Пофиксите в HijackThis (как пофиксить):
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://reezz.com/Bg43ZV623/proxy.pac
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe,\\?\globalroot\systemroot\system32\ggrsqDj.exe,C:\WINDOWS\system32\647d63b.exe,\\?\globalroot\systemroot\system32\0K1FcE6.exe,
O1 - Hosts: 217.73.63.204 stg.odnoklassniki.ru
O1 - Hosts: 217.73.63.204 userapi.com
O1 - Hosts: 217.73.63.204 st0.userapi.com
O1 - Hosts: 217.73.63.204 st1.userapi.com
O1 - Hosts: 217.73.63.204 st2.userapi.com
O1 - Hosts: 217.73.63.204 st3.userapi.com
Выполните скрипт в AVZ (как выполнить):
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
AddToLog(inttostr(BC_ServiceKill('dzvkgne')) );
AddToLog(inttostr(BC_ServiceKill('gdgteyjp')) );
AddToLog(inttostr(BC_ServiceKill('TDSSserv.sys')) );
SaveLog(GetAVZDirectory+'avz_log.txt');
QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
QuarantineFile('\\?\globalroot\systemroot\system32\ggrsqDj.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\0K1FcE6.exe','');
QuarantineFile('C:\WINDOWS\system32\647d63b.exe','');
QuarantineFile('C:\WINDOWS\system32\04.tmp','');
DeleteFile('C:\WINDOWS\system32\04.tmp');
BC_DeleteSvc('okxbb');
BC_DeleteSvc('ydxzxrahn');
DeleteFile('C:\WINDOWS\system32\647d63b.exe');
DeleteFile('\\?\globalroot\systemroot\system32\0K1FcE6.exe');
DeleteFile('\\?\globalroot\systemroot\system32\ggrsqDj.exe');
ClearHostsFile;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска).