Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\Sinner\appdata\roaming\x11\engine.exe','');
QuarantineFile('C:\Windows\syswow64\hfpapi.dll','');
QuarantineFile('C:\Windows\system32\hfpapi.dll','');
QuarantineFile('C:\Users\Sinner\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
QuarantineFile('C:\Users\Sinner\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Users\Sinner\AppData\Roaming\SGRNC.exe','');
QuarantineFile('C:\Users\Sinner\AppData\Roaming\NDSWEU.exe','');
QuarantineFile('C:\Users\Sinner\AppData\Roaming\cppredistx86.exe','');
DeleteFile('C:\Users\Sinner\AppData\Roaming\cppredistx86.exe','32');
DeleteFile('C:\Users\Sinner\AppData\Roaming\NDSWEU.exe','32');
DeleteFile('C:\Users\Sinner\AppData\Roaming\SGRNC.exe','32');
DeleteFile('C:\Windows\Tasks\SGRNC.job','64');
DeleteFile('C:\Windows\Tasks\NDSWEU.job','64');
DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','64');
DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','64');
DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
DeleteFile('C:\Users\Sinner\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\Users\Sinner\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
DeleteFile('C:\Windows\system32\hfpapi.dll','32');
DeleteFile('C:\Windows\syswow64\hfpapi.dll','32');
DeleteFile('C:\Users\Sinner\appdata\roaming\x11\engine.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
DeleteFileMask('C:\Users\Sinner\appdata\roaming\x11', '*', true, ' ');
DeleteFileMask('C:\Users\Sinner\AppData\Local\Microsoft\Extensions', '*', true, ' ');
DeleteFileMask('C:\Users\Sinner\AppData\Local\SystemDir', '*', true, ' ');
DeleteDirectory('C:\Users\Sinner\AppData\Local\Microsoft\Extensions');
DeleteDirectory('C:\Users\Sinner\AppData\Local\SystemDir');
DeleteDirectory('C:\Users\Sinner\appdata\roaming\x11');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=21b2cdeb3e1ae265e5e4964b927b0a76&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=21b2cdeb3e1ae265e5e4964b927b0a76&text={searchTerms}
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - Global Startup: Kbupdater Utility.lnk = C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe
O9 - Extra button: Currency Converter - {7CE987D5-11B3-44FC-9C3D-03069360D462} - (no file)
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите checkbrowserlnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
- Прикрепите этот отчет в вашей теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.