[Aleksandra]

http://forum.oszone.net/thread-98169.html

[Pifcabe]

Все добавил выше.Надеюсь на вашу помощь!

[Arbitr]

Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file)
O2 - BHO: (no name) - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - (no file)

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
 DeleteFile('%windir%\system32\sfcfiles.bak');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
повторите лог AVZ у вас syscure.zip пустой + лог RSIT
на время выполнения лога AVZ отключить ВСЕ!!! программы и антивирусное ПО

[Pifcabe]

Вроде все сделал.Бсод пропал.А что еще за лог RSIT ?Что такое РСИТ ,и где ее найти!

[Arbitr]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится t5nh1olb.exe случайное имя утилиты (gmer)

Код:

t5nh1olb.exe -del service mlycqk
t5nh1olb.exe -del file "C:\WINDOWS\system32\kquyw.dll"
t5nh1olb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mlycqk"
t5nh1olb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mlycqk"
t5nh1olb.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

так же сделать лог AVZ скрипт №3

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

p/s/ Саша спасибо тебе!!!

[Pifcabe]

У меня нету файла cleanup.bat.

[Arbitr]

Цитата Pifcabe:

У меня нету файла cleanup.bat. »

Цитата Arbitr:

Сохраните приведённый ниже текст »

Цитата Arbitr:

t5nh1olb.exe -del service mlycqk t5nh1olb.exe -del file "C:\WINDOWS\system32\kquyw.dll" t5nh1olb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mlycqk" t5nh1olb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mlycqk" t5nh1olb.exe -reboot »

Цитата Arbitr:

в файл cleanup.bat »

Цитата Arbitr:

в ту же папку, где находится t5nh1olb.exe случайное имя утилиты (gmer) »

Цитата Arbitr:

И запустите сохранённый пакетный файл cleanup.bat. »

[Arbitr]

вот он,
не забудьте сначала распаковать его а потом перенести

[Pifcabe]

во время работы cleanup.bat происходят ошибки

t5nh1olb.exe -del service mlycqk неверно задан параметр
t5nh1olb.exe -del file "C:\WINDOWS\system32\kquyw.dll" не найден файл длл
t5nh1olb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mlycqk" неверно задан параметр
t5nh1olb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mlycqk"неверно задан параметр