Здравствуйте! baidu антивирус сами себе устанавливали?
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\programdata\7654\service.exe');
TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe');
SetServiceStart('7654Bao', 4);
StopService('7654Bao');
QuarantineFile('C:\ProgramData\ShopperPro\ShopperPro.dll','');
QuarantineFile('C:\Users\Алёшенька\appdata\roaming\newsi_2\s_inst.exe','');
QuarantineFile('C:\supermegabest\run_setup.bat','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\Алёшенька\AppData\Local\Microsoft\Redist\web.vcredist.exe.config','');
QuarantineFile('C:\Users\Алёшенька\AppData\Local\Microsoft\Redist\web.vcredist.exe','');
QuarantineFile('C:\Program Files\test\Bind.exe','');
QuarantineFile('c:\programdata\7654\service.exe','');
QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe','');
DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32');
DeleteFile('C:\ProgramData\7654\service.exe','32');
DeleteFile('C:\Program Files\test\Bind.exe','32');
DeleteFile('C:\Users\Алёшенька\AppData\Local\Microsoft\Redist\web.vcredist.exe','32');
DeleteFile('C:\Users\Алёшенька\AppData\Local\Microsoft\Redist\web.vcredist.exe.config','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Windows\Tasks\AVZFJ.job','32');
DeleteFile('C:\Windows\Tasks\GWBALK.job','32');
DeleteFile('C:\Windows\Tasks\MHX.job','32');
DeleteFile('C:\Windows\Tasks\YAXGGLCF.job','32');
DeleteFile('C:\Windows\system32\Tasks\Express FilesUpdate','32');
DeleteFile('C:\Users\Алёшенька\appdata\roaming\newsi_2\s_inst.exe','32');
DeleteFile('C:\ProgramData\ShopperPro\ShopperPro.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','test');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\test','command');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','NS3box_DEL');
DeleteService('7654Bao');
DeleteFileMask('C:\Users\Алёшенька\appdata\roaming\newsi_2', '*', true, ' ');
DeleteFileMask('c:\programdata\7654', '*', true, ' ');
DeleteDirectory('C:\Users\Алёшенька\appdata\roaming\newsi_2');
DeleteDirectory('c:\programdata\7654');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Код:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410698198&from=smt&uid=ST33000651AS_Z2903PN0XXXXZ2903PN0
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410698198&from=smt&uid=ST33000651AS_Z2903PN0XXXXZ2903PN0&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410698198&from=smt&uid=ST33000651AS_Z2903PN0XXXXZ2903PN0&q={searchTerms}
O2 - BHO: NetCrawl - {0916584a-ee96-4386-bdbf-b66197b080e4} - C:\Program Files\NetCrawl\DFA19552-9AA1-4A46-8EF3-1B457B7CD260.dll
O2 - BHO: ShopperProBHO - {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} - C:\ProgramData\ShopperPro\ShopperPro.dll
O2 - BHO: SSavvEELots - {ED681890-633E-817F-8C91-1E0EBA0FA24F} - (no file)
O4 - HKCU\..\Run: [CMD] cmd.exe /c start http://extendedunlimited.org && exit
O4 - HKCU\..\RunOnce: [NS3box_DEL] cmd.exe /c DEL "C:\Users\Алёшенька\AppData\Local\Microsoft\Redist\web.vcredist.exe" "C:\Users\Алёшенька\AppData\Local\Microsoft\Redist\web.vcredist.exe.config"
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
- Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".