Помогите со скриптом, плиз!

Здравствуйте!

Помогите, пожалуйста, со скриптом!

Проблема и симптомы как здесь: [URL]http://virusinfo.info/showthread.php?t=102884[/URL] но кармы не хвататет не плодить веток, извиняюсь.

5 лет ничего нигде не цепял, но вот женсчина добралась до компа под моей админской учёткой...

Подозрения сильные - и гугол их подкрепляет - вот на это:

Анализатор - изучается процесс 556 C:\windows\system32\explorеr.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

В таскменеджере 2 процесса под этим названием, один из них легитимный, и не знаю, по какому стрелять, боюсь убить не то.

В системе ещё 3 или 6 библитек, погугленные, как опасные, откуда внедряются, не пока нашёл, но это уже ерунда.

Да, файл убить не могу, он скрытый и меняет имя, ну по типу explor & # 1 0 7 7 ; r.exe или ещё как-то.

Не отнимал бы Ваше драгоценное время, но скрипты к AVZ никогда не писал, ссылочку бы на мануал с примерами, думаю, и сам бы осилил.

Upd:
Вот, что hijackthis online пишет:
C:\windows\system32\explorеr.exe - NASTY
O4 - HKLM\..\Run: [rundll32] c:\windows\system32\explorеr.exe - NASTY

З.Ы. Браузер ест теги, но имя я вытащил.



Ниже логи.
Заранее благодарю.

Уважаемый(ая) [B]ENERGY[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].

Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
-Восстановление системы
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis[/URL]:
[CODE]O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present[/CODE]
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\explorеr.exe');
QuarantineFile('C:\DOCUME~1\Georgiy\LOCALS~1\Temp\jfdcd.sys','');
QuarantineFile('c:\windows\system32\explorеr.exe','');
DeleteFile('c:\windows\system32\explorеr.exe');
DeleteFile('C:\DOCUME~1\Georgiy\LOCALS~1\Temp\jfdcd.sys');
DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundll32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('jfdcd');
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.

Спасибо!
В логах чисто.
Подозрительная надстройка удалилась.
Firewall процесса explor5r больше не наблюдает. И прочих чужих тоже.
Кое-какие права вернулись на место.
В остальных местах тоже в целом порядок.
Файл отправил.
В автозагрузке остались некие MsSip1.dll, MsSip2.dll, MsSip3.dll, упоминаются тут:
[URL]http://virusinfo.info/showthread.php?t=43031[/URL]
Но это уже мелочи. В целом, думаю, проблема решена.

Ещё раз спасибо за помощь в поздний час!
Удачи проекту!

Сделайте повторные логи, может что-нибудь осталось.
[QUOTE='ENERGY;793769']В автозагрузке остались некие MsSip1.dll, MsSip2.dll, MsSip3.dll[/QUOTE]
Чистые.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\explorеr.exe - [B]Worm.Win32.AutoRun.beo[/B] ( DrWEB: Win32.HLLW.Autoruner.722, BitDefender: Win32.Worm.Autorun.HH, NOD32: Win32/AutoRun.EO worm, AVAST4: Win32:AutoRun-VS [Wrm] )[/LIST][/LIST]