[решено] хозяйствует нечто: исчезают аудиоустройства системы, меняется рабочий стол

_Falcon_ · Отправлено: **10:46, 25-06-2009** | #6

Карантин открепите, пожалуйста.

Выполните:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteService('ASWLSVCTrkWks');
 DeleteService('BITSClipSrv');
 DeleteService('BthServNetlogon');
 DeleteService('DcomLaunchdmadmin');
 DeleteService('DhcpSSDPSRV');
 DeleteService('helpsvcseclogon');
 DeleteService('IrmonASWLSVCTrkWks');
 DeleteService('lanmanworkstationSPIDERNT');
 DeleteService('MDMSwPrv');
 DeleteService('MDMSwPrvNetDDEdsdm');
 DeleteService('MSDTCWebClient');
 DeleteService('MSIServerdmadmin');
 DeleteService('MSIServerWmiApSrv');
 DeleteService('RasManNetDDE');
 DeleteService('SharedAccessmnmsrvc');
 DeleteService('ShellHWDetectionose');
 DeleteService('stisvcWebClientALG');
 DeleteService('SysmonLogPolicyAgent');
 DeleteService('TrkWksThemes');
 DeleteService('WebClientALG');
 DeleteService('xmlprovNVSvc');
 DeleteService('ctneaf4');     
 QuarantineFile('C:\WINDOWS\System32\drivers\ctneaf4.sys','');
 DeleteFile('C:\WINDOWS\system32\braviax.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\ctneaf4.sys');
 BC_ImportAll;
 BC_DeleteSvc('ctneaf4');
 BC_DeleteSvc('WebClientALG');
 BC_DeleteSvc('xmlprovNVSvc');
 BC_DeleteSvc('TrkWksThemes');
 BC_DeleteSvc('SysmonLogPolicyAgent');
 BC_DeleteSvc('stisvcWebClientALG');
 BC_DeleteSvc('ShellHWDetectionose');
 BC_DeleteSvc('SharedAccessmnmsrvc');
 BC_DeleteSvc('RasManNetDDE');
 BC_DeleteSvc('ASWLSVCTrkWks');
 BC_DeleteSvc('BITSClipSrv');
 BC_DeleteSvc('BthServNetlogon');
 BC_DeleteSvc('DcomLaunchdmadmin');
 BC_DeleteSvc('DhcpSSDPSRV');
 BC_DeleteSvc('helpsvcseclogon');
 BC_DeleteSvc('IrmonASWLSVCTrkWks');
 BC_DeleteSvc('lanmanworkstationSPIDERNT');
 BC_DeleteSvc('MDMSwPrv');
 BC_DeleteSvc('MDMSwPrvNetDDEdsdm');
 BC_DeleteSvc('MSDTCWebClient');
 BC_DeleteSvc('MSIServerdmadmin');
 BC_DeleteSvc('MSIServerWmiApSrv');
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

1) Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.