HiJackThis (из каталога autologger)профиксить
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.nuesearch.com/?type=hp&ts=1473863028&z=c8b1f0e217cd548e021c6c8g8zdm9ccb3qec9e1ocm&from=qks0914&uid=WDCXWD7500AARS-00Y5B1_WD-WCAV5N51408214082
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://www.nuesearch.com/search/?type=ds&ts=1473863028&z=c8b1f0e217cd548e021c6c8g8zdm9ccb3qec9e1ocm&from=qks0914&uid=WDCXWD7500AARS-00Y5B1_WD-WCAV5N51408214082&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://www.nuesearch.com/search/?type=ds&ts=1473863028&z=c8b1f0e217cd548e021c6c8g8zdm9ccb3qec9e1ocm&from=qks0914&uid=WDCXWD7500AARS-00Y5B1_WD-WCAV5N51408214082&q={searchTerms}
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command: (default) = "c:\program files\internet explorer\iexplore.exe" http://www.mylucky123.com/?type=sc&ts=1474460739&z=cd49a468c6b74f3651de6a3g1z5m8z4z4q2e5m0cct&from=ihpul0920&uid=WDCXWD7500AARS-00Y5B1_WD-WCAV5N51408214082
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.nuesearch.com/?type=hp&ts=1473863028&z=c8b1f0e217cd548e021c6c8g8zdm9ccb3qec9e1ocm&from=qks0914&uid=WDCXWD7500AARS-00Y5B1_WD-WCAV5N51408214082
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://www.nuesearch.com/search/?type=ds&ts=1469001880&z=8fc05ca61bdc43a116272a1g9z5q0t4e0edg3b4baz&from=wpm0616&uid=WDCXWD7500AARS-00Y5B1_WD-WCAV5N51408214082&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://www.nuesearch.com/search/?type=ds&ts=1469001880&z=8fc05ca61bdc43a116272a1g9z5q0t4e0edg3b4baz&from=wpm0616&uid=WDCXWD7500AARS-00Y5B1_WD-WCAV5N51408214082&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.nuesearch.com/?type=hp&ts=1473863028&z=c8b1f0e217cd548e021c6c8g8zdm9ccb3qec9e1ocm&from=qks0914&uid=WDCXWD7500AARS-00Y5B1_WD-WCAV5N51408214082
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://www.nuesearch.com/search/?type=ds&ts=1469001880&z=8fc05ca61bdc43a116272a1g9z5q0t4e0edg3b4baz&from=wpm0616&uid=WDCXWD7500AARS-00Y5B1_WD-WCAV5N51408214082&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://www.nuesearch.com/search/?type=ds&ts=1469001880&z=8fc05ca61bdc43a116272a1g9z5q0t4e0edg3b4baz&from=wpm0616&uid=WDCXWD7500AARS-00Y5B1_WD-WCAV5N51408214082&q={searchTerms}
O9 - Button: HKCU\..\{4F9FD89A-24F0-4fb7-9635-D54B3593B85B} - (no name) - (no file)
O9 - Button: HKCU\..\{9E508DD9-844C-4985-AC11-AFE5DD71E0BF} - Показать мой новостной канал - (no file)
O9 - Button: HKCU\..\{B771147A-4CC8-450e-8AB1-7D47821751B1} - (no name) - (no file)
O9 - Button: HKCU\..\{EB89B163-2474-4734-9E93-68B61BC5BED5} - Открыть общий доступ к данному элементу - (no file)
O9 - Tools menu item: HKCU\..\{4F9FD89A-24F0-4fb7-9635-D54B3593B85B} - Конфигурация Splashtop - (no file)
O9 - Tools menu item: HKCU\..\{B771147A-4CC8-450e-8AB1-7D47821751B1} - Выйти из Facebook - (no file)
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFileF('c:\programdata\tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFile('C:\Users\PK\AppData\Local\Host installer\2349059540_installcube.exe','');
QuarantineFile('C:\Windows\system32\drivers\wgppxhef.sys','');
QuarantineFile('C:\Users\PK\AppData\Local\Temp\bkE205.tmp\p1481301410am.sys','');
QuarantineFile('C:\Users\PK\AppData\Local\Temp\bk4D45.tmp\p1481744208am.sys','');
QuarantineFile('C:\Windows\system32\drivers\hojipohe.sys','');
QuarantineFile('C:\Windows\system32\drivers\mkdpgfaa.sys','');
DeleteFile('C:\Users\PK\AppData\Local\Host installer\2349059540_installcube.exe','32');
ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Подготовьте лог AdwCleaner и приложите его в теме.