Здравствуйте.
Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Пофиксите в HijackThis (как пофиксить):
Код:
F2 - REG:system.ini: UserInit=C:\windows\SYSTEM32\Userinit.exe,C:\windows\system32\f4785063.exe,C:\windows\system32\ycjervf.exe,C:\windows\system32\mhlxtfs.exe,
O4 - HKCU\..\Run: [Internet Security Update] C:\S-1-5-21-1486576501-1644491937-682003330-1013\msupdate.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [System Profiling] C:\windows\system32\sysguard.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
Выполните скрипт в AVZ (как выполнить):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ctype.nls','');
QuarantineFile('C:\WINDOWS\system32\drivers\oirbcxdu.sys','');
DelCLSID('{67KLN5J0-4OPM-61WE-KKX3-457QWE23218}');
QuarantineFile('C:\ACC2\F2C2\acc1.exe','');
DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-21KC2A1112233}');
QuarantineFile('C:\DRIVE\BIN\april2x2.exe','');
DelCLSID('{5T6S7-G3D24-VC3YAW-I4F2S-6AGS4}');
QuarantineFile('C:\trazim_previse\od_ovih\rima.exe','');
DelCLSID('{35TNC6G0-4FuZ-31XY-AGC4-24CX1Z6Og23}');
QuarantineFile('C:\RECYCLER\S-1-5-21-1202660629-2025429265-1606980848-1006\update.exe','');
QuarantineFile('C:\windows\system32\ycjervf.exe','');
QuarantineFile('C:\windows\system32\sysguard.exe','');
QuarantineFile('C:\windows\system32\mhlxtfs.exe','');
QuarantineFile('C:\windows\system32\f4785063.exe','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\Documents and Settings\Admin\utre.exe','');
DeleteFile('C:\Documents and Settings\Admin\utre.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-4856988896-0062110100-270151991-1015\wingn.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4856988896-0062110100-270151991-1015\wingn.exe');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\cift.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\cift.exe,');
QuarantineFile('c:\docume~1\admin\locals~1\temp\787.exe','');
DeleteFile('c:\docume~1\admin\locals~1\temp\787.exe');
QuarantineFile('c:\docume~1\admin\locals~1\temp\858.exe','');
DeleteFile('c:\docume~1\admin\locals~1\temp\858.exe');
QuarantineFile('c:\docume~1\admin\locals~1\temp\895.exe','');
DeleteFile('c:\docume~1\admin\locals~1\temp\895.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('C:\windows\system32\f4785063.exe');
DeleteFile('C:\windows\system32\mhlxtfs.exe');
DeleteFile('C:\windows\system32\sysguard.exe');
DeleteFile('C:\windows\system32\ycjervf.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1202660629-2025429265-1606980848-1006\update.exe');
DeleteFile('C:\trazim_previse\od_ovih\rima.exe');
DeleteFile('C:\DRIVE\BIN\april2x2.exe');
DeleteFile('C:\ACC2\F2C2\acc1.exe');
DeleteFile('C:\WINDOWS\system32\drivers\oirbcxdu.sys');
BC_ImportAll;
ExecuteSysClean;
BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes', 'routes');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
В папке АВЗ появится папка Backup, в ней папка с именем текущей даты, в ней файл routes_<цыферки>.reg
Заархивируйте его и приложите здесь.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.