Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=c:\windows.0\system32\userinit.exe,C:\WINDOWS.0\system32\186bd876.exe,C:\WINDOWS.0\system32\bf46d67b.exe,C:\WINDOWS.0\system32\pmibks.exe,
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%system32%\syslink.dll','');
QuarantineFile('C:\WINDOWS.0\system32\webmin\AutorunsDisabled\winhelp32.exe','');
QuarantineFile('C:\WINDOWS.0\system32\winhelp32.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\DOCUME~1\09C2~1\LOCALS~1\Temp\svchost.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\1awWu6n.exe','');
QuarantineFile('C:\WINDOWS.0\system32\pmibks.exe','');
QuarantineFile('C:\WINDOWS.0\system32\bf46d67b.exe','');
QuarantineFile('C:\WINDOWS.0\system32\186bd876.exe','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\glaide32.sys','');
DeleteService('glaide32');
DeleteFile('C:\WINDOWS.0\system32\drivers\glaide32.sys');
DeleteFile('C:\WINDOWS.0\system32\186bd876.exe');
DeleteFile('C:\WINDOWS.0\system32\bf46d67b.exe');
DeleteFile('C:\WINDOWS.0\system32\pmibks.exe');
DeleteFile('\\?\globalroot\systemroot\system32\1awWu6n.exe');
DeleteFile('C:\DOCUME~1\09C2~1\LOCALS~1\Temp\svchost.exe');
DeleteFile('C:\WINDOWS.0\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS.0\system32\webmin\AutorunsDisabled\winhelp32.exe');
DeleteFile('%system32%\syslink.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(13);
Executerepair(20);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Добавлено через 4 минуты
Выполните еще такой скрипт
Код:
var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.