Новый страшный троян- Trojan.Plastix (ГНОЙ).

**Saule** · 26 апреля, 2006

Первая копия:

* HijackThis v1.99.1 *

Written by Merijn - merijn@spywareinfo.com

Первая копия - это лишнее, нужна только вторая, и при этом вторая у тебя как-то не совсем до конца почему-то скопировалась :)

Но не смотря на это, думаю, что вы совершенно здоровы :)

Единственное, чтобы было совсем красиво, делаем следующее:

Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

Затем на кнопку "Fix Checked" (браузер при этом закрыт).

**GUK** · 26 апреля, 2006

Спасибо!Все сделал так-всё работает нормально. :)

**GUK** · 27 апреля, 2006

И все-таки,как на будущее бороться с этим вирусом,если он заразил систему?

**Saule** · 27 апреля, 2006

И все-таки,как на будущее бороться с этим вирусом,если он заразил систему?

Если чуть по-точнее, то это не вирус, это троян, при этом будущего у него точно нету ;)

Как сказал один мною очень уважаемый человек: "Это детский сад на уровне ясельной группы, когда уже умеешь вставать с горшка, но о его назначении еще не догадываешься..."

Т.е. именно этого трояна ты наврятли когда-нибудь подцепишь еще раз, так как антивирусы наверняка уже научились его "убивать". И поэтому авторы обязательно внесут (если уже не внесли) в него какие-либо изменения для того, чтобы снова какое-то время можно было благополучно и безпрепятственно заражать чьи-то компы...

И таких троянов в интернете валяется тысячи. Подробно описывать каждый - не хватит никакого времени, да и это совершенно не нужно, так как виновниками массовых эпидемий подобные трояны стать просто не могут. То есть сегодня один, завтра другой...

Контролируй свою автозагрузку (Start > Run; вписать msconfig; нажать ОК и последний раздел - StartUp); процессы, запущенные в данный момент (Alt+Ctrl+Delete); компоненты Active-X (папка WINDOWS\Downloaded Program Files), службы Windows (Start > Run; вписать services.msc; нажать ОК), модули расширения браузера (BHO), ключи Winlogon в реестре (Start > Run; вписать regedit; нажать ОК) и регулярно удаляй временные файлы системы (несколько бесплатных программ по этой части: CleanUp!, ATF-Cleaner, CCleaner, System Security Suite).

Если самому сложно, или в чем-то есть какие-либо сомнения (что являеться в полне нормальным явлением, так как ни один человек не может знать всё), то повторяю еще раз:

Скачиваешь HijackThis

Распаковываешь, включаешь и нажимаешь на кнопку Do a systemscan and save a logfile.

После чего лог, который выдаст тебе эта программа копируешь вот сюда на форум или присылаешь в PM.

То есть лог нужно делать именно тогда, когда у тебя появляються какие-либо проблемы с компьютером (из-за вирусов и другой компьютерной нечести), а не тогда, когда всё хорошо ;)

**Saule** · 2 мая, 2006

Упрощаю вопрос:как,не прибегая к формату,удалять эту гадость,если не один современный антивирус и антитроян её не обнаруживает?Прошу ответить просто,чтобы дашло до всех пользователей этого форума.

Это касаеться именно того трояна, который изменяет часы в трее на слово "ГНОЙ"

(в интернете обзывается как: Генератор кодов пополнения к любой компании мобильной связи в Росии),

если кто-то вдруг словит, то делаем следующее:

Открываем блокнот (Notepad) и в новый текстовый файл копируем:

reg delete "HKCU\software\policies\internet explorer\restriction" /freg delete "HKLM\software\policies\internet explorer\restriction" /freg delete HKCU\software\microsoft\windows\currentversion\policies /freg delete HKLM\software\microsoft\windows\currentversion\policies /freg add "HKCU\control panel\international" /v sTimeFormat /t REG_SZ /d H:mm:ss /freg add "HKCU\control panel\desktop" /v MenuShowDelay /t REG_SZ /d 0 /freg delete "HKCU\control panel\desktop" /v WallpaperOriginX /freg delete "HKCU\control panel\desktop" /v WallpaperOriginY /freg delete "HKCU\software\microsoft\internet explorer\main" /v "window title" /freg delete "HKLM\software\microsoft\internet explorer\main" /v "window title" /freg delete "HKCU\software\microsoft\internet explorer\main" /v "start page" /freg delete "HKLM\software\microsoft\internet explorer\main" /v "start page" /freg delete "HKLM\software\microsoft\windows\currentversion\run" /v avpcc /freg delete "HKLM\software\microsoft\windows\currentversion\run" /v svchost /freg delete "HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters" /v DiskSpaceThreshold /freg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v LegalNoticeCaption /freg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v LegalNoticeText /freg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore" /v DisableSR /freg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Start_ShowRun /freg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer" /v NoViewContextMenu /frd "c:\windows 91" /s /qattrib -s -h -r c:\windowsattrib -s -h -r "c:\program files"del c:\windows\cursors\avp.exe /f /q /a:HSdel c:\windows\web\rundll32.exe /f /q /a:HSshutdown -r -t 10 -f

Сохраняем его с расширением .cmd (или просто меняем расширение .txt на .cmd в ручную).

