Ознакомьтесь с темой http://virusinfo.info/showthread.php?t=10267 и скачайте себе LSPFix (но пока ничего не предпринимайте с этой утилитой), если сеть после скрипта работать не будет, используем LSPFix.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [GEST] m�‘|\ь�
O4 - HKLM\..\Run: [systme] C:\WINDOWS\system32\scss.exe
O4 - HKLM\..\Run: [smss32.exe] C:\WINDOWS\system32\smss32.exe
O4 - HKCU\..\Run: [smss32.exe] C:\WINDOWS\system32\smss32.exe
O15 - Trusted Zone: http://*.buy-internetsecurity10.com
O15 - Trusted Zone: http://*.buy-is2010.com
O15 - Trusted Zone: http://*.is-software-download.com
O15 - Trusted Zone: http://*.is-software-download25.com
O15 - Trusted Zone: http://*.is10-soft-download.com
O15 - Trusted Zone: http://*.buy-internetsecurity10.com (HKLM)
O15 - Trusted Zone: http://*.buy-is2010.com (HKLM)
O20 - Winlogon Notify: winoqv32 - winoqv32.dll (file missing)
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\helper32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
QuarantineFile('winoqv32.dll','');
QuarantineFile('C:\WINDOWS\system32\smss32.exe','');
QuarantineFile('C:\WINDOWS\system32\scss.exe','');
DeleteFile('C:\WINDOWS\system32\scss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systme');
DeleteFile('C:\WINDOWS\system32\smss32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smss32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','smss32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
DeleteFile('winoqv32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winoqv32','DLLName');
DeleteFile('C:\WINDOWS\system32\helper32.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
ExecuteRepair(11);
ExecuteRepair(8);
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',3,3,true);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите.
После вируса невозможно войти в систему
Сообщение от Rene-gad
у меня блокируется комп. По этому я не могу из под своей системы Вам сделать логи... Есть ли ещё какойнибудь способ это сделать, либо както запустить систему. Я проверял диск на другом компе касперским, он ничего не нашёл, и загружал др.Вэб лайфСД на нём, результатов тоже нет... Может вирус изменил какие нибудь файлы, необходимые для старта системы....?
я так понимаю, что логи я прислал с работающей системы, т.е. с миниХР, от которых толку мало.... 
