Выполните скрипт в AVZ:
Код:
begin
QuarantineFile('C:\Windows\svchost.com', '');
QuarantineFile('C:\Users\ПК\AppData\Roaming\WindowsUpdater\Updater.exe', '');
QuarantineFile('C:\Users\ПК\AppData\Roaming\repulsion_1033\s_inst.exe', '');
QuarantineFile('C:\Users\ПК\AppData\Local\hostskidki\stub.exe', '');
DeleteFile('C:\Users\ПК\AppData\Local\hostskidki\stub.exe', '32');
DeleteFile('C:\Users\ПК\AppData\Roaming\repulsion_1033\s_inst.exe', '32');
DeleteFile('C:\Windows\Tasks\repulsion_1033.job', '32');
DeleteFile('C:\Windows\Tasks\s2SVTlim1vE0StORY4iRYtsiiQl.job', '32');
DeleteFile('C:\Windows\svchost.com', '32');
DeleteFile('C:\Users\ПК\appdata\roaming\windowsupdater\updater.exe', '32');
DeleteService('UbarCalloutDriver');
DeleteService('UbarPolicyProvider');
DeleteService('LiveUpdateSvc');
DeleteService('caMyciloP');
DeleteService('AppthgildeM');
DeleteService('ApplicationHosting');
DeleteFileMask('C:\Users\ПК\appdata\roaming\windowsupdater', '*', true);
DeleteFileMask('C:\Users\ПК\AppData\Roaming\repulsion_1033', '*', true);
DeleteFileMask('C:\Users\ПК\AppData\Local\hostskidki', '*', true);
DeleteDirectory('C:\Users\ПК\appdata\roaming\windowsupdater');
DeleteDirectory('C:\Users\ПК\AppData\Roaming\repulsion_1033');
DeleteDirectory('C:\Users\ПК\AppData\Local\hostskidki');
ExecuteFile('schtasks.exe', '/delete /TN "downlkadq" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Rest Style" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Пофиксите в HijackThis (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://cosmosearch.ru/?ri=1&rsid=b75bc2c0d7b23941e7310e440aabcba0&q={searchTerms}
O2 - BHO: (no name) - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file)
O4 - MSConfig..HKLM: 2015/11/07 [ShadowPlay] C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart
O4 - MSConfig..HKLM: 2015/11/22 [GameCenterMailRu] "C:\Users\90C5~1\AppData\Local\Mail.Ru\GAMECE~1\GAMECE~1.EXE" -autostart (no file)
O4 - MSConfig..HKLM: 2015/11/22 [GameXP AccessPoint] "C:\GameXP\ACCESS~1\accesspoint.exe" -silent (no file)
O4 - MSConfig..HKLM: 2015/11/22 [SpaceSoundPro] "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" (no file)
O4 - MSConfig..HKLM: 2015/11/22 [Timestasks] C:\ProgramData\TimeTasks\timetasks.exe" (no file)
O4 - MSConfig..HKLM: 2015/11/22 [ZaxarGameBrowser] "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s (no file)
O4 - MSConfig..HKLM: 2015/11/22 [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent (no file)
O4 - MSConfig..HKLM: 2015/11/22 [hostskidki] "C:\Users\ПК\AppData\Local\hostskidki\stub.exe" /run "C:\Users\ПК\AppData\Local\hostskidki\config.json"
O4 - MSConfig..HKLM: 2015/11/22 [lcoupon] "C:\Users\ПК\AppData\Local\lcoupon\foygnstb.exe" /run "C:\Users\ПК\AppData\Local\lcoupon\config.json" (no file)
Обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог Check Browsers' LNK.