- удалите ad-aware
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,\?globalrootsystemrootsystem32XjT QeAM.exe,C:WINDOWSsystem32services.exe,\?globalrootsystemrootsystem322Bd x4jD.exe,
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
StopService('System Scheduler');
QuarantineFile('C:\Program Files\Ask.com\Supertoolbar\GenericAskToolbar.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\2Bdx4jD.exe','');
QuarantineFile('C:\WINDOWS\Offline Web Pages\svchost.exe','');
DeleteService('System Scheduler');
DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe');
DeleteFile('\\?\globalroot\systemroot\system32\2Bdx4jD.exe');
DeleteService('Bonjour Service');
DeleteFileMask('%programfiles%\Bonjour\','*.*',true);
DeleteDirectory('%programfiles%\Bonjour\');
DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
DeleteFileMask('C:\Program Files\Ask.com', '*.*', true);
DeleteDirectory('C:\Program Files\Ask.com');
DeleteFileMask('C:\WINDOWS\Tasks', '*.job', false);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ExecuteRepair(14);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_DeleteSvc('Bonjour Service');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)