1) Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = start.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qip.ru/search?query=%s&from=IE
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\system32\drivers\TXPlatformm.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
2) Выполните скрит в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\drivers\txplatformm.exe');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
DeleteService('qq2');
QuarantineFile('C:\Program Files\Internet Explorer\002.tmp','');
DeleteService('autorun');
QuarantineFile('C:\huadio.tmp','');
QuarantineFile('c:\windows\system32\drivers\txplatformm.exe','');
DeleteFile('c:\windows\system32\drivers\txplatformm.exe');
DeleteFile('C:\huadio.tmp');
DeleteFile('C:\Program Files\Internet Explorer\002.tmp');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Explorer');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3) Затем выполните второй скрипт в AVZ:
Код:
begin
ExpRegKey('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options','Image File Execution Options.reg');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
Файл Image File Execution Options.reg из папки с AVZ приложите к вашему следующему сообщению.
4) Обязательно обновите базы AVZ.
5) Повторите логи.