Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{805F7DC0-E8DD-40BA-AF1D-32F22FD3D415}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Camera Image2]
[-HKEY_USERS\S-1-5-21-1775545170-3077091192-1972197146-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F43763B1-C0EC-BA8F-8484-ADF7361D5084}]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите
Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в
этом руководстве.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\Iryna\AppData\Local\Camera Image\{1ECC8B56-4E58-7788-9EF9-DD1BD87D7332}\sqqzerw.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\bsdriver.sys','');
QuarantineFile('C:\PROGRA~1\SHOPPE~1\Eejelguh.bat', '');
QuarantineFile('C:\PROGRA~1\SHOPPE~2\Uleurep.bat', '');
DeleteFile('C:\Users\Iryna\AppData\Local\Camera Image\{1ECC8B56-4E58-7788-9EF9-DD1BD87D7332}\sqqzerw.dll','32');
DeleteFile('C:\PROGRA~1\SHOPPE~1\Eejelguh.bat', '32');
DeleteFile('C:\PROGRA~1\SHOPPE~2\Uleurep.bat', '32');
ExecuteFile('schtasks.exe', '/delete /TN "Cokdebk" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Fomvue" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Camera Image2" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер
перезагрузится.
Файл
quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью
этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик:
quarantine <at> safezone.cc (замените
<at> на
@) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля:
virus в теле письма.
- Загрузите GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Временно отключите драйверы эмуляторов дисков.
- Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
- Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
- Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
- После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
- Подробную инструкцию читайте в руководстве.
