Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dl
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SetAVZGuardStatus(true);
SetServiceStart('ovwscn', 4);
StopService('ovwscn');
SetServiceStart('ovrscn', 4);
SetServiceStart('alcom', 4);
StopService('ovrscn');
StopService('alcom');
SetServiceStart('CcEvtSvc', 4);
StopService('CcEvtSvc');
SetServiceStart('RasMan', 4);
StopService('RasMan');
SetServiceStart('Schedule', 4);
StopService('Schedule');
QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
QuarantineFile('c:\windows\system32\ovrscn.dll','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\drivers\ntndis.sys','');
QuarantineFile('ovrscn.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\ntndis.exe','');
QuarantineFile('C:\WINDOWS\update.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\Documents and Settings\TeterinM\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\DOCUME~1\TeterinM\LOCALS~1\Temp\sv32_2.exe','');
QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
QuarantineFile('C:\WINDOWS\system32\alcom.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('Lekt54.sys','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\wininet.exe','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('c:\windows\winlogon.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\system32\wininet.exe','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
QuarantineFile('c:\windows\system32\ntos.exe','');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('c:\windows\system32\wininet.exe');
DeleteFile('c:\windows\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\wininet.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('Lekt54.sys');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\alcom.sys');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('C:\DOCUME~1\TeterinM\LOCALS~1\Temp\sv32_2.exe');
DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\Documents and Settings\TeterinM\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\update.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe');
DeleteFile('ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.sys');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\winlogon.exe');
DeleteFile('c:\windows\system32\ovrscn.dll');
DeleteService('Schedule');
DeleteService('ovwscn');
DeleteService('ovrscn');
DeleteService('alcom');
DeleteService('CcEvtSvc');
DeleteService('RasMan');
BC_ImportALL;
BC_DeleteFile('c:\windows\system32\ntos.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20185
Повторите логи