- Отключите интернет и локальную сеть если таковая имеется.
- Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
• Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли. - Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.
*
Подробнее можно прочитать в этой теме.
• Скрипт
AVZ.
Выполните скрипт
AVZ. Меню
Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка
Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\netprotdrvss');
TerminateProcessByName('c:\windows\system32\user32.exe');
TerminateProcessByName('d:\md.exe');
QuarantineFile('C:\WINDOWS\system32\Drivers\uzmymjk3.sys','');
QuarantineFile('C:\WINDOWS\system32\els.dll','');
QuarantineFile('C:\WINDOWS\System32\tssdis.exe','');
QuarantineFile('C:\WINDOWS\System32\polagent.dll','');
QuarantineFile('c:\windows\system32\netprotocol.dll','');
QuarantineFile('c:\windows\system32\netprotdrvss','');
QuarantineFile('c:\windows\system32\user32.exe','');
QuarantineFile('d:\md.exe','');
QuarantineFile('F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx','');
QuarantineFile('C:\huadio.tmp','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('F:\autorun.inf','');
DeleteFile('F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx');
DeleteFile('C:\huadio.tmp');
DeleteFile('D:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('d:\md.exe');
DeleteFile('c:\windows\system32\netprotdrvss');
DeleteFile('c:\windows\system32\netprotocol.dll');
DeleteFile('c:\windows\system32\user32.exe');
DeleteService('autorun');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин
quarantine.zip Вышлите полученный файл
quarantine.zip на
newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.
Код:
>>> Подозрение на маскировку ключа реестра службы\драйвера "fqwgec"
у вас кидо, сделайте логи
gmer
Загрузите
GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется),
Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите
No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Из всех дисков оставьте отмеченным только системный диск (обычно
C:\)
Нажмите на кнопку
Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите
OK.
После окончания проверки сохраните его лог (нажмите на кнопку
Save) и вложите в сообщение.
