Пофиксите в HijackThis (как пофиксить):
Код:
F3 - REG:win.ini: load=C:\WINDOWS\apppatch\ydtquhn.exe
F3 - REG:win.ini: run=C:\WINDOWS\apppatch\ydtquhn.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\ydtquhn.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\apppatch\ydtquhn.exe
O4 - HKCU\..\Policies\Explorer\Run: [run] C:\WINDOWS\apppatch\ydtquhn.exe
Выполните скрипт в AVZ (как выполнить):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\RECYCLER\S-1-5-21-3959849376-3416518187-079570958-8707\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3959849376-3416518187-079570958-8707\syscr.exe');
QuarantineFile('C:\Documents and Settings\Николай\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\Николай\Application Data\ltzqai.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0714599714-8050537201-559822978-4613\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0714599714-8050537201-559822978-4613\syscr.exe');
QuarantineFile('C:\Documents and Settings\Николай\Application Data\oekx.exe','');
DeleteFile('C:\Documents and Settings\Николай\Application Data\oekx.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
QuarantineFile('C:\WINDOWS\system32\SDVC03.drv','');
QuarantineFile('C:\WINDOWS\apppatch\ydtquhn.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3959849376-3416518187-079570958-8707\syscr.exe,C:\Documents and Settings\Николай\Application Data\ltzqai.exe,C:\RECYCLER\S-1-5-21-0714599714-8050537201-559822978-4613\syscr.exe,C:\RECYCLER\S-1-5-21-1508776962-4687872159-145509437-4936\winmap.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,explorer.exe,C:\Documents and Settings\Николай\Application Data\oekx.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3959849376-3416518187-079570958-8707\syscr.exe,C:\Documents and Settings\Николай\Application Data\ltzqai.exe,C:\RECYCLER\S-1-5-21-0714599714-8050537201-559822978-4613\syscr.exe,C:\RECYCLER\S-1-5-21-1508776962-4687872159-145509437-4936\winmap.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,explorer.exe,C:\Documents and Settings\Николай\Application Data\oekx.exe');
DeleteFile('C:\WINDOWS\apppatch\ydtquhn.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','run');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.