Здравствуйте, в обязательном порядке:
Установите
Service Pack 3 (потребуется активация).
Обновите
Internet Explorer до
восьмой версии даже если им не пользуетесь.
Установите патчи от Майкрософт, закрывающие уязвимости MS08-067, MS08-068 и MS09-001
http://www.microsoft.com/rus/technet.../MS08-067.mspx
http://www.microsoft.com/rus/technet.../MS08-068.mspx
http://www.microsoft.com/rus/technet.../MS09-001.mspx
• Выполните скрипт
AVZ
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\jodrive32.exe');
TerminateProcessByName('c:\documents and settings\all users.windows\application data\gamexn\gamexngo.exe');
TerminateProcessByName('c:\documents and settings\Умничка\application data\dvmgr32.exe');
TerminateProcessByName('c:\windows\aadrive32.exe');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpip.sys.bck','');
QuarantineFile('C:\WINDOWS\system32\c9mgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Program Files\Obnovi Soft\ObnoviSoft.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\GameXN\GameXNGO.exe','');
QuarantineFile('C:\WINDOWS\system32\smsc.exe','');
QuarantineFile('c:\windows\jodrive32.exe','');
QuarantineFile('c:\documents and settings\Умничка\application data\dvmgr32.exe','');
QuarantineFile('c:\windows\aadrive32.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('c:\documents and settings\Умничка\application data\9b.tmp','');
QuarantineFile('C:\WINDOWS\System32\lpdd.exe','');
QuarantineFile('C:\xci32.exe','');
QuarantineFile('C:\Documents and Settings\Умничка\Application Data\doop32.exe','');
QuarantineFile('C:\Documents and Settings\Умничка\Application Data\Uijejy.exe','');
QuarantineFile('C:\Documents and Settings\Умничка\Application Data\aon32.exe','');
QuarantineFile('C:\Documents and Settings\Умничка\Application Data\aon322.exe','');
QuarantineFile('C:\WINDOWS\ukcns.exe','');
QuarantineFile('C:\WINDOWS\csfvo.exe','');
QuarantineFile('C:\WINDOWS\dosno.exe','');
QuarantineFile('C:\WINDOWS\xsas.exe','');
QuarantineFile('C:\WINDOWS\dasxi.exe','');
QuarantineFile('C:\WINDOWS\aoscs.exe','');
DeleteFile('C:\WINDOWS\ukcns.exe');
DeleteFile('C:\WINDOWS\csfvo.exe');
DeleteFile('C:\WINDOWS\dosno.exe');
DeleteFile('C:\WINDOWS\xsas.exe');
DeleteFile('C:\WINDOWS\dasxi.exe');
DeleteFile('C:\WINDOWS\aoscs.exe');
DeleteFile('C:\Documents and Settings\Умничка\Application Data\aon322.exe');
DeleteFile('C:\Documents and Settings\Умничка\Application Data\aon32.exe');
DeleteFile('C:\Documents and Settings\Умничка\Application Data\Uijejy.exe');
DeleteFile('C:\Documents and Settings\Умничка\Application Data\doop32.exe');
DeleteFile('C:\xci32.exe');
DeleteFile('C:\WINDOWS\System32\lpdd.exe');
DeleteFile('c:\documents and settings\Умничка\application data\9b.tmp');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('c:\windows\aadrive32.exe');
DeleteFile('c:\documents and settings\Умничка\application data\dvmgr32.exe');
DeleteFile('c:\windows\jodrive32.exe');
DeleteFile('C:\WINDOWS\system32\smsc.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('C:\WINDOWS\system32\c9mgr.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dadv2');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteService('PrtSmanm');
DeleteFileMask('C:\Documents and Settings\Умничка\Application Data\','*.tmp*', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
• После перезагрузки выполните такой скрипт:
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте
quarantine.zip из папки AVZ через
эту форму.
Сделайте новые логи AVZ & RSIT.
• Загрузите
GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется),
Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием [url="http://virusnet.info/forum/showthread.php?t=10608"]приостановить их работу.
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите
No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Из всех дисков оставьте отмеченным только системный диск (обычно
C:\)
Нажмите на кнопку
Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите
OK.
После окончания проверки сохраните его лог (нажмите на кнопку
Save) и вложите в сообщение.
