[thyrex]

Поищите в реестре systems.exe или netprotocol.exe

[Dador]

Цитата okshef:

Dador, пройдитесь еще раз поиском по Цитата Dador: srnh.lto iqfnr » и удалите все упоминания. Снимите блокировку диспетчера задач: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] удалите параметр REG_DWORD DisableTaskMgr со значением 1 Автозапуск чист, поищите еще по StartUp »

поиск ничeго нe дал (в разных вариациях, как для StartUp, так и для srnh.lto)
диспeчeр задач автоматичeски блокируeтся, т.к. послe запуска нe доступeн, а в рeecтрe появляeтся DisableTaskMgr=1, и DisableRegistyTools (или как-то так)

Цитата:

Поищите в реестре systems.exe или netprotocol.exe

ничeго

[okshef]

Хорошо, пойдем немного "в обход": допустим, зловред сидит не в системных файлах и папках, а во временных. Очистите все временные папки: в своем профиле, в дефолтном, папки TEMP во всех известных местах (каталог Windows, корень системной папки, Local settings), Content.IE5 почистите везде, пройдитесь по папкам: X:\Documents and Settings\Все_пользователи_и_профили\Главное меню\Программы\Автозагрузка\ на предмет подозрительных ярлыков, а также по папкам Документы во всех профилях. Обязательно включите отображение скрытых и системных файлов. Удалите все корзины.
PS: все удаления в среде LiveCD

[thyrex]

А лучше не удалять сразу, а попробовать найти подозрительный (странное имя из беспорядочного набора букв, цифр) exe-, dll- или tmp-файл в указанных коллегой местах. В случае обнаружения просто переименовать для будущей отправки в вирлаб

Посмотрите в реестре:
ветка

Код:

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

параметр

Код:

AppInit_DLLs

Содержимое этого параметра в своем сообщении напишите

[Dador]

Цитата thyrex:

Содержимое этого параметра в своем сообщении напишите »

AppInit_DLLs=C:\WINDOWS\Help\nvwcphe.hlp:XFgqQxYHq3DDfyl7
Что-то подозритeльноe...
На ноутбукe этот парамeтр равeн C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll, видимо от каспeрского.
Нe знаю какой оригинальный парамeтр.
Впрочeм, похожe это от Nvidia

[thyrex]

Попробуйте просто очистить значение и перезагрузиться. Сам файл пока не разыскивайте.

Окно пропало?

[Dador]

Цитата thyrex:

Окно пропало? »

ДА!!!
Спасибо большоe, дальшe думаю ужe сам излeчусь от послeдствий.

[thyrex]

Ээээ, нет, не убегайте

Делайте логи по правилам. Да и файлик нужно еще закарантинить и отправить в вирлаб

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Help\nvwcphe.hlp:XFgqQxYHq3DDfyl7','');
 DeleteFile('C:\WINDOWS\Help\nvwcphe.hlp:XFgqQxYHq3DDfyl7');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

Теперь выполняйте правила

[Dador]

Хорошо, сeйчас выложу.
И правила выполню.

[okshef]

thyrex, и мне!
Dador, не будьте эгоистом! Поделитесь! okshef<at>tut.by