- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Пофиксите в HiJackThis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printer
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Admin\APPLIC~1\UFASTD~1\PROPET~1.EXE
O4 - Startup: zavupd32.exe
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
TerminateProcessByName('c:\documents and settings\admin\restor32a.exe');
TerminateProcessByName('c:\windows\temp\wpv591255703227.exe');
TerminateProcessByName('c:\docume~1\admin\applic~1\ufastd~1\propet~1.exe');
TerminateProcessByName('c:\windows\system32\restor32a.exe');
TerminateProcessByName('c:\documents and settings\admin\application data\seres.exe');
TerminateProcessByName('c:\documents and settings\admin\application data\svcst.exe');
QuarantineFile('C:\WINDOWS\system32\restor32a.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv591255703227.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\svcst.exe','');
QuarantineFile('C:\Documents and Settings\Admin\restor32a.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\zavupd32.exe','');
QuarantineFile('c:\windows\temp\wpv591255703227.exe','');
QuarantineFile('c:\documents and settings\admin\application data\seres.exe','');
QuarantineFile('c:\docume~1\admin\applic~1\ufastd~1\propet~1.exe','');
DeleteFile('c:\docume~1\admin\applic~1\ufastd~1\propet~1.exe');
DeleteFile('c:\windows\system32\restor32a.exe');
DeleteFile('c:\documents and settings\admin\restor32a.exe');
DeleteFile('c:\documents and settings\admin\application data\seres.exe');
DeleteFile('c:\documents and settings\admin\application data\svcst.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mserv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restor32a');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\zavupd32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restor32a');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16); {восстановление ключа запуска explorer}
ExecuteRepair(17); {разблокировка редактора реестра}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Обновите базы AVZ!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
uFast
Сообщение от gjf