И затем запускаем

Изменено 2 мая, 2006 пользователем Saule

**SETTER** · 10 мая, 2006

Извиняюсь, но я ради интереса скопировал эти команды и запустил. Трояна у меня не было. Теперь не работает Интернет Экcплоер. Как быть?

**Saule** · 10 мая, 2006

Извиняюсь, но я ради интереса скопировал эти команды и запустил. Трояна у меня не было. Теперь не работает Интернет Экcплоер. Как быть?

Снова открой блокнот и скопируй:

reg add "HKCU\software\microsoft\internet explorer\main" /v "start page" /freg add "HKLM\software\microsoft\internet explorer\main" /v "start page" /fshutdown -r -t 10 -f

Сохрани с расширением .cmd

Запусти.

И больше не балуйся :sm(100):

**SETTER** · 10 мая, 2006

Снова открой блокнот и скопируй:
reg add "HKCU\software\microsoft\internet explorer\main" /v "start page" /freg add "HKLM\software\microsoft\internet explorer\main" /v "start page" /fshutdown -r -t 10 -f
Сохрани с расширением .cmd

Запусти.

И больше не балуйся

Большое спасибо, рад был с вами иметь дело!!!! :sm(100):

**Anser** · 18 мая, 2006

У меня после всех лечений чего-то все равно не так работает: когда пытаюсь папку какую-нибудь закрыть - он выдает, что я прав на это не имею. Закрывается только через аль-контрол-делит, да и то выдает запрет. Мож подскажете, что сделать

**Saule** · 18 мая, 2006

У меня после всех лечений чего-то все равно не так работает: когда пытаюсь папку какую-нибудь закрыть - он выдает, что я прав на это не имею. Закрывается только через аль-контрол-делит, да и то выдает запрет. Мож подскажете, что сделать

Cкачай HijackThis

Распакуй, запусти и нажми на кнопку "Do a system scan only".

Затем найди в логе, который выдаст тебе эта программа следующую строчку и отметь её галочкой:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

После нажимаем на кнопку "Fix Checked". И перезагружаем компьютер.

**-Barmaglot-** · 23 мая, 2006

Saule:

Полностью переработал твой фикс, а то не все чистилось.

Лечит все последствия пластика.

В архиве батник, сомневающиеся смотряд код.

http://rapidshare.de/files/21173544/AntiPlastik.rar.html

**Saule** · 23 мая, 2006

Saule:
Полностью переработал твой фикс, а то не все чистилось.

Лечит все последствия пластика.

В архиве батник, сомневающиеся смотряд код.

http://rapidshare.de/files/21173544/AntiPlastik.rar.html

Ты в курсе, что его каждую неделю переписывают, вводя туда небольшие изменения в первую очередь для того, чтоб антивирусы его снова не определяли ? Так что это тоже будет работать недолго :)

Но всё равно спасибо :)

**-Barmaglot-** · 23 мая, 2006

Saule: Я в курсе. Код тут не при чем. Сей "вирус" использует штатные возможности администрирования системы.

Мое лекарство собственно включает все так как и должно быть. По крайней мере основные злобные твики поснимает, а там уж можно и тяжелую артилерию на него натравить

Если что aaapchxii@inbox.ru

**SergySoloist** · 18 апреля, 2007

Здравствуйте!!!.. у меня такой-же вирус( ТОЛЬКО В МЕСТО СЛОВА ГНОЙ - НАПИСАНО "ПИЗ...Ц" - ;-) - И ЭТО ДЕЙСТВИТЕЛЬНО ТАК!! - НИЧЕГО НЕ ПОМОГАЕТ ОТ НЕГО!!! Я попробовал все способы, что были рекомендованы в этом топике!!! - но ничего до конца мне не помогло!!!.. Пролечил утилитой plstfix -от доктора вэба!! - стало получше, но не до конца!!! а когда проделал вот это (у меня тоже самое как и у того кому это было рекомендовано) -

Cкачай HijackThis

Распакуй, запусти и нажми на кнопку "Do a system scan only".

Затем найди в логе, который выдаст тебе эта программа следующую строчку и отметь её галочкой:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

После нажимаем на кнопку "Fix Checked". И перезагружаем компьютер.

то при перезагрузке - вирус опять взял верх - все вернулось в состояние полного поражения вирусом!!! - пришлось опять утилиту запускать!!.. - короче ничего не помогает!!- Спасите мою информацию!! что делать????..... :)

**Saule** · 19 апреля, 2007

Спасите мою информацию!! что делать????.....

Лог HijackThis покажите, пожалуйста.

Либо читайте самостоятельно: ГНОЙ и трояны ему подобные.

**SergySoloist** · 19 апреля, 2007

Лог HijackThis покажите, пожалуйста.

Либо читайте самостоятельно: ГНОЙ и трояны ему подобные.

