Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Program Files\decryptfiles\svchost.exe','');
QuarantineFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','');
DeleteService('{29b136c9-938d-4d3d-8df8-d649d9b74d02}t');
SetServiceStart('{29b136c9-938d-4d3d-8df8-d649d9b74d02}t', 4);
StopService('{29b136c9-938d-4d3d-8df8-d649d9b74d02}t');
DeleteService('{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gt');
SetServiceStart('{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gt', 4);
StopService('{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gt');
DeleteService('Wpm');
SetServiceStart('Wpm', 4);
StopService('Wpm');
DeleteService('Update Mega Browse');
SetServiceStart('Update Mega Browse', 4);
StopService('Update Mega Browse');
QuarantineFile('C:\WINDOWS\system32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}t.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gt.sys','');
QuarantineFile('c:\documents and settings\all users\application data\wpm\wprotectmanager.exe','');
TerminateProcessByName('c:\documents and settings\all users\application data\wpm\wprotectmanager.exe');
QuarantineFile('c:\program files\mega browse\updatemegabrowse.exe','');
TerminateProcessByName('c:\program files\mega browse\updatemegabrowse.exe');
QuarantineFile('c:\documents and settings\all users\application data\iepluginservice\pluginservice.exe','');
TerminateProcessByName('c:\documents and settings\all users\application data\iepluginservice\pluginservice.exe');
DeleteFile('c:\documents and settings\all users\application data\iepluginservice\pluginservice.exe','32');
DeleteFile('c:\program files\mega browse\updatemegabrowse.exe','32');
DeleteFile('c:\documents and settings\all users\application data\wpm\wprotectmanager.exe','32');
DeleteFile('C:\WINDOWS\system32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gt.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}t.sys','32');
DeleteFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
DeleteFile('C:\Program Files\decryptfiles\svchost.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
DeleteFileMask('C:\Program Files\decryptfiles', '*', true, ' ');
DeleteDirectory('C:\Program Files\decryptfiles');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396589513&from=cor&uid=ST3320418AS_9VM5FGKEXXXX9VM5FGKE&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396589513&from=cor&uid=ST3320418AS_9VM5FGKEXXXX9VM5FGKE&q={searchTerms}
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O20 - AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Загрузите GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Временно отключите драйверы эмуляторов дисков.
- Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
- Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
- После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
- Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
- После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
- Подробную инструкцию читайте в руководстве