Вредоностная программа в фоновом режиме

Код:

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Установите Service Pack 3

Обновите Internet Explorer до восьмой версии

Установите патчи:
MS08-067
MS08-068
MS09-001

Также установите все последние обновления Windows.

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(true);

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

 ClearQuarantine;

 TerminateProcessByName('C:\DOCUME~1\11\LOCALS~1\Temp\Js1.exe');

 QuarantineFile('C:\DOCUME~1\11\LOCALS~1\Temp\Js1.exe','');

 QuarantineFile('C:\Documents and Settings\11\Local Settings\Temp\1.exe','');

 QuarantineFile('C:\Documents and Settings\11\Local Settings\Temporary Internet Files\Content.IE5\2HQT6ZOT\pb-api_v27.0.4[2].js','');

 DeleteFile('C:\Documents and Settings\11\Local Settings\Temporary Internet Files\Content.IE5\2HQT6ZOT\pb-api_v27.0.4[2].js');

 DeleteFile('C:\Documents and Settings\11\Local Settings\Temp\1.exe');

 DeleteFile('C:\DOCUME~1\11\LOCALS~1\Temp\Js1.exe');

 DeleteFile('C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');

 DeleteFile('C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');

 RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Run','JCFSE7V7Z1');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

• Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите Fix Checked.

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru

R3 - URLSearchHook: (no name) -  - (no file)

• Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Adobe Reader обновить до актуальной версии или деинсталлировать!

Обновите Adobe Flash Player до последней

Java обновить до актуальной версии!

PCHDPlayer вы устанавливали? Если нет, то деинсталлируйте.