1. Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Hqnn4sWivTM.exe','');
QuarantineFile('C:\WINDOWS\system32\88644A\330D91.EXE','');
QuarantineFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\330D91.lnk','');
QuarantineFileF('C:\WINDOWS\system32\88644A', '*.*', false, '', 0, 0);
QuarantineFileF('C:\WINDOWS\system32\E5E969', '*.*', false, '', 0, 0);
DeleteFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\330D91.lnk');
DeleteFile('C:\WINDOWS\system32\88644A\330D91.EXE');
DeleteFile('C:\plg.txt');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Hqnn4sWivTM.exe');
if MessageDlg('Отключить автозапуск со всех носителей кроме компакт-дисков?', mtInformation, mbYes+mbNo, 0) = 6 then
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer','NoDriveTypeAutoRun','221');
DeleteFileMask('C:\WINDOWS\system32\88644A', '*.*', true);
DeleteFileMask('C:\WINDOWS\system32\E5E969', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\88644A');
DeleteDirectory('C:\WINDOWS\system32\E5E969');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью
этой формы.
2. Запустите Hijackthis/ В логе сканирования отметьте следующие строки:
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - - (no file)
O4 - S-1-5-18 Startup: 330D91.lnk = C:\WINDOWS\system32\88644A\330D91.EXE (User 'SYSTEM')
O4 - S-1-5-18 Startup: Hqnn4sWivTM.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: 330D91.lnk = C:\WINDOWS\system32\88644A\330D91.EXE (User 'Default user')
O4 - .DEFAULT Startup: Hqnn4sWivTM.exe (User 'Default user')
O4 - Startup: 330D91.lnk = C:\WINDOWS\system32\88644A\330D91.EXE
O4 - Startup: Hqnn4sWivTM.exe
O9 - Extra button: (no name) - DctMapping - (no file)
Если прокси не используете, то пофиксите:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
3.Также подготовьте лог
SecurityCheck by screen317:
Скачайте
SecurityCheck by screen317 или с
зеркала и сохраните утилиту на Рабочем столе.
Запустите программу, после появления консоли нажмите любую клавишу для начала сканирования.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Дождитесь завершения сканирования и формирования лога. Запостите содержимое лога утилиты в той теме, где вам оказывается помощь.
!!!Внимание
_____________________
Если увидите предупреждение от вашего фаервола, то разрешите SecurityCheck доступ в сеть.
4.
Код:
C:\TDSSKiller.2.7.22.0_25.03.2012_23.18.39_log.txt
Запускали TDSS? Будьте добры отчёт приложите.
Смените все пароли!!!
Сделайте повторные логи
AVZ и
RSIT.
