Здравствуйте,
HiJackThis (из каталога автологгера) профиксить
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mylucky123.com/?type=hp&ts=1475209629&z=be5878bc32652b9042f188cg1z2m4w0o0ebt1q0c0g&from=uvc0929&uid=HGSTXHTS541010A9E680_JA100ACR1EP7TK1EP7TKX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.amisites.com/search/?type=ds&ts=1482860457&z=a2c6a9d899e8db0f0751fefg8zfbeo3b3qfefzaw1q&from=archer1028&uid=HGSTXHTS541010A9E680_JA100ACR1EP7TK1EP7TKX&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mylucky123.com/?type=hp&ts=1475209629&z=be5878bc32652b9042f188cg1z2m4w0o0ebt1q0c0g&from=uvc0929&uid=HGSTXHTS541010A9E680_JA100ACR1EP7TK1EP7TKX
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command, = C:\Program Files\Internet Explorer\iexplore.exe http://www.amisites.com/?type=sc&ts=1482860457&z=a2c6a9d899e8db0f0751fefg8zfbeo3b3qfefzaw1q&from=archer1028&uid=HGSTXHTS541010A9E680_JA100ACR1EP7TK1EP7TKX
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mylucky123.com/search/?type=ds&ts=1475209629&z=be5878bc32652b9042f188cg1z2m4w0o0ebt1q0c0g&from=uvc0929&uid=HGSTXHTS541010A9E680_JA100ACR1EP7TK1EP7TKX&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mylucky123.com/search/?type=ds&ts=1476306526&z=f94b4c896027c31404e4865gfzbm1q1c9eaqaw9o6w&from=che0812&uid=HGSTXHTS541010A9E680_JA100ACR1EP7TK1EP7TKX&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.amisites.com/search/?type=ds&ts=1482860457&z=a2c6a9d899e8db0f0751fefg8zfbeo3b3qfefzaw1q&from=archer1028&uid=HGSTXHTS541010A9E680_JA100ACR1EP7TK1EP7TKX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mylucky123.com/search/?type=ds&ts=1475209629&z=be5878bc32652b9042f188cg1z2m4w0o0ebt1q0c0g&from=uvc0929&uid=HGSTXHTS541010A9E680_JA100ACR1EP7TK1EP7TKX&q={searchTerms}
R1-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mylucky123.com/search/?type=ds&ts=1476306526&z=f94b4c896027c31404e4865gfzbm1q1c9eaqaw9o6w&from=che0812&uid=HGSTXHTS541010A9E680_JA100ACR1EP7TK1EP7TKX&q={searchTerms}
O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file)
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - (no file)
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
StopService('Convxxxx');
StopService('iSafeKrnl');
StopService('iSafeService');
StopService('iThemes5');
StopService('qohntmih');
DeleteService('Convxxxx');
DeleteService('iSafeKrnl');
DeleteService('iSafeService');
DeleteService('iThemes5');
QuarantineFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll','');
QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys','');
QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe','');
QuarantineFile('c:\program files (x86)\gubed\gubedzl.dll','');
QuarantineFile('c:\program files (x86)\winarcher\archer.dll','');
QuarantineFile('C:\Users\gena-\AppData\Roaming\dhadh\UvConverter.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\qohntmih.sys','');
DeleteFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe','32');
DeleteFile('c:\program files (x86)\gubed\gubedzl.dll','32');
DeleteFile('c:\program files (x86)\winarcher\archer.dll','32');
DeleteFile('C:\Users\gena-\AppData\Roaming\dhadh\UvConverter.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Archer\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\GubedZL\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Подготовьте лог AdwCleaner и приложите его в теме.