Logfile of HijackThis v1.99.1

Scan saved at БЛЯДЬ, on 19.04.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\CyberLink\Shared files\RichVideo.exe

C:\PROGRA~1\DrWeb\SpiderNT.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\DeltTray.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\VM_STI.EXE

C:\Program Files\DrWeb\spiderml.exe

C:\Program Files\DrWeb\DRWEBSCD.EXE

C:\PROGRA~1\DrWeb\spidernt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\eMule\eMule.exe

C:\Program Files\ICQLite\ICQLite.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Serg&OLEG\Рабочий стол\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://poetry.rotten.com/uday/index18.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://poetry.rotten.com/uday/index18.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = :::::::::::::::::: ненорматив ::::::::::::::::::

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\3.bin\A5SRCHAS.DLL

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\3.bin\A5SRCHAS.DLL

O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\3.bin\ASKTBAR.DLL

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\3.bin\ASKTBAR.DLL

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DeltTray] DeltTray.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\svccc32.exe -s

O4 - HKLM\..\Run: [soundMnEx32] C:\WINDOWS\svccc32.exe

O4 - HKLM\..\Run: [ifcdiag] C:\WINDOWS\system32\ifcconf.exe

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE D-Link DSB-C320

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [AvpM] C:\WINDOWS\pchealth\UploadLB\Config\AvpM.exe

O4 - HKLM\..\Run: [OSD] C:\WINDOWS\msagent\intl\ALG.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: wmplmspo.dll confifc.dll ifcstat.dll diagisr.dll

O20 - Winlogon Notify: crypmapi - C:\WINDOWS\system32\crypmapi.dll (file missing)

O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Я не стал сам пробовать, так как есть сомнения на счет строки - 04. - я не знаю какие файлы там выделять!!!...

**Saule** · 19 апреля, 2007

Logfile of HijackThis v1.99.1

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://poetry.rotten.com/uday/index18.html

http://poetry.rotten.com/uday/index18.html' rel="external nofollow">

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://poetry.rotten.com/uday/index18.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = :::::::::::::::::: ненорматив ::::::::::::::::::

O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\svccc32.exe -s

O4 - HKLM\..\Run: [soundMnEx32] C:\WINDOWS\svccc32.exe

O4 - HKLM\..\Run: [ifcdiag] C:\WINDOWS\system32\ifcconf.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O20 - AppInit_DLLs: wmplmspo.dll confifc.dll ifcstat.dll diagisr.dll

O20 - Winlogon Notify: crypmapi - C:\WINDOWS\system32\crypmapi.dll (file missing)

O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing)

Затем на кнопку "Fix Checked" (браузер при этом нужно обязательно закрыть).

2. Скачиваем AVZ, распаковываем и запускаем.

В верхнем меню программы нажимаем:

Файл > Восстановление системы

В открывшемся приложении отмечаем галочками все присутствующие там пункты и нажимаем на кнопку "Выполнить отмеченные операции".

3. Перезагружаем компьютер.

4. Удаляем файлы, если такие еще будут присутствовать:

C:\WINDOWS\

svccc32.exe -s

C:\WINDOWS\

svccc32.exe

C:\WINDOWS\system32\

ifcconf.exe

C:\WINDOWS\system32\

wmplmspo.dll

C:\WINDOWS\system32\

confifc.dll

C:\WINDOWS\system32\

ifcstat.dll

C:\WINDOWS\system32\

diagisr.dll

5. Избавляемся от оставшихся последствий трояна, которые в каждом случае могут быть немного различны.

Если нужно исправить часы в системном трее:

Открываем:

Control Panel > Regional and Language Options

(Панель управления > Язык и региональные стандарты)

И временно изменяем региональные настройки (т.е. сначала выбираем любой другой регион, сохраняем, а затем меняем обратно на тот, который у вас был установлен).

Если вдруг не поможет, то открываем Блокнот (Notepad) и копируем в него следующий код:

REGEDIT4[HKEY_CURRENT_USER\Control Panel\International]"sTimeFormat"="HH:mm:ss"

Затем сохраняем, но с расширением .reg (либо изменяем расширение файла вручную - с .txt на .reg).

Запускаем его и на вопрос Windows о том, действительно ли вы желаете добавить эту информацию в свой реестр, отвечаете Yes/Да.

--------

Если папки Windows и Program Files стали невидимыми:

Start > Run (Пуск > Выполнить)

Вписываем

cmd

Нажимаем ОК.

В появившемся приложении вписываем, либо копируем с помощью мышки, следующее (после каждой строчки нажимаем на ENTER):

attrib -s -h -r c:\windows

attrib -s -h -r "c:\program files"

Если вдруг еще что-то будет не так, то напиши.

**SergySoloist** · 20 апреля, 2007

не получилось!! :)

поясните пожалуйста эту позицию!! - "Затем на кнопку "Fix Checked" (браузер при этом нужно обязательно закрыть).

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://poetry.rotten.com/uday/index18.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://poetry.rotten.com/uday/index18.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = :::::::::::::::::: ненорматив::::::::::::::::::