Откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить:
Код
begin
SearchRootkit(true, true);
SetAVZPMStatus(True);
QuarantineFile('C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AkPGtgTD5hs.exe','');
QuarantineFile('rdpclip','');
QuarantineFile('C:\windows\system32\IntEdReg.exe','');
QuarantineFile('C:\Users\Дмитрий\AppData\Local\Temp\NEventMessages.dll','');
QuarantineFile('C:\Users\AACE~1\AppData\Local\Temp\NOSEventMessages.dll','');
QuarantineFile('C:\Program Files\Common Files\Services\WMPtrust.gra','');
QuarantineFile('C:\Users\AACE~1\AppData\Local\Temp\lredbooo.sys','');
QuarantineFile('C:\windows\SYSTEM32\Rezip.exe','');
QuarantineFile('C:\windows\system32\drivers\bzdcyyej.sys','');
DeleteFile('C:\windows\system32\drivers\bzdcyyej.sys');
DeleteFile('C:\Users\AACE~1\AppData\Local\Temp\lredbooo.sys');
DeleteFile('C:\Users\AACE~1\AppData\Local\Temp\NOSEventMessages.dll');
DeleteFile('C:\Users\Дмитрий\AppData\Local\Temp\NEventMessages.dll');
DeleteFile('C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AkPGtgTD5hs.exe');
DeleteService('lredbooo');
DeleteService('bzdcyyej');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить:
Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ создастся архив с именем quarantine.zip. Полученный архив отправьте на адрес malware<at>russia.ru(<at> замените на @)
В HJT пофиксить следующие строки:
Код
R3 - URLSearchHook: (no name) - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - (no file)
O4 - Startup: AkPGtgTD5hs.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{14B9869F-FBC9-4E53-BD07-F5DE87D2D6AE}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{36707A73-DFA2-4E90-9B93-492610E1F47B}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E3C53E5-6D39-4DEB-BDD0-C66B2B8A0848}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{5314693F-32A4-43AB-AF8E-6B4C1C389EF1}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{573A2294-D3CF-4127-BDF2-45EC9EECC5B6}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{842E5641-B8FC-4614-A9EC-5669350AD220}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A91405B8-2D43-4533-B4A7-88E3A3A99571}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5FCDE26-874E-44A1-9745-267549887DE0}: NameServer = 127.0.0.1
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\windows\system32\GameMon.des.exe (file missing)
Повторите лог AVZ (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2) и прикрепите его к новому сообщению.