Запускайте HijackThis правой кнопкой мыши - "Запуск от имени Администратора".
Пофиксите в HijackThis только указанные строки (как пофиксить):
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1401205767&from=cor&uid=HitachiXHTS542516K9SA00_080715BB2310ACKJAD2KX
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1401205767&from=cor&uid=HitachiXHTS542516K9SA00_080715BB2310ACKJAD2KX&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1401205767&from=cor&uid=HitachiXHTS542516K9SA00_080715BB2310ACKJAD2KX&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1401205767&from=cor&uid=HitachiXHTS542516K9SA00_080715BB2310ACKJAD2KX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1401205767&from=cor&uid=HitachiXHTS542516K9SA00_080715BB2310ACKJAD2KX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1401205767&from=cor&uid=HitachiXHTS542516K9SA00_080715BB2310ACKJAD2KX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1401205767&from=cor&uid=HitachiXHTS542516K9SA00_080715BB2310ACKJAD2KX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1401205767&from=cor&uid=HitachiXHTS542516K9SA00_080715BB2310ACKJAD2KX
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ (как выполнить):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe');
TerminateProcessByName('c:\program files\quiknowledge\service\qksvc.exe');
TerminateProcessByName('c:\programdata\wpm\wprotectmanager.exe');
QuarantineFile('C:\Users\Ярослав Алексеевич\appdata\roaming\digita~1\update~1\update~1.exe','');
QuarantineFile('C:\Program Files\Lyrmix\LymxUD.exe','');
QuarantineFile('C:\Users\F313~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\Ярослав Алексеевич\AppData\Local\SwvUpdater\Updater.exe','');
QuarantineFile('C:\Program Files\Lyrmix\133.dll','');
QuarantineFile('C:\Program Files\SupTab\SupTab.dll','');
QuarantineFile('C:\Program Files\Quiknowledge\IE\QuiknowledgeClientIE.dll','');
QuarantineFile('C:\Users\Ярослав Алексеевич\AppData\Roaming\Johyhh.exe','');
QuarantineFile('C:\Users\Ярослав Алексеевич\AppData\Roaming\Gohyhe.exe','');
QuarantineFile('C:\ProgramData\WPM\wprotectmanager.exe','');
QuarantineFile('C:\ProgramData\IePluginServices\PluginService.exe','');
QuarantineFile('C:\Program Files\Quiknowledge\Service\qksvc.exe','');
QuarantineFile('C:\Windows\system32\drivers\qknfd.sys','');
QuarantineFile('c:\programdata\wpm\wprotectmanager.exe','');
QuarantineFile('c:\program files\quiknowledge\service\qksvc.exe','');
QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe','');
DelBHO('{323C6E6D-1621-470F-8A52-4FDEC4E75E40}');
DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
DelBHO('{804efe7d-a8d7-4351-a6df-014d1ed7c6fc}');
DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32');
DeleteFile('c:\program files\quiknowledge\service\qksvc.exe','32');
DeleteFile('c:\programdata\wpm\wprotectmanager.exe','32');
DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32');
DeleteFile('C:\Program Files\Quiknowledge\Service\qksvc.exe','32');
DeleteFile('C:\ProgramData\IePluginServices\PluginService.exe','32');
DeleteService('qknfd');
DeleteService('Wpm');
DeleteService('qksvc');
DeleteService('IePluginServices');
DeleteFile('C:\ProgramData\WPM\wprotectmanager.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AnyProtect');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AnyProtect Tray');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ConvertAd');
DeleteFile('C:\Users\Ярослав Алексеевич\AppData\Roaming\Gohyhe.exe','32');
DeleteFile('C:\Users\Ярослав Алексеевич\AppData\Roaming\Johyhh.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Gohyhe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Johyhh');
DeleteFile('C:\Program Files\Quiknowledge\IE\QuiknowledgeClientIE.dll','32');
DeleteFile('C:\Program Files\SupTab\SupTab.dll','32');
DeleteFile('C:\Program Files\Lyrmix\133.dll','32');
DeleteFile('C:\Users\Ярослав Алексеевич\AppData\Local\SwvUpdater\Updater.exe','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
DeleteFile('C:\Users\F313~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\DigitalSite.job','32');
DeleteFile('C:\Program Files\Lyrmix\LymxUD.exe','32');
DeleteFile('C:\Windows\Tasks\Lyrmix Update.job','32');
DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','32');
DeleteFile('C:\Windows\system32\Tasks\DigitalSite','32');
DeleteFile('C:\Windows\system32\Tasks\Lyrmix Update','32');
DeleteFile('C:\Users\Ярослав Алексеевич\appdata\roaming\digita~1\update~1\update~1.exe','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.
Подготовьте лог AdwCleaner
http://virusinfo.info/showthread.php...=1#post1041844
и приложите его в теме.