[решено] Не загружается рабочий стол и панель задач

Severny · Отправлено: **10:30, 25-03-2009** | #2

Приветствую.
C помощью ATF Cleaner почистить временные файлы.

В HijackThis выделить значения и нажать Fix Checked

Цитата:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

В AVZ выполнить скрипт

Цитата:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
TerminateProcessByName('c:\windows\ehome\mcrdsvc.exe');
SetServiceStart('MHNDRV', 4);
QuarantineFile('C:\WINDOWS\system32\time.cmd','');
QuarantineFile('C:\WINDOWS\System32\drivers\2458497d.sys','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('c:\windows\ehome\mcrdsvc.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\mhndrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\symlcbrd.sys','');
DeleteFile('msansspc.dll');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(13);
ExecuteRepair(11);
ExecuteRepair(8);
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполнить еще один

Цитата:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Карантин в приват.

Назначенное задание C:\WINDOWS\system32\time.cmd известно?
Странно наличие Outpost вместо антивируса. Лучше бы наоборот.

Vadikan, Severny, приветствую.
Severny, сорри, но я пока убрал из скрипта, ввиду спорного вопроса о зловрдности файлов
DeleteService('MHNDRV');
DeleteService('symlcbrd');
DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\mhndrv.sys');
DeleteFile('c:\windows\ehome\mcrdsvc.exe');
добавил в скрипт карантин этих файлов и ExecuteRepair(9);
C:\WINDOWS\system32\DRIVERS\mhndrv.sys - http://www.virustotal.com/analisis/9...62d0f99d94838a
symlcbrd.sys - http://www.virustotal.com/analisis/3...e933d52485da2d
Pili.