Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ (как выполнить):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\1\appdata\local\27ace76733fb98b4ae68da4dc2303fbb\27ace76733fb98b4ae68da4dc2303fbb.exe');
TerminateProcessByName('c:\program files\pirrit\autoupdater.exe');
ClearQuarantine;
QuarantineFile('C:\windows\system32\Drivers\nethfdrv.sys','');
QuarantineFile('C:\windows\system32\hfpapi.dll','');
QuarantineFile('C:\windows\system32\hfnapi.dll','');
QuarantineFile('C:\Users\1\AppData\Local\SwvUpdater\Updater.exe','');
QuarantineFile('C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha36\ie\TrustMediaViewerV1alpha36.dll','');
QuarantineFile('c:\progra~1\safesa~1\sprote~1.dll','');
QuarantineFile('C:\Users\1\AppData\Local\PirritSuggestor\PirritService.exe','');
QuarantineFile('C:\Users\1\AppData\Local\becb611464da9373c7fd936ec6813d4b\ControlFunctionSDK.exe','');
QuarantineFile('C:\Program Files\WinRST\WinRST.exe','');
QuarantineFile('C:\Users\1\AppData\Local\27ace76733fb98b4ae68da4dc2303fbb\27ace76733fb98b4ae68da4dc2303fbb.exe','');
QuarantineFile('C:\Users\1\AppData\Local\27ace76733fb98b4ae68da4dc2303fbb\RegFltrX86.sys','');
QuarantineFile('C:\windows\system32\drivers\nethfdrv.sys','');
QuarantineFile('C:\Users\1\AppData\Local\27ace76733fb98b4ae68da4dc2303fbb\QtNetwork4.dll','');
QuarantineFile('C:\Users\1\AppData\Local\27ace76733fb98b4ae68da4dc2303fbb\QtCore4.dll','');
QuarantineFile('C:\Users\1\AppData\Local\27ace76733fb98b4ae68da4dc2303fbb\libwinpthread-1.dll','');
QuarantineFile('C:\Users\1\AppData\Local\27ace76733fb98b4ae68da4dc2303fbb\libstdc++-6.dll','');
QuarantineFile('C:\Users\1\AppData\Local\27ace76733fb98b4ae68da4dc2303fbb\libgcc_s_dw2-1.dll','');
QuarantineFile('c:\program files\pirrit\autoupdater.exe','');
QuarantineFile('c:\progra~1\cnosd\cnosdsrv.exe','');
QuarantineFile('c:\users\1\appdata\local\27ace76733fb98b4ae68da4dc2303fbb\27ace76733fb98b4ae68da4dc2303fbb.exe','');
DeleteFile('c:\users\1\appdata\local\27ace76733fb98b4ae68da4dc2303fbb\27ace76733fb98b4ae68da4dc2303fbb.exe','32');
DeleteFile('C:\Users\1\AppData\Local\27ace76733fb98b4ae68da4dc2303fbb\libgcc_s_dw2-1.dll','32');
DeleteFile('C:\Users\1\AppData\Local\27ace76733fb98b4ae68da4dc2303fbb\libstdc++-6.dll','32');
DeleteFile('C:\Users\1\AppData\Local\27ace76733fb98b4ae68da4dc2303fbb\libwinpthread-1.dll','32');
DeleteFile('C:\Users\1\AppData\Local\27ace76733fb98b4ae68da4dc2303fbb\QtCore4.dll','32');
DeleteFile('C:\Users\1\AppData\Local\27ace76733fb98b4ae68da4dc2303fbb\QtNetwork4.dll','32');
DeleteFile('C:\windows\system32\drivers\nethfdrv.sys','32');
DeleteFile('C:\Users\1\AppData\Local\27ace76733fb98b4ae68da4dc2303fbb\RegFltrX86.sys','32');
DeleteFile('C:\Users\1\AppData\Local\27ace76733fb98b4ae68da4dc2303fbb\27ace76733fb98b4ae68da4dc2303fbb.exe','32');
BC_DeleteSvc('27ace76733fb98b4ae68da4dc2303fbb.exe');
BC_DeleteSvc('PirritUpdater');
DeleteFile('C:\Program Files\WinRST\WinRST.exe','32');
BC_DeleteSvc('WinRST');
DeleteFile('C:\Users\1\AppData\Local\becb611464da9373c7fd936ec6813d4b\ControlFunctionSDK.exe','32');
BC_DeleteSvc('ControlFunctionSDK.exe');
BC_DeleteSvc('PirritDesktop');
BC_DeleteSvc('nethfdrv');
BC_DeleteSvc('RegFltrX86');
DeleteFile('c:\progra~1\safesa~1\sprote~1.dll','32');
DeleteFile('C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha36\ie\TrustMediaViewerV1alpha36.dll','32');
DeleteFile('C:\Users\1\AppData\Local\SwvUpdater\Updater.exe','32');
DeleteFile('C:\windows\Tasks\AmiUpdXp.job','32');
DeleteFile('C:\windows\Tasks\PC Optimizer Pro startups.job','32');
DeleteFile('C:\windows\system32\Tasks\AmiUpdXp','32');
DeleteFile('C:\windows\system32\Tasks\PC Optimizer Pro startups','32');
ExecuteRepair(13);
DeleteFile('C:\windows\system32\hfnapi.dll','32');
DeleteFile('C:\windows\system32\hfpapi.dll','32');
DeleteFile('C:\windows\system32\Drivers\nethfdrv.sys','32');
DelBHO('{05efc76f-85d5-4413-a1c8-1583b2333f8e}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.
Запускайте HijackThis правой кнопкой мыши - "Запуск от имени Администратора".
Пофиксите в HijackThis только указанные строки (как пофиксить):
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:23971
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.
Подготовьте лог AdwCleaner
http://virusinfo.info/showthread.php...=1#post1041844
и приложите его в теме.