[Sandor]

Здравствуйте!

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\08DE~1\AppData\Local\Temp\fixsvc.exe', '');
 QuarantineFile('C:\Users\Анастасия\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Users\Анастасия\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 DeleteFile('C:\Users\08DE~1\AppData\Local\Temp\fixsvc.exe', '32');
 DeleteFile('C:\Users\Анастасия\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
 DeleteFile('C:\Users\Анастасия\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
 DeleteService('utilshelper');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


3. Файл CheckBrowserLnk.log
из папки

Цитата:

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


4.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Assael]

1. Выполнено.
2. Отправила.
3. Выполнено, прикладываю лог.
4. Выполнено, прикладываю отчет.

[Sandor]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

Подробнее читайте в этом руководстве.

Далее:

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

5. Подробнее читайте в руководстве Как подготовить лог UVS.

[Assael]

Продолжаю открывать нормальный браузер chrome через Поиск -> Chrome.exe, так как в меню Пуск (Windows 8.1) нет вообще ни одного браузера. При открытии Chrome появилось вот что (скриншот)

Прикрепляю лог AdwCleaner.
Прикрепляю лог UVS. Если не удастся прикрепить в этом сообщении - выложу сразу же следующим.

[Assael]

Вопрос
Могу ли я удалить CollectionLog-2015.04.15-13.50.zip из "Вложения в сообщениях от Assael"? Не позволяет отправить лог в формате 7z.

[iskander-k]

Цитата Assael:

Могу ли я удалить CollectionLog-2015.04.15-13.50.zip »

да

[Assael]

Готово, вот лог UVS.

[Assael]

Вчера сидела всю ночь, пофиксила все браузеры, добила вирус, порылась в реестре - все исправлено. Большое спасибо за помощь, без вас бы никак!

[Sandor]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ;uVS v3.85.16 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.3
   v385c
   BREG
   zoo %Sys32%\DRIVERS\BD0001.SYS_
   bl B070BE913D270FC77A53F8D4304AF94D 202576
   addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A6F49AF29BD807F1787575B55EB494280E79F231615FA1FDF8C7265DA802C1D77952FC706EEBF 64 baidu
   
   delall %SystemDrive%\USERS\АНАСТАСИЯ\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
   delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL
   delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.6.15950.224\QMUDISK64.SYS
   chklst
   delvir
   
   deltmp
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   

   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

Для контроля повторите лог uVS.