filthy, папку c:\windows\temp\ очистите, удалите временные файлы с помощью
ATF Cleaner и/или через Пуск-Программы-Стандартные-Служебные-Очистка диска
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Winbh51', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('LPTRDCsrv', 4);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\xoblite\Brutus FTP Cracker.exe','');
QuarantineFile('C:\Documents and Settings\FTP Cracker.exe','');
QuarantineFile('c:\windows\temp\init.exe','');
QuarantineFile('C:\WINDOWS\system32\rem.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\vadmulti.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\csrbc01.sys','');
QuarantineFile('Schedule.sys','');
QuarantineFile('C:\WINDOWS\ctfmon.exe','');
QuarantineFile('C:\Program Files\DynDNS Updater\DynUpSvc.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winbh51.sys','');
QuarantineFile('C:\WINDOWS\system32\syssrv.sys','');
QuarantineFile('C:\WINDOWS\Temp\6vLR2ZLP.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\blackbox\plugins\bbleanskin\BBLEANSKINENG.DLL','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\Temp\6vLR2ZLP.sys');
DeleteFile('C:\WINDOWS\system32\syssrv.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winbh51.sys');
DeleteFile('C:\WINDOWS\ctfmon.exe');
DeleteFile('Schedule.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('c:\windows\temp\init.exe');
DeleteFile('C:\Documents and Settings\FTP Cracker.exe');
DeleteFile('C:\xoblite\Brutus FTP Cracker.exe');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
DeleteService('Winbh51');
DeleteService('Schedule');
DeleteService('LPTRDCsrv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winbh51');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('LPTRDCsrv');
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Запустите в AVZ, Файл - Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\temp\init.exe,
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
Скачайте ComboFix
здесь или
здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции -
how-to-use-combofix, и
http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр.
Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
1.
Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix -
how-to-use-combofix и
здесь
Повторите логи virusinfo_syscheck.zip и hijackthis
