FreeSoul, В меню
AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\appkc32.dll','');
QuarantineFile('C:\winstall.exe','');
QuarantineFile('C:\Program Files\SpySheriff\SpySheriff.exe','');
QuarantineFile('C:\WINDOWS\crha32.exe','');
QuarantineFile('C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\A.tmp.exe','');
QuarantineFile('C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\9.tmp.exe','');
DeleteFile('C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\A.tmp.exe');
DelBHO('{55631A23-8A44-6ECD-6BD7-705877180E2C}');
DeleteFile('C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\9.tmp.exe');
DeleteFile('C:\WINDOWS\crha32.exe');
DeleteFile('C:\winstall.exe');
DeleteFile('C:\WINDOWS\system32\appkc32.dll');
DeleteFile('C:\Program Files\SpySheriff\SpySheriff.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked"
Код:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xskvg.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Class - {55631A23-8A44-6ECD-6BD7-705877180E2C} - C:\WINDOWS\system32\appkc32.dll (file missing)
O4 - HKLM\..\Run: [crha32.exe] C:\WINDOWS\crha32.exe
O4 - HKLM\..\Run: [A.tmp] C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\A.tmp.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
удалить полностью папку
C:\Program Files\SpySheriff\
скопируйте текст ниже в блокнот, сохраните как fix.reg и примените
Код:
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\9.tmp]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\9.tmp.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\A.tmp.exe]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a1c5c2d0-90c3-11dc-aebe-0090270f91ad}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySheriff]
Повторите логи
Цитата Erekle:
В Hijack This откройте раздел Open Misc Tools section. Нажать кнопку "Delete an NT service" button. Скопируйте в окошко:
11F?a #·?AO`I »
|
службы каждый раз по-разному наз-ся
