[thyrex]

Ну и на том хорошо

1. Выполните скрипт в AVZ (меню Файл - Выполнить скрипт - скопировать нижеприведенный текст скрипта и вставить в окно - Выполнить)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe',''); 
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
 QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
 QuarantineFile('C:\Documents and Settings\Макс.62589D1B560F491\Local Settings\Temporary Internet Files\Content.IE5\ZMON7HWD\svchost[1].exe','');
 QuarantineFile('C:\Documents and Settings\Макс.62589D1B560F491\Local Settings\Temporary Internet Files\Content.IE5\XZFJHTKE\pin[1].exe','');
 QuarantineFile('C:\Documents and Settings\Макс.62589D1B560F491\Local Settings\Temporary Internet Files\Content.IE5\WPKVS50B\winlogon[1].exe','');
 QuarantineFile('C:\Documents and Settings\Макс.62589D1B560F491\Local Settings\Temporary Internet Files\Content.IE5\8I15XTX1\win[1].exe','');
 QuarantineFile('C:\Documents and Settings\Макс.62589D1B560F491\Local Settings\Temp\win.exe','');
QuarantineFile('C:\Documents and Settings\Макс.62589D1B560F491\Local Settings\Temp\pin.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sic32.exe','');
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 QuarantineFile('C:\WINDOWS\system32\twex.exe','');
 DeleteFile('C:\WINDOWS\system32\twex.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sic32.exe');
 DeleteFile('C:\Documents and Settings\Макс.62589D1B560F491\Local Settings\Temp\pin.exe');
 DeleteFile('C:\Documents and Settings\Макс.62589D1B560F491\Local Settings\Temp\win.exe');
 DeleteFile('C:\Documents and Settings\Макс.62589D1B560F491\Local Settings\Temporary Internet Files\Content.IE5\8I15XTX1\win[1].exe');
 DeleteFile('C:\Documents and Settings\Макс.62589D1B560F491\Local Settings\Temporary Internet Files\Content.IE5\WPKVS50B\winlogon[1].exe');
 DeleteFile('C:\Documents and Settings\Макс.62589D1B560F491\Local Settings\Temporary Internet Files\Content.IE5\XZFJHTKE\pin[1].exe');
 DeleteFile('C:\Documents and Settings\Макс.62589D1B560F491\Local Settings\Temporary Internet Files\Content.IE5\ZMON7HWD\svchost[1].exe');
 DeleteFile('C:\System Volume Information\_restore{6A63A1F2-23BF-4DD8-8E99-E3C34AE52E50}\RP1\A0000012.exe');
 DeleteFile('C:\System Volume Information\_restore{6A63A1F2-23BF-4DD8-8E99-E3C34AE52E50}\RP1\A0000013.exe');
 DeleteFile('C:\System Volume Information\_restore{6A63A1F2-23BF-4DD8-8E99-E3C34AE52E50}\RP1\A0000014.exe');
 DeleteFile('C:\System Volume Information\_restore{6A63A1F2-23BF-4DD8-8E99-E3C34AE52E50}\RP1\A0000186.exe');
 DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
 ExecuteRepair(6);
ExecuteRepair(13);
 ExecuteRepair(17);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

2. Выполните еще один скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на newvirus@kaspersky.com не забыв указать в теле письма пароль на архив (virus). Ответ сообщите.

Повторите логи. Если запустится HiJack, его лог тоже сделайте

P.S. Учитывая, что у вас LdPinch - меняйте пароли

[VIKING648]

выполнил 1 скрипт
даже диспетчер заработал токо не грузится explorer а теперь вообще пишет диспетчер отключен админом и картинка рабочего стола.
P.S. сижу под второй виндой,есть шанс что программы из старой будут тут работатЬ??

[thyrex]

Цитата VIKING648:

даже диспетчер заработал токо не грузится explorer а теперь вообще пишет диспетчер отключен админом и картинка рабочего стола. »

Я понимаю, что краткость - сестра таланта, но не настолько же. Давайте поподробнее
Диспетчер чего заработал? Диспетчер задач? О нем же пишет, что он отключен администратором?
На рабочем столе нет значков или что? Что-нибудь вообще стартует? Программы запускаются?

[VIKING648]

да диспетчер задач после первой перезагруки заработал,потом опять стало писать что отключено админом,и да значков нету на рабочем столе....

[VIKING648]

да диспетчер задач после первой перезагруки заработал,потом опять стало писать что отключено админом,и да значков нету на рабочем столе....

[thyrex]

Попробуйте запустить AVZ с командной строки: Пуск - Выполнить - кнопка Обзор
Перед этим для удобства из-под второй системы перенесите файлы AVZ с рабочего стола в корень какого-нибудь диска
Выполните скрипт

Код:

begin
 ExecuteRepair(5);
 ExecuteRepair(9);
 ExecuteRepair(11);
 ExecuteRepair(16);
 RebootWindows(true);
end.

[VIKING648]

у меня пуска то нет...попробую еще раз в безопасном режиме если че завтра напишу...

[thyrex]

Если загрузка в безопасном режиме сработает и запустится regedit проверьте

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

[VIKING648]

всмысле проверитЬ???

[thyrex]

Проверить, чтобы по указанному пути [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] параметр Shell имел такое значение Explorer.exe