1.удалите в MBAM
Код:
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8E569E70-9E91-4CF9-820C-99DDC3A05A0C} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8E569E70-9E91-4CF9-820C-99DDC3A05A0C} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{BEFC54BA-36EB-4CFC-BA55-587361577A26} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{3A596471-ECBE-4AEE-B543-79AE8C8FF7A9} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{047D87FD-BFC5-4AC3-9AD3-ACECC7B49016} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1094613F-84B6-4131-AEC1-71DF88291044} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.JetMimeFiltr (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.JetMimeFiltr.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.JetVideoPlugin (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.JetVideoPlugin.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\pllib.DLL (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00 (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO) -> No action taken.
Заражённые файлы:
c:\documents and settings\пассат\local settings\Temp\java_update.exe (PUP.Pr0nTool) -> No action taken.
c:\program files\icqtoolbar\toolbaru.dll (Trojan.BHO) -> No action taken.
2.Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: Яндекс.Поиск - {893AE660-AE80-4dd0-9959-24D2337C04E8} - C:\Program Files\Yandex\Online\yndminibar.dll (file missing)
3. ОтключитеСистемное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
WhatService('halsrvyq');
QuarantineFile('C:\Program Files\Yandex\Online\yndminibar.dll','');
QuarantineFile('C:\WINDOWS\system32\037.tmp','');
DeleteService('ftgodmt');
QuarantineFile('C:\DOCUME~1\ПАССАТ\LOCALS~1\Temp\34634thw.sys','');
DeleteFile('C:\DOCUME~1\ПАССАТ\LOCALS~1\Temp\34634thw.sys');
QuarantineFile('C:\Documents and Settings\пассат\Local Settings\Temp\46173816-C9B8196E-F72DE1E2-D2FD3A04\117d4_xp.exe','');
QuarantineFile('C:\Documents and Settings\пассат\Local Settings\Temp\46173816-C9B8196E-F72DE1E2-D2FD3A04\50b962.exe','');
DeleteFile('C:\Documents and Settings\пассат\Local Settings\Temp\46173816-C9B8196E-F72DE1E2-D2FD3A04\50b962.exe');
DeleteFile('C:\Documents and Settings\пассат\Local Settings\Temp\46173816-C9B8196E-F72DE1E2-D2FD3A04\117d4_xp.exe');
DeleteFile('C:\WINDOWS\system32\037.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
SaveLog(GetAVZDirectory+'halsrvyq.log');
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте повторный лог MBAM
- файл halsrvyq.log прикрепите к сообщению