bymaga, здравствуйте.
1. Закройте все открытые приложения (программы), кроме АVZ и браузера (Mozilla Firefox, Opera, Google Chrome, Internet Explorer).
Отключите:
- ПК от интернета/локальной сети;
- Обязательно!!! Отключить системное восстановление!!! как - посмотреть можно здесь (по окончанию лечения включите);
- Выгрузите антивирус и/или Файрвол;
- Пофиксите в HJT:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [systemup] "C:\Windows\systemup.exe" stand
O4 - HKLM\..\Run: [wxpdrv] C:\Windows\services32.exe nsrv
O4 - HKLM\..\Run: [tray_ico0] C:\Windows\update.1\svchost.exe tray 8-0
O4 - HKLM\..\Run: [sysdriver32_.exe] "C:\Windows\sysdriver32_.exe" rezerv
O4 - HKLM\..\Run: [sysdriver32.exe] "C:\Windows\sysdriver32.exe" rezerv
O4 - HKLM\..\Run: [scr] C:\Windows\update.1\svchost.exe scr
O4 - HKLM\..\Run: [l1rezerv.exe] "C:\Windows\l1rezerv.exe"
- Выполните скрипт в AVZ ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
TerminateProcessByName('c:\windows\systemup.exe');
TerminateProcessByName('c:\windows\sysdriver32_.exe');
TerminateProcessByName('c:\windows\update.1\svchost.exe');
TerminateProcessByName('c:\windows\update.2\svchost.exe');
TerminateProcessByName('c:\windows\l1rezerv.exe');
QuarantineFile('C:\Windows\system32\csrsrv.dll','');
QuarantineFile('C:\Windows\system32\WINSAT.EXE','');
QuarantineFile('C:\Windows\services32.exe','');
QuarantineFile('C:\Windows\System32\UI0Detect.exe','');
QuarantineFile('C:\Windows\SysWow64\EZUPBH~1.DLL','');
QuarantineFile('secdrv.sys','');
QuarantineFile('userinit.exe','');
QuarantineFile('C:\Windows\system32\DRIVERS\blbdrive.sys','');
QuarantineFile('C:\Windows\sysdriver32.exe','');
QuarantineFile('c:\windows\systemup.exe','');
QuarantineFile('c:\windows\sysdriver32_.exe','');
QuarantineFile('c:\windows\update.1\svchost.exe','');
QuarantineFile('c:\windows\update.2\svchost.exe','');
QuarantineFile('c:\windows\l1rezerv.exe','');
DeleteFile('c:\windows\update.2\svchost.exe');
DeleteFile('c:\windows\update.1\svchost.exe');
DeleteFile('c:\windows\systemup.exe');
DeleteFile('C:\Windows\l1rezerv.exe');
DeleteFile('C:\Windows\services32.exe');
DeleteFile('C:\Windows\sysdriver32.exe');
DeleteFile('C:\Windows\sysdriver32_.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.
Компьютер перезагрузится.
2. После перезагрузки выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
3. Файл quarantine.zip из корня папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы;
4. Сделайте повторные логи по правилам п.2 и п.3 раздела "Диагностика" (virusinfo_syscheck.zip; hijackthis.log).
Проверьте, что с проблемой.