Пофиксите в HijackThis (как пофиксить):
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: script helper for ie - {9B5FB65F-631E-4564-ABF2-AD71845B28E0} - (no file)
O2 - BHO: darlibP - {AA12BF73-9DE5-4677-A896-EE56AEA8D667} - (no file)
O3 - Toolbar: (no name) - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - (no file)
O3 - Toolbar: (no name) - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - (no file)
Выполните скрипт в AVZ (как выполнить):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187562}');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187332}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C987892}');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe','');
QuarantineFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe','');
QuarantineFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe','');
QuarantineFile('C:\WINDOWS\system32\rittejeku.exe','');
QuarantineFile('C:\WINDOWS\system32\jedytutan.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\cbzvl.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\dkxuunvuhwf.sys','');
QuarantineFile('C:\windows\Microsoft.NET\zpx2.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\zuttu.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\wugo.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\loobittavic.exe','');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187562}');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187332}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C987892}');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\loobittavic.exe');
BC_DeleteSvc('a4gu3eiloukyhd2f');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\wugo.exe');
BC_DeleteSvc('o67ivitg1y6eamwd');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\zuttu.exe');
BC_DeleteSvc('oeytekyx');
DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
DeleteFile('C:\windows\Microsoft.NET\zpx2.exe');
BC_DeleteSvc('winsecguard');
DeleteFile('C:\WINDOWS\system32\drivers\dkxuunvuhwf.sys');
BC_DeleteSvc('fgoxwbzrxnyj');
DeleteFile('C:\Documents and Settings\Администратор\cbzvl.exe');
DeleteFile('C:\WINDOWS\system32\jedytutan.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','kummooky');
DeleteFile('C:\WINDOWS\system32\rittejeku.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','cuvo');
DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv','Start', 2);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Скачайте, распакуйте и запустите это:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.