineFile('C:\crypto\TrayIt!.exe','');
DeleteFile('C:\crypto\TrayIt!.exe','64');
DeleteFile('C:\crypto\CPUMIN~1.EXE','64');
DeleteFile('C:\WINDOWS\WinUpd.dll','64');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Furmark.lnk','x64');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^TrayIt!.lnk','x64');
DeleteFileMask('C:\crypto\', '*', true);
DeleteDirectory('C:\crypto\');
DeleteSchedulerTask('251a94de-fce3-49e4-9a38-b8fd41747fd4');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.
Компьютер
перезагрузится.
После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл
quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью
этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик:
quarantine <at> safezone.cc (замените
<at> на
@) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля:
virus в теле письма..
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - HKLM\..\BHO: (no name) - {13D67BB7-DB5F-48AA-884D-7A5D94168509} - (no file)
O2 - HKLM\..\BHO: (no name) - {311BA51F-64F2-439D-9A4A-772373D77312} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {13D67BB7-DB5F-48AA-884D-7A5D94168509} - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать ВСЕ при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Передать на удаленную закачку DM: (default) = (no file)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\0_sxBZOverlayIcon: (no name) - {6457FB0A-5C02-4393-909C-2139A5D5571F} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\0_sxConfidentialOIcon: (no name) - {871FE18B-B68D-4437-BC76-6634996CDB97} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\0_sxForbiddenOIcon: (no name) - {1F03249C-6AB2-4E31-8C10-86F7E31E3B4E} - (no file)
Скачайте
Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку
Scan.
После окончания сканирования будут созданы отчеты
FRST.txt,
Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в
этом руководстве.