[Drongo]

lart, Привет.

Скачайте "OSAM" ("OSAM" (Online Solutions Autorun Manager)). В меню драйверов правой кнопкой по ytemrohh и выберите "Turn Run Off", потом подтвердите перезагрузку. Прикрепите лог OSAM


• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ec3c33b2.exe,C:\WINDOWS\system32\ecsbrj.exe,
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\windows\system32', '*.exe', false,'', 0, 0, '4.08.2010', '11.08.2010');
 QuarantineFile('c:\windows\system32\ec3c33b2.exe','');
 QuarantineFile('c:\windows\system32\ecsbrj.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ytemrohh.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\ytemrohh.sys');
 DeleteFile('c:\windows\system32\ec3c33b2.exe');
 DeleteFile('c:\windows\system32\ecsbrj.exe');
 DeleteFile('C:\WINDOWS\system32\tlmrruf.exe');
 DeleteFile('C:\WINDOWS\system32\eclqzls.exe');
 DeleteFile('C:\WINDOWS\system32\pebjpqu.exe');
 DeleteFile('C:\WINDOWS\system32\arposwn.exe');
 DeleteFile('C:\WINDOWS\system32\lnxopvq.exe');
 DeleteFile('C:\WINDOWS\system32\ouicvip.exe');
 DeleteFile('C:\WINDOWS\system32\pcpjdlq.exe');
 DeleteFile('C:\WINDOWS\system32\aeehuzd.exe');
 DeleteFile('C:\WINDOWS\system32\vnfsqba.exe');
 DeleteFile('C:\WINDOWS\system32\drxhvim.exe');
 DeleteFile('C:\WINDOWS\system32\fcjhlee.exe');
 DeleteFile('C:\WINDOWS\system32\zusvnuu.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('ytemrohh');
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Повторите комплект логов после выполнения.