HPM, здравствуйте.
1. Закройте все открытые приложения (программы), кроме АVZ и браузера (Mozilla Firefox, Opera, Google Chrome, Internet Explorer).
Отключите:
- ПК от интернета/локальной сети;
- Обязательно!!! Отключить системное восстановление!!! как - посмотреть можно здесь (по окончанию лечения включите);
- Выгрузите антивирус и/или Файрвол;
- Пофиксите в HJT:
Код:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\534bfd32.exe,\\?\globalroot\systemroot\system32\RordoC8.exe,\\?\globalroot\systemroot\system32\bqzUAnq.exe,\\?\globalroot\systemroot\system32\pDeEq0q.exe,\\?\globalroot\systemroot\system32\ueGx6Ik.exe,\\?\globalroot\systemroot\system32\Q12dZKD.exe,
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O2 - BHO: (no name) - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - (no file)
O2 - BHO: BP Data Feeder - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - (no file)
O2 - BHO: MS Media Module - {C46836B0-408D-4E57-BE9E-3BD2B1DF1A22} - (no file)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)
O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - (no file)
- Выполните скрипт в AVZ ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteAVUpdate;
SetServiceStart('Rubar Update Service', 4);
StopService('Rubar Update Service');
QuarantineFile('c:\program files\microsoft activesync\wcescomm.exe','');
QuarantineFile('c:\progra~1\micros~4\rapimgr.exe','');
QuarantineFile('C:\Program Files\mediabar Toolbar\rubar.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\ueGx6Ik.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\pDeEq0q.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\bqzUAnq.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\RordoC8.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\Q12dZKD.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys','');
QuarantineFile('D:\СИКРОТ\NtProcDrv.sys','');
QuarantineFile('D:\1\линейка\Lineage2 Interlude\system\npkcrypt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\EagleNT.sys','');
QuarantineFile('D:\1\конфиг мой лучший\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\LANotify.dll','');
QuarantineFile('c:\program files\mediabar toolbar\rubarupdateservice.exe','');
QuarantineFile('d:\metin2_ru\metin2.bin','');
QuarantineFile('c:\windows\temp\guardguard.exe','');
QuarantineFile('c:\program files\fanplayer\fanserver.exe','');
DeleteFile('C:\Program Files\mediabar Toolbar\RubarUpdateService.exe');
DeleteFile('\\?\globalroot\systemroot\system32\Q12dZKD.exe');
DeleteFile('\\?\globalroot\systemroot\system32\RordoC8.exe');
DeleteFile('\\?\globalroot\systemroot\system32\bqzUAnq.exe');
DeleteFile('\\?\globalroot\systemroot\system32\pDeEq0q.exe');
DeleteFile('\\?\globalroot\systemroot\system32\ueGx6Ik.exe');
DeleteFile('C:\Program Files\mediabar Toolbar\rubar.dll');
DelBHO('{23DD83B5-BDDC-49CE-B77B-514819C6D551}');
DelBHO('DctMapping');
DelBHO('{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677}');
DeleteService('Rubar Update Service');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.
Компьютер перезагрузится.
2. После перезагрузки выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
3. Файл quarantine.zip из корня папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы;
4. После выполнения всех вышеуказанных действий обновите базы авз!!!
5. Сделайте повторные логи по правилам п.2 и п.3 раздела "Диагностика" (virusinfo_syscheck.zip; hijackthis.log).
У Вас стоит два антивирусных продукта ?
Код:
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Unknown owner - C:\PROGRA~1\DrWeb\spidernt.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
Удалите ОБА средствами вендоров (разработчиков), а затем установите ТОЛЬКО ОДИН.
Да еще и остатки от Касперского есть
Код:
C:\WINDOWS\system32\DRIVERS\klim5.sys
- то же самое.