Solker, В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('2shxne');
StopService('a0c8y6');
StopService('mxdispdr');
SetServiceStart('mxdispdr', 4);
StopService('acpidisk');
SetServiceStart('acpidisk', 4);
StopService('SoSCAR');
SetServiceStart('SoSCAR', 4);
StopService('sysloader');
SetServiceStart('sysloader', 4);
StopService('spoo1v');
SetServiceStart('spoo1v', 4);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\jjDXAYrrs1.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll','');
QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9YE.EXE','');
QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\oc7vbj.sys','');
QuarantineFile('E:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\ga4kemtko.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\devis.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\2shxne.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\spoo1v.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\RUNDLLFOROUR.EXE','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpidisk.sys','');
QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FUIC19YE.DLL','');
QuarantineFile('D:\CARDSERV\Cardserv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\mxdispdr.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\a0c8y6.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\2shxne.sys','');
QuarantineFile('C:\WINDOWS\system32\winlib .dll','');
QuarantineFile('C:\WINDOWS\system32\msplrct.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\finder.dll','');
QuarantineFile('i3xawuo6t5.dll','');
DeleteService('mxdispdr');
DeleteService('acpidisk');
DeleteService('spoo1v');
DeleteService('sysloader');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\finder.dll');
DeleteFile('C:\WINDOWS\system32\msplrct.dll');
DeleteFile('C:\WINDOWS\system32\winlib .dll');
DeleteFile('C:\WINDOWS\system32\drivers\mxdispdr.sys');
DeleteFile('C:\WINDOWS\system32\drivers\acpidisk.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\spoo1v.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\jjDXAYrrs1.dll');
DelBHO('{EE60714F-AC17-427e-861A-FD60CBDF119A}');
DelBHO('{C86488AF-13D5-4FEF-9DDF-9FB88698CFC1}');
DelBHO('{385AB8C6-FB22-4D17-8834-064E2BA0A6F0}');
BC_ImportAll;
ExecuteSysClean;
BC_QrFile('C:\WINDOWS\system32\Drivers\2shxne.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\acpidisk.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\mxdispdr.sys');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\spoo1v.exe');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (что найдется)
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zhaodao123.com/?h
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://client.jogo.cn/cdn/browser/customsearch/customsearch-en.html
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
O2 - BHO: Adobe Common Objects - {C86488AF-13D5-4FEF-9DDF-9FB88698CFC1} - C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\jjDXAYrrs1.dll
O9 - Extra button: ТЧИ¤№єОп - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=824 (file missing)
O9 - Extra 'Tools' menuitem: ТЧИ¤№єОп - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=824 (file missing)
O24 - Desktop Component 0: (no name) - http://img-fotki.yandex.ru/get/13/marmarix2.5/0_7584_c8be6c3c_-1-orig
Обновите антивируную базу AVZ и повторите логи. Вы помощью AVPTool проверяли систему?
