Отключите восстановление системы!!!
Пофиксить в Hijack следующие строки:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Выполнить скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\Администратор\application data\microsoft\detoomossek.exe');
TerminateProcessByName('c:\windows\updatd7.exe');
TerminateProcessByName('c:\windows\winlogon.exe');
QuarantineFile('00000755.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\noobooziruqu.exe','');
DeleteService('o9iaeokyeialu');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\holi.exe','');
DeleteService('teeq2u5boxai');
QuarantineFile('vnitkcrjs.sys','');
DeleteService('vnitkcrjs');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\coodouqu.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\coodouqu.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\detoomossek.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\pujehos.exe','');
QuarantineFile('C:\WINDOWS\system32\detoomossek.exe','');
QuarantineFile('C:\WINDOWS\system32\pujehos.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\updatd7.exe','');
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}');
QuarantineFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL','');
QuarantineFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL','');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
DeleteFile('C:\WINDOWS\updatd7.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\WINDOWS\system32\pujehos.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','megoroow');
DeleteFile('C:\WINDOWS\system32\detoomossek.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gougety');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\pujehos.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','megoroow');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\detoomossek.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gougety');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\coodouqu.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hypul');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\coodouqu.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','hypul');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','hypul');
DeleteFile('vnitkcrjs.sys');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\holi.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\noobooziruqu.exe');
DeleteFile('00000755.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
Обновите базы АВЗ!!!
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог Gmer!!!