Выполните скрипт в AVZ:
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\mssecsvc.exe');
StopService('mssecsvc2.0');
QuarantineFile('C:\Program Files\WinSnap\WinSnap.exe', '');
QuarantineFile('c:\windows\mssecsvc.exe', '');
QuarantineFile('C:\Windows\registration\regdrv.exe', '');
DeleteFile('C:\Program Files\WinSnap\WinSnap.exe', '32');
DeleteFile('c:\windows\mssecsvc.exe', '');
DeleteFile('C:\Windows\registration\regdrv.exe', '32');
DeleteService('mssecsvc2.0');
DeleteFileMask('c:\program files\winsnap', '*', true);
DeleteDirectory('c:\program files\winsnap');
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Registry Driver');
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'WinSnap');
RegKeyParamDel('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run', 'Registry Driver');
RegKeyParamDel('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run', 'WinSnap');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 127.0.0.1:4444 (disabled)
O4 - HKCU\..\Run: [5b797b22bff4e25fa2734ab9a8691057] = C:\Windows\system32\svchost.exe ..
O4 - HKLM\..\Run: [5b797b22bff4e25fa2734ab9a8691057] = C:\Windows\system32\svchost.exe ..
O22 - Task: {3EF0A0FC-F64C-410C-AEA3-8B52F5F7B8AA} - E:\SETUP.EXE (file missing)
O22 - Task: {5F0C0BF8-DC83-4895-93D9-D98E1DE38816} - E:\SETUP.EXE (file missing)
Установите хотфикс KB4012212, закрывающий опаснейшую уязвимость, которую используют нашумевшие в прошлом году шифровальщики WannaCry и Petya/NotPetya, а также многие майнеры. Иначе не избавитесь от заразы.
Java 8 обязательно обновите до текущего билда, у Вас устаревшая версия со множеством критических уязвимостей.
Сделайте новый лог такой версией Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.