Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:
R3 - URLSearchHook: (no name) - - shell32.dll (file missing)
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo xfwfrsh
O4 - HKLM\..\Run: [sysgif32] C:\WINDOWS\TEMP\~TM29.tmp
O4 - HKLM..Run: [NTFS_ext_drv] \?globalrootsystemrootsystem32ntfs_ext7.exe
O4 - Startup: siszyd32.exe
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('I:\autorun.inf','');
QuarantineFile('\\','');
QuarantineFile('C:\WINDOWS\TEMP\~TM29.tmp','');
QuarantineFile('C:\WINDOWS\Cursors\size1_i.cur:hQ40UFi4T8C','');
QuarantineFile('C:\Documents and Settings\Andrey.21-076-2\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteService('srosa');
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
DeleteFile('C:\Documents and Settings\Andrey.21-076-2\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DeleteFile('C:\WINDOWS\Cursors\size1_i.cur:hQ40UFi4T8C');
DeleteFile('C:\WINDOWS\TEMP\~TM29.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
DeleteFile('\\');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('srosa');
RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Cursors\size1_i.cur:hQ40UFi4T8C', ''), ',,', ','));
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(16);
ExecuteRepair(8);
ExecuteWizard('TSW',3,3,true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Далее выполните скрипт:
Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
Сделайте новые логи.