seman, Привет.
Предварительные рекомендации перед лечением:
Отключите интернет и локальную сеть если таковая имеется.
- Очистите временные файлы.
Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли.
- Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
- Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
- Очистка всех предыдущих точек восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.
*
Как это сделать, подробно можно прочитать в этой теме.
• HiJackThis Нужно пофиксить эти строки в
HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку
Fix Checked.
Как пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
• Скрипт
AVZ.
Выполните скрипт
AVZ. Меню
Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка
Запустить, после выполнения компьютер перезагрузится.
Код:
begin
DelBHO('{855F3B16-6D32-4fe6-8A56-BBB695989046}');
ExecuteRepair(13);
RebootWindows(true);
end.
Повторите логи, а так же сделайте лог утилитой
Gmer
Загрузите
GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется),
Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите
No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Из всех дисков оставьте отмеченным только системный диск (обычно
C:\)
Нажмите на кнопку
Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите
OK.
После окончания проверки сохраните его лог (нажмите на кнопку
Save) и вложите в сообщение.
Цитата seman:
|
авз находит маскирующие 2 процесса. »
|
Цитата:
>>> Подозрение на маскировку ключа реестра службы\драйвера "TlntSvr"
>>> Подозрение на маскировку ключа реестра службы\драйвера "WmiApRpl"
|
Первый от службы
Telnet, второй - кажись служба производительности.
На данном этапе после выполнения скрипта и фикса, что с проблемой?
