Вопрос

Никса · Отправлено: **13:25, 20-09-2009** | #2

Еще вот что выскакивает

Никса · Отправлено: **13:28, 20-09-2009** | #3

вот

iskander-k · Конфигурация компьютера

Никса, Здравствуйте. Выложите логи в соответствии с этими инструкциями.

Никса · Отправлено: **13:39, 20-09-2009** | #5

1.2. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих..
Создание новой точки восстановления: Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

А какое имя нужно ввести?

iskander-k · Конфигурация компьютера

Цитата Никса:

А какое имя нужно ввести? »

Любое чтоб потом смогли опознать. Хоть - " 123 " , хоть - " sot " не имеет значения.

Никса · Отправлено: **20:51, 05-10-2009** | #7

Логи

логи

thyrex · Конфигурация компьютера

Перед выполнением скрипта отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('I:\WINDOWS\System32\drivers\a6f1c071.sys','');
 DeleteService('a6f1c071');
 TerminateProcessByName('i:\windows\temp\wpv571253309382.exe');
 QuarantineFile('i:\windows\temp\wpv571253309382.exe','');
 TerminateProcessByName('i:\windows\temp\_ex-08.exe');
 QuarantineFile('i:\windows\temp\_ex-08.exe','');
 DeleteFile('i:\windows\temp\_ex-08.exe');
 DeleteFile('i:\windows\temp\wpv571253309382.exe');
 DeleteFile('I:\WINDOWS\System32\drivers\a6f1c071.sys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PromoReg');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Пофиксить в HiJack

Код:

 R3 - URLSearchHook: (no name) -  - (no file)
O20 - Winlogon Notify: sysfldr - I:\WINDOWS\

Скачайте IceSword
Распакуйте в отдельную папку и запустите.
Выберите Registry.
Найдите все строки, в записи которых встречается %fystemRoot%.
Замените в этих строках %fystemRoot% на %systemRoot%

Сделайте новые логи (только не надо саму программу HiJack паковать вместе с логом

)

Никса · Отправлено: **10:41, 06-10-2009** | #9

Цитата thyrex:

Пофиксить в HiJack
Код:
R3 - URLSearchHook: (no name) - - (no file)
O20 - Winlogon Notify: sysfldr - I:\WINDOWS\ »

А как это сделать?

zeroua · Конфигурация компьютера

Никса, Как пофиксить в HijackThis