AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('c:\windows\system32\termsrv.dll','');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)
Пофиксить в HijackThis следующие строчки
O20 - AppInit_DLLs: vmmreg32.dll
Включите AVZPM и повторите логи.
Добавлено через 4 минуты 29 секунд
Скачайте
OTMoveIt3 by OldTimer или с
зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
:Processes
explorer.exe
:Services
:Files
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\koqatnaa.exe
C:\WINDOWS\kpmshiac.exe
:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^vmmreg32.bkp]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^VIDEO.bkp]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kpmshiac]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\koqatnaa]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью
"Paste Instructions for Items to be Moved" (под
желтой панелью) вставьте скопированный текст и нажмите кнопку
"MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью
"Results" (правая
зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку
"C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате
mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.