Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
Выполните скрипт в АВЗ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
SetServiceStart('BrowserDefendert', 4);
StopService('BrowserDefendert');
TerminateProcessByName('c:\documents and settings\all users\application data\browserdefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\browserdefender.exe');
QuarantineFile('C:\WINDOWS\system32\wuapi.dll.mui.wusetup.1740486891.bak','');
QuarantineFile('C:\WINDOWS\system32\iertutil.dll','');
QuarantineFile('C:\DOCUME~1\11\APPLIC~1\Searchya\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Documents and Settings\11\Мои документы\Application Data\explorer.exe','');
QuarantineFile('C:\Documents and Settings\11\Application Data\Ztjijh.exe','');
QuarantineFile('C:\Documents and Settings\11\Application Data\SexyDoll\aiko.exe','');
QuarantineFile('C:\Documents and Settings\11\Application Data\Lkdmblbtwdrwieie.exe','');
QuarantineFile('C:\Documents and Settings\11\Application Data\Gojldkhgrwbsegpu.exe','');
QuarantineFile('C:\DOCUME~1\11\LOCALS~1\Temp\0.del','');
QuarantineFile('c:\windows\system32\explorer.dll','');
QuarantineFile('c:\docume~1\alluse~1\applic~1\browse~1\261519~1.190\{c16c1~1\browse~1.dll','');
QuarantineFile('c:\documents and settings\all users\application data\browserdefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\browserdefender.exe','');
DeleteFile('c:\docume~1\alluse~1\applic~1\browse~1\261519~1.190\{c16c1~1\browse~1.dll','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe','32');
DeleteFile('C:\DOCUME~1\11\LOCALS~1\Temp\0.del','32');
DeleteFile('C:\Documents and Settings\11\Application Data\Gojldkhgrwbsegpu.exe','32');
DeleteFile('C:\Documents and Settings\11\Application Data\Lkdmblbtwdrwieie.exe','32');
DeleteFile('C:\Documents and Settings\11\Application Data\Ztjijh.exe','32');
DeleteFile('C:\Documents and Settings\11\Мои документы\Application Data\explorer.exe','32');
DeleteFile('C:\WINDOWS\system32\explorer.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Del175403750');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Gojldkhgrwbsegpu.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Lkdmblbtwdrwieie.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Lkdmblbtwdrwieie.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ztjijh');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
DeleteFileMask('c:\docume~1\alluse~1\applic~1\browse~1', '*', true, ' ');
DeleteDirectory('c:\docume~1\alluse~1\applic~1\browse~1');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('BrowserDefendert');
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [Gojldkhgrwbsegpu.exe] "C:\Documents and Settings\11\Application Data\Gojldkhgrwbsegpu.exe"
O4 - HKLM\..\Run: [Lkdmblbtwdrwieie.exe] "C:\Documents and Settings\11\Application Data\Lkdmblbtwdrwieie.exe"
O4 - HKLM\..\RunOnce: [Del175403750] cmd.exe /Q /D /c del "C:\DOCUME~1\11\LOCALS~1\Temp\0.del"
O4 - HKCU\..\Run: [Lkdmblbtwdrwieie.exe] "C:\Documents and Settings\11\Application Data\Lkdmblbtwdrwieie.exe"
O4 - HKCU\..\Run: [~backup~] C:\Documents and Settings\11\Iie aieoiaiou\Application Data\explorer.exe
O20 - AppInit_DLLs: c:\windows\system32\explorer.dll
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
- Прикрепите отчет к своему следующему сообщению.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
