Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe','');
QuarantineFile('C:\MAD\TRACK\mad.exe','');
QuarantineFile('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000\Mix.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\yxdqln.exe','');
QuarantineFile('C:\WINDOWS\system32\zahef.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\MSKSSRVj.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\kmixerr.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\hwdatacardq.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\drmkaudq.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\DMusicr.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\aecq.sys','');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe','');
QuarantineFile('C:\Documents and Settings\Admin\cpl.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\0519.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv411274182441.exe','');
DeleteFile('C:\WINDOWS\Temp\wpv411274182441.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\0519.exe');
DeleteFile('C:\Documents and Settings\Admin\cpl.exe');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
DelCLSID('67MAD3M8-3MAD-81AD-MAD6-78OP5G1234521');
DelCLSID('67KLN5K0-4OPM-00WE-AAX5-77EF1D187463');
DeleteService('nyp3vo7akaqguu');
DeleteService('ICF');
DeleteService('MSKSSRVj');
SetServiceStart('MSKSSRVj', 4);
DeleteService('kmixerr');
SetServiceStart('kmixerr', 4);
DeleteService('hwdatacardq');
SetServiceStart('hwdatacardq', 4);
DeleteService('drmkaudq');
SetServiceStart('drmkaudq', 4);
DeleteService('DMusicr');
SetServiceStart('DMusicr', 4);
DeleteService('aecq');
SetServiceStart('aecq', 4);
DeleteFile('C:\WINDOWS\system32\zahef.exe');
DeleteFile('C:\WINDOWS\System32\DRIVERS\aecq.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\DMusicr.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\drmkaudq.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\hwdatacardq.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\kmixerr.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\MSKSSRVj.sys');
DeleteFile('C:\Documents and Settings\Admin\Application Data\yxdqln.exe');
DeleteFile('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000\Mix.exe');
DeleteFile('C:\MAD\TRACK\mad.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe');
DeleteFileMask('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000','*.*',true);
DeleteDirectory('C:\PLAIN');
DeleteFileMask('C:\MAD\TRACK','*.*',true);
DeleteDirectory('C:\MAD');
DeleteFileMask('%Tmp%', '*.*', true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)