Пофиксите в HijackThis (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)):
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchiseasy.info/?pid=512&r=2013/08/30&hid=9272474252575792960&lg=EN&cc=RU&unqvl=33
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\show-password-soft\show-password_wd.exe');
TerminateProcessByName('c:\program files\show-password-soft\show-password157.exe');
QuarantineFile('c:\progra~1\websea~1\sprote~1.dll','');
QuarantineFile('c:\progra~1\savesh~1\sprote~1.dll','');
QuarantineFile('c:\program files\show-password-soft\show-password_wd.exe','');
QuarantineFile('c:\program files\show-password-soft\show-password157.exe','');
DeleteFile('c:\program files\show-password-soft\show-password157.exe','32');
DeleteFile('c:\program files\show-password-soft\show-password_wd.exe','32');
DeleteFile('c:\progra~1\savesh~1\sprote~1.dll','32');
DeleteFile('c:\progra~1\websea~1\sprote~1.dll','32');
DeleteFile('C:\Windows\Tasks\Show-Password Update.job','32');
DeleteFile('C:\Windows\Tasks\Show-Password_wd.job','32');
DeleteFile('C:\Windows\system32\Tasks\Show-Password Update','32');
DeleteFile('C:\Windows\system32\Tasks\Show-Password_wd','32');
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyServer', '');
RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyEnable', 'REG_DWORD', '0');
DeleteFileMask('c:\progra~1\savesh~1','*',true);
DeleteFileMask('c:\progra~1\websea~1','*',true);
DeleteFileMask('c:\program files\show-password-soft','*',true);
DeleteDirectory('c:\progra~1\savesh~1');
DeleteDirectory('c:\progra~1\websea~1');
DeleteDirectory('c:\program files\show-password-soft');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).