1. Отключите антивирус/фаервол, интернет. 2. Удалите и Создайте новую точку восстановления системы, для этого: 2.1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2.2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. 3. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner 3.1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. 3.2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected 3.3 нажмите No, если вы хотите оставить ваши сохраненные пароли 3.4 если вы используете Opera, нажмите Opera - Select All - Empty Selected 3.5 нажмите No, если вы хотите оставить ваши сохраненные пароли 4. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт, в открывшееся окно вставляем скрипт и нажимаем Запустить.) Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearHostsFile; TerminateProcessByName('c:\documents and settings\admin\application data\lsass.exe'); StopService('GGSAFERDriver'); StopService('GarenaPEngine'); QuarantineFile('C:\Downloads\path_for_cs1.6.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\lsass.exe',''); QuarantineFile('D:\Program Files\Garena\safedrv.sys',''); QuarantineFile('C:\WINDOWS\TEMP\GFQ395.tmp',''); DeleteFile('c:\documents and settings\admin\application data\lsass.exe'); DeleteFile('C:\Downloads\path_for_cs1.6.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','system'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Shell', 'Explorer.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. после выполнения скрипта компьютер перезагрузится. после перезагрузки выполнить второй скрипт: Код: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь. 5. Пофиксите в HijackThis следующие строчки: Код: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=88519052000000000 000001fc6df0765&tlver=1.4.19.19&ss=1&affID=17981 R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Admin\Application Data\lsass.exe O1 - Hosts: 193.218.156.152 www.vkontakte.ru O1 - Hosts: 193.218.156.152 www.vk.com O1 - Hosts: 193.218.156.152 vkontakte.ru O1 - Hosts: 193.218.156.152 vk.com O1 - Hosts: 193.218.156.152 www.odnoklassniki.ru O1 - Hosts: 193.218.156.152 odnoklassniki.ru O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\bh\BabylonToolbar.dll O2 - BHO: script helper for ie - {9B5FB65F-631E-4564-ABF2-AD71845B28E0} - C:\Program Files\Get-Styles 2.0\ie\jsloader.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing) O3 - Toolbar: Get-Styles toolbar v3 - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - C:\Program Files\Get-Styles 2.0\ie\toolbar.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarTlbr.dll O4 - HKLM\..\Run: [BabylonToolbar] "C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe" /md I O4 - HKLM\..\RunOnce: [AD Network] "C:\Documents and Settings\Admin\Local Settings\Application Data\{9ABB1DD0-59DE-3969-F640-9A0238466F08}\.exe" ? O4 - HKCU\..\Run: [Aml Maple] C:\Program Files\AmlMaple\AmlMaple.exe O4 - HKCU\..\Run: [system] C:\Downloads\path_for_cs1.6.exe O4 - HKCU\..\Run: [Infium] "D:\Мои документы\QIP 2010\qip.exe" /autorun O4 - HKUS\S-1-5-19\..\Run: [Aml Maple] C:\Program Files\AmlMaple\AmlMaple.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\Run: [louderit.exe] C:\Program Files\VolumeControl2\LouderIt.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [wmptweak_inf] rundll32 advpack.dll,LaunchINFSectionEx WMPtweak.inf,DefaultInstall,,4,N (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [wmptweak_inf] rundll32 advpack.dll,LaunchINFSectionEx WMPtweak.inf,DefaultInstall,,4,N (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [wmptweak_inf] rundll32 advpack.dll,LaunchINFSectionEx WMPtweak.inf,DefaultInstall,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [wmptweak_inf] rundll32 advpack.dll,LaunchINFSectionEx WMPtweak.inf,DefaultInstall,,4,N (User 'Default user') 6. Сделайте новые логи AVZ и hijackthis 7. Cделайте лог MBAM и дайте ссылку на файл лога. Для предотвращения повторного заражения рекомендую: - Обязательно обновите браузер Internet Explorer до последней версии '8', после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome. - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
