Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\Temp\cch7A4.tmp','');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe','');
QuarantineFile('C:\WINDOWS\system32\cftu.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('ati64si');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati2uaxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati2uaxx.sys','');
DeleteService('W32TimePlugPlay');
DeleteService('TermServiceWmdmPmSN');
DeleteService('TermServiceRasAuto');
DeleteService('stisvcHTTPFilter');
DeleteService('Lpnppoltf');
QuarantineFile('Lpnppoltf.sys','');
QuarantineFile('Ksttle2ciq.sys','');
DeleteService('HTTPFilterBITSALG');
QuarantineFile('Dacscronpc.sys','');
DeleteService('Fasbtion');
QuarantineFile('Fasbtion.sys','');
QuarantineFile('Flsadvu1arbi.sys','');
DeleteService('Flsadvu1arbi');
DeleteService('BITSALG');
QuarantineFile('srv.exe','');
DeleteService('AppMgmtTrkWks');
DeleteService('srv32');
QuarantineFile('c:\windows\1272g1g3g80.exe','');
TerminateProcessByName('c:\windows\1272g1g3g80.exe');
DeleteFile('c:\windows\1272g1g3g80.exe');
DeleteFile('srv.exe');
DeleteFile('Flsadvu1arbi.sys');
DeleteFile('Fasbtion.sys');
DeleteFile('Dacscronpc.sys');
DeleteFile('Ksttle2ciq.sys');
DeleteFile('Lpnppoltf.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2uaxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Generic Host for Win32 Services');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\cftu.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices-','cftu');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','cftu');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe');
DeleteFile('C:\WINDOWS\Temp\cch7A4.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог Gmer