Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\users\user\appdata\roaming\vopackage\vosrv.exe');
SetServiceStart('servervo', 4);
SetServiceStart('ccsvc_1.10.0.2', 4);
StopService('servervo');
StopService('ccsvc_1.10.0.2');
QuarantineFile('C:\Windows\system32\mintcastnetworks.dll','');
QuarantineFile('C:\Program Files (x86)\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Program Files (x86)\baidu\BindEx.exe','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
QuarantineFile('C:\Windows\system32\drivers\ccnfd_1_10_0_2.sys','');
QuarantineFile('C:\Program Files (x86)\ClickCaption_1.10.0.2\Service\ccsvc.exe','');
QuarantineFile('c:\users\user\appdata\roaming\vopackage\vosrv.exe','');
DeleteFile('C:\Program Files (x86)\ClickCaption_1.10.0.2\Service\ccsvc.exe','32');
DeleteFile('C:\Users\User\AppData\Roaming\VOPackage\VOsrv.exe','32');
DeleteFile('C:\Windows\system32\drivers\ccnfd_1_10_0_2.sys','32');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files (x86)\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
DeleteService('ccnfd_1_10_0_2');
DeleteService('servervo');
DeleteService('ccsvc_1.10.0.2');
DeleteFileMask('c:\users\user\appdata\roaming\vopackage', '*', true, ' ');
DeleteFileMask('C:\Program Files (x86)\ClickCaption_1.10.0.2', '*', true, ' ');
DeleteDirectory('c:\users\user\appdata\roaming\vopackage');
DeleteDirectory('C:\Program Files (x86)\ClickCaption_1.10.0.2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b1ed12ee71876a71a621b0e18776e105&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b1ed12ee71876a71a621b0e18776e105&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b1ed12ee71876a71a621b0e18776e105&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b1ed12ee71876a71a621b0e18776e105&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: ClickCaption - {A18EA34C-6D33-4298-8A54-7F16499904C0} - C:\Program Files (x86)\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll
O4 - HKCU\..\Run: [baidu] C:\Program Files (x86)\baidu\BindEx.exe
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b1ed12ee71876a71a621b0e18776e105&text=
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите checkbrowserlnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
- Прикрепите этот отчет в вашей теме.