[thyrex]

Перед выполнением скрипта отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('I:\WINDOWS\System32\drivers\a6f1c071.sys','');
 DeleteService('a6f1c071');
 TerminateProcessByName('i:\windows\temp\wpv571253309382.exe');
 QuarantineFile('i:\windows\temp\wpv571253309382.exe','');
 TerminateProcessByName('i:\windows\temp\_ex-08.exe');
 QuarantineFile('i:\windows\temp\_ex-08.exe','');
 DeleteFile('i:\windows\temp\_ex-08.exe');
 DeleteFile('i:\windows\temp\wpv571253309382.exe');
 DeleteFile('I:\WINDOWS\System32\drivers\a6f1c071.sys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PromoReg');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Пофиксить в HiJack

Код:

 R3 - URLSearchHook: (no name) -  - (no file)
O20 - Winlogon Notify: sysfldr - I:\WINDOWS\

Скачайте IceSword
Распакуйте в отдельную папку и запустите.
Выберите Registry.
Найдите все строки, в записи которых встречается %fystemRoot%.
Замените в этих строках %fystemRoot% на %systemRoot%

Сделайте новые логи (только не надо саму программу HiJack паковать вместе с логом )