exo, в автозагрузке всё, что с 04 в логе HJT начинается
C:\Program Files\SUPERAntiSpyware - ну это хоть ладно, но еще есть C:\Program Files\Avira\AntiVir PersonalEdition - работающий! (драйвера по краней мере запущены), ещё касперского не хватает
Но тем не менее Backdoor.Genlot.DX вроде бы как есть.
Валентина,
Деинсталлируйте лишние антивирусы и оставьте один, рекомендую Avira. Соберем файлы на проверку:
В меню
AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить» (на время вып-ия скрипта отключить
все антивирусы)
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\VALENT~1\LOCALS~1\Temp\iMSPCLOj.sys','');
QuarantineFile('C:\DOCUME~1\VALENT~1\LOCALS~1\Temp\Rar$EX00.274\snoop2.exe','');
QuarantineFile('C:\DOCUME~1\VALENT~1\LOCALS~1\Temp\Rar$EX00.274\IniFile.dll','');
QuarantineFile('c:\docume~1\valent~1\locals~1\temp\rar$ex00.274\snoop2.exe','');
QuarantineFile('c:\windows\system32\lan.exe','');
QuarantineFile('C:\WINDOWS\system32\digest.dll','');
QuarantineFile('C:\WINDOWS\system32\.vbe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.
Поищите в C:\WINDOWS\system32\ файлы с расширением vbe и также пришлите в архиве с паролем virus
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {393D34F8-EFC6-4DC7-90C8-D6851DBA7AF1} - (no file)
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [CELERON] .vbe
Proxomitron (d:\program files2\proxn45j_nohlp\proxomitron.exe) сами ставили?
В файл hosts smallgames.ws сами добавили? Если нет пофиксите ещё
Код:
O1 - Hosts: 193.200.173.71 smallgames.ws
Остатки антивирусов потом можно будет убрать потом скриптом, но лучше использовать утилиты удаления от производителей антивирусов.
add: Удаление Avira
Цитата:
1. Загрузите Windows XP в Безопасном режиме (F8 в начале загрузки персонального компьютера)
2. Удалите следы AntiVira в папке Program Files.
Это могут быть:
- "C:\Program Files\AVPersonal"
- "C:\Program Files\AVPersonalPremium"
- "C:\Program Files\AntiVir PersonalEdition Classic\"
- "C:\Program Files\AntiVir PersonalEdition Premium\"
3. Удалите следы из папки Documents and Settings\All Users\Application Data:
- ... \AntiVir PersonalEdition Classic\
- ... \AntiVir PersonalEdition Premium\
Это - скрытая папка. Для того, чтобы увидеть скрытые папки и файлы: Мой компьютер - выбрать 'Сервис' --> 'Свойства папки': вкладка 'Вид'. Здесь в списке опций нужно снять галочку на 'Скрывать защищенные системные файлы' и, чуть ниже, отметить пункт 'Показывать скрытые файлы и папки'.
4. Пуск - Выполнить - regedit
Удалить ключи
- HKEY_CURRENT_USER\Software\H+BEDV
- KEY_LOCAL_MACHINE\Software\H+BEDV
(Перевод с офф. сайта. : p2u)
|
