Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{691EBFB2-AF91-4C32-91F6-17C609DBBCFB}: [NameServer] = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{691EBFB2-AF91-4C32-91F6-17C609DBBCFB}: [NameServer] = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{691EBFB2-AF91-4C32-91F6-17C609DBBCFB}: [NameServer] = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{691EBFB2-AF91-4C32-91F6-17C609DBBCFB}: [NameServer] = 46.101.28.31
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avg - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: TortoiseOverlay - {CBF88FC2-F150-4F29-BC80-CE30EFD1B62C} - C:\Program Files\Subversion\TortoiseSVN Overlay.dll
O22 - Task: Scheduler Update S-1-8-22 - C:\Windows\explorer.exe http://altakho.ru
Выполните скрипт в AVZ:
Код:
begin
QuarantineFile('C:\Program Files\Subversion\TortoiseSVN Overlay.dll', '');
QuarantineFile('C:\Windows\microsoft\svchost.exe', '');
DeleteFile('C:\Program Files\Subversion\TortoiseSVN Overlay.dll');
DeleteFile('C:\Users\777\AppData\Local\yc\Application\yc.exe', '32');
DeleteFile('C:\Users\777\Favorites\Links\Интернет.url');
DeleteFile('C:\Windows\microsoft\svchost.exe', '32');
DeleteFile('C:\Windows\System32\drivers\mracdrv.sys', '32');
DeleteFile('C:\Windows\System32\mracsvc.exe', '32');
ExecuteFile('schtasks.exe', '/delete /TN "Scheduler Update S-1-8-22" /F', 0, 15000, true);
DeleteService('mracdrv');
DeleteService('mracsvc');
DeleteFileMask('C:\Program Files\Subversion', '*', true);
DeleteFileMask('c:\users\777\appdata\local\yc', '*', true);
DeleteDirectory('C:\Program Files\Subversion');
DeleteDirectory('c:\users\777\appdata\local\yc');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nrbjnamztn', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ycAutoLaunch_115FDDC30F8C79E4C97481F62753509D', 'command');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.
Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).