• Выполните скрипт
AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)
AVZ, меню "Файл ->
Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "
Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
TerminateProcessByName('D:\WINDOWS\system32\DETER177\svсhоst.exe');
TerminateProcessByName('C:\WinVisKa\winviska.exe');
SetServiceStart('ywxwmbht', 4);
StopService('ywxwmbht');
QuarantineFile('D:\WINDOWS\system32\drivers\vde2ote3.sys','');
QuarantineFile('D:\WINDOWS\system32\DETER177\svсhоst.exe','');
QuarantineFile('D:\WINDOWS\system32\drivers\cjcbuggv.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\bqmjbdls.sys','');
QuarantineFile('D:\WINDOWS\74B49FF8.exe','');
QuarantineFile('D:\WINDOWS\5E3961CB.exe','');
QuarantineFile('C:\WinVisKa\winviska.exe','');
QuarantineFile('D:\WINDOWS\system32\regedit.exe','');
DeleteFile('D:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WinVisKa\winviska.exe');
DeleteFile('D:\WINDOWS\5E3961CB.exe');
DeleteFile('D:\WINDOWS\74B49FF8.exe');
DeleteFile('D:\WINDOWS\system32\Drivers\ywxwmbht.sys');
DeleteFile('D:\WINDOWS\system32\drivers\dfg3b85.sys');
DeleteFile('D:\WINDOWS\system32\drivers\rnrsggvm.sys');
DeleteFile('D:\WINDOWS\system32\drivers\bqmjbdls.sys');
DeleteFile('D:\WINDOWS\system32\drivers\cjcbuggv.sys');
DeleteFile('D:\WINDOWS\system32\DETER177\svсhоst.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\rnrsggvm');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rnrsggvm');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Regedit32');
DeleteService('ywxwmbht');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('cjcbuggv');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
После перезагрузки выполните такой скрипт
AVZ, меню "Файл ->
Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "
Запустить".
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес
quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.
Удалите в
MBAM всё, кроме
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Скачайте ComboFix
здесь,
здесь или
здесь и сохраните на рабочий стол.
1.
Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите
combofix.exe, когда процесс завершится, скопируйте текст из
C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте
combofix.exe в
combo-fix.exe
Подробнее в
"ComboFix. Руководство по применению."
Повторно просканируйте компьютер
MBAM и прикрепите лог!
Карантин не отправили?Обязательно отправьте.
