Прошу помощи. Не знаю как с этими паразитами бороться. Касперский перестал запускаться(((((( Помогите!!!!!!
Здравствуйте, в обязательном порядке:
Установите Service Pack 3 (потребуется активация) (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4).
Обновите Internet Explorer до восьмой версии (http://www.microsoft.com/rus/windows/internet-explorer/) даже если им не пользуетесь.
Установите патчи от Майкрософт, закрывающие уязвимости MS08-067, MS08-068 и MS09-001
http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx
http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx
http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx
• Выполните скрипт AVZ
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\jodrive32.exe');
TerminateProcessByName('c:\documents and settings\all users.windows\application data\gamexn\gamexngo.exe');
TerminateProcessByName('c:\documents and settings\Умничка\application data\dvmgr32.exe');
TerminateProcessByName('c:\windows\aadrive32.exe');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpip.sys.bck','');
QuarantineFile('C:\WINDOWS\system32\c9mgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Program Files\Obnovi Soft\ObnoviSoft.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\GameXN\GameXNGO.exe','');
QuarantineFile('C:\WINDOWS\system32\smsc.exe','');
QuarantineFile('c:\windows\jodrive32.exe','');
QuarantineFile('c:\documents and settings\Умничка\application data\dvmgr32.exe','');
QuarantineFile('c:\windows\aadrive32.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('c:\documents and settings\Умничка\application data\9b.tmp','');
QuarantineFile('C:\WINDOWS\System32\lpdd.exe','');
QuarantineFile('C:\xci32.exe','');
QuarantineFile('C:\Documents and Settings\Умничка\Application Data\doop32.exe','');
QuarantineFile('C:\Documents and Settings\Умничка\Application Data\Uijejy.exe','');
QuarantineFile('C:\Documents and Settings\Умничка\Application Data\aon32.exe','');
QuarantineFile('C:\Documents and Settings\Умничка\Application Data\aon322.exe','');
QuarantineFile('C:\WINDOWS\ukcns.exe','');
QuarantineFile('C:\WINDOWS\csfvo.exe','');
QuarantineFile('C:\WINDOWS\dosno.exe','');
QuarantineFile('C:\WINDOWS\xsas.exe','');
QuarantineFile('C:\WINDOWS\dasxi.exe','');
QuarantineFile('C:\WINDOWS\aoscs.exe','');
DeleteFile('C:\WINDOWS\ukcns.exe');
DeleteFile('C:\WINDOWS\csfvo.exe');
DeleteFile('C:\WINDOWS\dosno.exe');
DeleteFile('C:\WINDOWS\xsas.exe');
DeleteFile('C:\WINDOWS\dasxi.exe');
DeleteFile('C:\WINDOWS\aoscs.exe');
DeleteFile('C:\Documents and Settings\Умничка\Application Data\aon322.exe');
DeleteFile('C:\Documents and Settings\Умничка\Application Data\aon32.exe');
DeleteFile('C:\Documents and Settings\Умничка\Application Data\Uijejy.exe');
DeleteFile('C:\Documents and Settings\Умничка\Application Data\doop32.exe');
DeleteFile('C:\xci32.exe');
DeleteFile('C:\WINDOWS\System32\lpdd.exe');
DeleteFile('c:\documents and settings\Умничка\application data\9b.tmp');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('c:\windows\aadrive32.exe');
DeleteFile('c:\documents and settings\Умничка\application data\dvmgr32.exe');
DeleteFile('c:\windows\jodrive32.exe');
DeleteFile('C:\WINDOWS\system32\smsc.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('C:\WINDOWS\system32\c9mgr.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dadv2');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run ','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run ','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteService('PrtSmanm');
DeleteFileMask('C:\Documents and Settings\Умничка\Application Data\','*.tmp*', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
• После перезагрузки выполните такой скрипт:
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту (http://www.oszone.net/virusnet/) форму.
Сделайте новые логи AVZ & RSIT.
• Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием [url="http://virusnet.info/forum/showthread.php?t=10608"]приостановить их работу.
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
iskander-k
10-12-2011, 01:10
1. Откройте Блокнот и скопируйте в него текст скрипта
q8w5cpzi.exe -del service pcmtbecap
q8w5cpzi.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pcmtbecap"
q8w5cpzi.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pcmtbecap"
q8w5cpzi.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\pcmtbecap"
q8w5cpzi.exe -reboot2. Нажмите Файл - Сохранить как
3. Выберите ту папку, где находится q8w5cpzi.exe (gmer)
4. Укажите Тип файла - Все файлы (*.*)
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat
ВНИМАНИЕ: Компьютер перезагрузится!!!
Сделайте новый лог gmer
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.