Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Обновите базы АВЗ: (Файл/Обновление баз). Скачайте файл тут и распакуйте его в папку ..avz\base.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O4 - HKLM\..\Run: [Services] c:\windows\system32\system.exe
O4 - HKLM\..\Run: [deri] C:\WINDOWS\system32\fyttaquy.exe
O4 - HKLM\..\Run: [AutoStart] C:\DOCUME~1\User\LOCALS~1\Temp\291218.exe
O4 - HKCU\..\Run: [Cxutu] rundll32.exe "C:\WINDOWS\kbvtas.dll",Startup
O4 - HKCU\..\Run: [MSConfig] C:\Documents and Settings\User\seqsp.exe \u
O4 - HKCU\..\Run: [Services] C:\windows\system32\system.exe
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\fyttaquy.exe');
TerminateProcessByName('c:\docume~1\user\locals~1\temp\3969284.exe');
StopService('eeufrvoo');
StopService('cbxzcoqm');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AutoStart');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Cxutu');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('F:\autorun.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('E:\autorun.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('D:\autorun.exe','');
QuarantineFile('C:\WINDOWS\system32\system.exe','');
QuarantineFile('c:\windows\system32\sshnas21.dll','');
QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\7.tmp','');
QuarantineFile('c:\windows\system32\fyttaquy.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\srv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\cbxzcoqm.sys','');
QuarantineFile('C:\WINDOWS\kbvtas.dll','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\Documents and Settings\User\seqsp.exe','');
QuarantineFile('C:\Documents and Settings\User\Application Data\iptyr.exe,explorer.exe,C:\Documents and Settings\User\Application Data\yftza.exe','');
QuarantineFile('C:\Documents and Settings\User\Application Data\iptyr.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\svchost.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\Phz.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\Pg1.exe','');
QuarantineFile('c:\docume~1\user\locals~1\temp\3969284.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\291218.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\autorun.exe','');
DeleteService('eeufrvoo');
DeleteService('cbxzcoqm');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\autorun.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\autorun.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\autorun.exe');
DeleteFile('C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job');
DeleteFile('C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
DeleteFile('C:\WINDOWS\system32\system.exe');
DeleteFile('c:\windows\system32\sshnas21.dll');
DeleteFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\7.tmp');
DeleteFile('C:\WINDOWS\system32\kogoo.exe');
DeleteFile('c:\windows\system32\fyttaquy.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\cbxzcoqm.sys');
DeleteFile('C:\WINDOWS\kbvtas.dll');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\Documents and Settings\User\seqsp.exe');
DeleteFile('C:\Documents and Settings\User\Application Data\iptyr.exe,explorer.exe,C:\Documents and Settings\User\Application Data\yftza.exe');
DeleteFile('C:\Documents and Settings\User\Application Data\iptyr.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\svchost.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\Phz.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\Pg1.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\3969284.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\291218.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\autorun.exe');
BC_DeleteSvc('eeufrvoo');
BC_DeleteSvc('cbxzcoqm');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Очистите темп-папки, кэш проводников, cookies и корзину.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.