Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\zdriver32.exe','');
QuarantineFile('C:\WINDOWS\schost.exe','');
QuarantineFile('C:\WINDOWS\AppUpdate\updater.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\mscyjvovl.exe','');
QuarantineFile('C:\Program Files\Gorn\Gorn\crypt.exe','');
TerminateProcessByName('c:\documents and settings\admin\application data\microsoft\sys32\svchost.exe');
QuarantineFile('c:\documents and settings\admin\application data\microsoft\sys32\svchost.exe','');
TerminateProcessByName('c:\documents and settings\admin\application data\microsoft\sys32\smcss.exe');
QuarantineFile('c:\documents and settings\admin\application data\microsoft\sys32\smcss.exe','');
DeleteFile('c:\documents and settings\admin\application data\microsoft\sys32\smcss.exe','32');
DeleteFile('c:\documents and settings\admin\application data\microsoft\sys32\svchost.exe','32');
DeleteFile('C:\Program Files\Gorn\Gorn\crypt.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\mscyjvovl.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1760');
DeleteFile('C:\WINDOWS\AppUpdate\updater.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AppUpdate');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Gorn');
DeleteFile('C:\WINDOWS\schost.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driver');
DeleteFile('C:\WINDOWS\zdriver32.exe','32');
DeleteFileMask('C:\Program Files\Gorn', '*', true);
DeleteDirectory('C:\Program Files\Gorn');
DeleteFileMask('c:\documents and settings\admin\application data\microsoft\sys32', '*', true);
DeleteDirectory('c:\documents and settings\admin\application data\microsoft\sys32');
ClearHostsFile;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://finalac.com/FicIC/HHi8N32.roc
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AC30C10-A83E-4D23-A9F0-3E386C29537D}: NameServer = 107.181.166.238,8.8.4.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4D13579-3BA6-4BC4-874A-3F2351AFA651}: NameServer = 107.181.166.238,8.8.4.4
Сделайте аппаратный сброс настроек роутера, введите правильные настройки
Смените пароль на роутере на более сложный.
Очистите куки и кэш браузеров.
Перезагрузитесь
Сделайте новые логи