[Drongo]

ezen, Выполните рекомендации

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,\\?\globalroot\systemroot\system32\5boSO8W.exe,\\?\globalroot\systemroot\system32\tRcHFLJ.exe,

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\\?\globalroot\systemroot\system32\trchflj.exe','');
 QuarantineFile('c:\windows\system32\drivers\sfc.sys','');
 DeleteFile('\\?\globalroot\systemroot\system32\trchflj.exe');
 DeleteFile('c:\windows\system32\drivers\sfc.sys');
 QuarantineFile('%windir%\system32\sfcfiles.dll','');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
 DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

[ezen]

После выполнения этого скрипта в AVZ голубой экран смерти уже не будет появляться при перезагрузке?

[Drongo]

Цитата ezen:

После выполнения этого скрипта в AVZ голубой экран смерти уже не будет появляться при перезагрузке? »

Нет, да вы собственно ничего не теряете, выполняйте скрипт. Хуже чем есть, не будет, более того, этот BSOD давал вирь с именем sfc.sys. Мы его удаляем.

[ezen]

Цитата Drongo:

напишите пароль на архив "virus" (без кавычек) »

архив должен быть запаролен?

[Drongo]

ezen, ахрив и так запаролен, он создаётся с паролем virus. Вам нужно при отправке карантина написать, что пароль на отсылаемый архив - virus.

[ezen]

Вредоносный код в файле не обнаружен.

[Drongo]

ezen, Ну а что с BSOD'ами? Больше не беспокоят?

[ezen]

беспокоят
последний раз пытался перезагрузиться после выполнения скрипта в AVZ и все было без изменений

[iskander-k]

• Сохраните реестр:
Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
 SetAVZGuardStatus(True);
SearchRootkit(true, true);
 SetServiceStart('krnllds', 4);
 StopService('krnllds');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 QuarantineFile('C:\WINDOWS\system32\comca.dll','');
 QuarantineFile('ibuntu.dll','');
 QuarantineFile('\\?\globalroot\systemroot\system32\tRcHFLJ.exe','');
 QuarantineFile('C:\WINDOWS\system32\krnllds.sys','');
  DeleteFile('C:\WINDOWS\system32\krnllds.sys');
 DeleteFile('\\?\globalroot\systemroot\system32\tRcHFLJ.exe');
 DeleteFile('ibuntu.dll');
 DeleteFile('C:\WINDOWS\system32\comca.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DelBHO('{B5DD9986-22C4-49AD-9713-196EC17FB503}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('krnllds');
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

И сделайте новые логи.