Предыдущая рекомендация не совсем полна, поэтому дополню.
Отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в
исключениях брандмауэра общий доступ к файлам и принтерам.
Запустите
HiJackThis, нажмите кнопку
"Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку
"Fix Checked".
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {23259E85-36D3-4C21-AF47-FC1511EFE080} - C:\WINDOWS\system32\camoc.dll
O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Program Files\DAEMON Tools SearchBar\search.dll (file missing)
O4 - HKLM\..\Run: [WhenUSearch] "C:\Program Files\DAEMON Tools SearchBar\Search.exe"
O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe
O4 - HKCU\..\Run: [antispy] C:\Documents and Settings\kit10\bglqvbglqvbglqvbglqvb.exe
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ,
временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\DAEMON Tools SearchBar\Search.exe','');
StopService('hnvhnrwz');
SetServiceStart('hnvhnrwz', 4);
QuarantineFile('C:\WINDOWS\system32\camoc.dll','');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Program Files\DAEMON Tools SearchBar\search.dll','');
QuarantineFile('digeste.dll','');
QuarantineFile('crypts.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
QuarantineFile('C:\Documents and Settings\kit10\bglqvbglqvbglqvbglqvb.exe','');
QuarantineFile('C:\DOCUME~1\kit10\LOCALS~1\Temp\Rar$EX00.735\Christmas.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\hnvhnrwz.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\hnvhnrwz.sys');
DeleteFile('C:\DOCUME~1\kit10\LOCALS~1\Temp\Rar$EX00.735\Christmas.exe');
DeleteFile('C:\Documents and Settings\kit10\bglqvbglqvbglqvbglqvb.exe');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
DeleteFile('crypts.dll');
DeleteFile('digeste.dll');
DeleteFile('C:\Program Files\DAEMON Tools SearchBar\search.dll');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\Program Files\DAEMON Tools SearchBar\Search.exe');
DeleteFile('C:\WINDOWS\system32\camoc.dll');
DelWinlogonNotifyByKeyName('crypt');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
DelBHO('{BA2325ED-F9EB-4830-8FCE-0BC35B16969B}');
DelBHO('{23259E85-36D3-4C21-AF47-FC1511EFE080}');
DeleteService('hnvhnrwz');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('hnvhnrwz');
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью
ATF Cleaner
- скачайте
ATF Cleaner, запустите, поставьте галочку напротив
Select All и нажмите
Empty Selected.
- если вы используете
Firefox, нажмите
Firefox - Select All - Empty Selected
- нажмите
No, если вы хотите оставить ваши сохраненные пароли
- если вы используете
Opera, нажмите
Opera - Select All - Empty Selected
- нажмите
No, если вы хотите оставить ваши сохраненные пароли
Цитата:
|
Восстановление системы: включено
|
Поэтому создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите
Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке
Дополнительно-Восстановление системы нажмите
Очистить
- Нажмите
Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите
Создать точку восстановления, нажмите
Далее, введите имя точки восстановления и нажмите
Создать
Запустите AVZ. В меню AVZM выберите "Установить драйвер расширенного мониторинга процессов", перезагрузите компьютер. Сделайте новые логи.
Котяра, в ПМ отписал.
