Система заблокирована. Отправьте SMS сообщение...

[Cameroon]

Устанавливал ОС в офис на 2 компа. Настраивал сеть. Ставил антивирус.

До этого там жили трояны, и самым наглым из них оказался csrcs.exe, которого я пытался лечить несколькими антивирусами, редактированием реестра, ручным удалением, но это не помогало - вроде бы убивал его, но после перезагрузки он опять откуда-то вылазил. Поэтому и пришлось переустановить ХР.

Установил, настроил сеть, выход с главного компа в интернет через юсб-модем АДСЛ. Настроил выход со второго компа через главный. Др.Веб того трояна не признавал в упор, даже когда я его носом тыкал, а Авира пыталась с ним бороться, хоть и безуспешно... он плодился в системе несколько месяцев и бог зает что успел там натворить.

Сегодня мне звонит Крестный (в его офисе я и настраивал компы), говорить что (с его слов) на втором компе (тот, который в интернет выходит через главный) перед выключением выскочило такое окошко:

"Система заблокирована, введите пароль. Чтобы получить пароль, отправьте СМС на номер бла-бла-бла с текстом бла-бла-бла. Переустановка системы не поможет, так как данные на жестком диске заблокированы."

Я, мягко говоря, озадачен...

Мои догадки:

- троян, который там жил раньше, по определению передавал какие-то данные в интернет, возможно он передал адресные данные, по которым злоумышленник смог влезть в него снова.

- это простая "программа-шутка", хотя верится с трудом.

- не верю в то, что данные могут быть зашифрованы на столько, что "format С" этого не исправит. Тем более, все необходимые документы находятся на диске D.

- антивирус (Avira 7 Personal) не был обновлен и зарегистрирован. Я сам его обновить забыл, и не факт, что вообще получилось бы. Возможно это свежий троян, которого еще нет в антивирусных сигнатурах.

[Old men]

Вот здесь посмотри. Существуют трояны, которые прописывабтся в бут-сектора винчестеров.

А вообще-то тебе прямой путь к Лечению

[Cameroon]

fixboot через консоль поможет?

Лечить - это точно!

Но как? В офис я попаду не раньше, чем послезавтра. Да и если верить, то ничего кроме ввода пароля сделалать нельзя.

Изменено 3 апреля, 2009 пользователем Cameroon

[Old men]

ничего кроме ввода пароля сделалать нельзя.

Можно.

Сделай загрузочнуюфлешку или диск, положи туда джентльменский набор для лечения и вперед.

Можешь даже скачать DrWebLiveCD, но подозреваю, он один не справится

[Yezhishe]

Ну если всё необходимое хранится на логическом диске (не системном), то переустановиться - IMHO наиболее быстрый путь решения проблемы.

P.S. Наверняка можно вылечиться и так, но... Нужно ли оно - несколько часов, а то и дней тратить на эту дрянь? И к тому же оно может остаться где-то и активироваться снова... А после форматирования системного диска - оно вряд ли...

Изменено 3 апреля, 2009 пользователем Yezhishe

[Cameroon]

Погуглил...

Народ жалуется на то, что подобный вирь прячется в Експлорере, физически удяляет диспетчер задач, изменяет политики, запрещает редактировать реестр, плодится во все каталоги (что меня больше всего и беспокоит) и еще кучу гадостей делает...

Dr.WebLiveCD у меня уже есть. Когда-то давно качал на всякий случай.

Возьму его, скопирую свой taskmng.exe (кстати, если у кого-нибудь есть taskmng.exe для XP SP2, выложите, пожалуйста), на всякий случай хапну AVZ (хотя, говорят, он виря не опознает) и поеду на место происшествия. Посмотрим, что выйдет.

[Yezhishe]

Лучше бы Dr.WebLiveCD свеженький скачать... Не факт что в том, который у тебя уже есть, имеются сигнатуры этой дряни...

[Maikll]

i

Уведомление:
Тема к NT-системам относится весьма слабо, поэтому переезжает в Сетевую безопасность.

Cameroon:

- не верю в то, что данные могут быть зашифрованы на столько, что "format С" этого не исправит. Тем более, все необходимые документы находятся на диске D.

могут. Был такой троян, если я правильно помню. Но не исключай, что это "понты". В любом случае информацию можно попробовать забрать с livecd.
Dr.WebLiveCD конечно может помочь, но я бы посоветовал начать с winternals erd livecd и проверить в нем реестр на наличие всяческих добавок, загружающихся при старте. Особенно часто зловреды такого типа любят себя прописывать в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в ключе "Userinit" дописывая себя в конец строки "C:\\WINDOWS\\system32\\userinit.exe,"

И подожди Akok-a, может он еще чего дельного присоветует.

[akoK]

Развод на деньги. Dr.WebLiveCD - идеальный вариант. У этой гадости длинная борода.

[Cameroon]

Пишу из офиса.

На втором компе (где "Развод на деньги") оказался полный набор троянов (откуда только они опять взялись!?):

portmap.exe (заражен подозрительно)

csrcs.exe

cftu.exe

sysmgr.exe

htkrnlpa.exe

и еще много чего...

Убил их через winternals erd livecd из автозагрузки реестра, требование денег пропало. Провожу далнейшую чистку.

Подозрительных процессов не вижу в РrocessЕxplorer'е. Прогнал AVP Removal Tool, TrojanRemover, AVZ4, HijackThis.

Вот логи второго компа:

hijackthis.log

info.txt

log.txt

TRLOG.TXT

virusinfo_syscure.zip

Делал в спешке, не совсем по правилам, с включенным антивирусом и браузером. Я не моогу остановить работу офиса.

Посмотрите на всякий случай. Хотя я не уверен, что вернусь сюда, и вернусь ли скоро.

hijackthis.log

info.txt

log.txt

TRLOG.TXT

virusinfo_syscure.zip

Изменено 6 апреля, 2009 пользователем akoK

[akoK]

Корзину очистить нужно.

Пофиксить в HijackThis следующие строчки

 F2 - REG:system.ini: Shell=Explorer.exe 

[Cameroon]

akoK, да, действительно, только с этим я не знал что делать. Боялся угробить оболочку ОС.

Если не фиксить, трояны полезут снова?

Завтра я не смогу приехать туда, и послезавтра не факт.

Могу попросить крестного, но он либо сделает не так, как надо если я объясню, либо вообще откажется.

Изменено 6 апреля, 2009 пользователем Cameroon

[akoK]

Это исправит запись реестра на дефолтную.

[Cameroon]

Где-то в реестре по пути winlogon/run стояло имя трояна вместо эксплорера, причем в нескольких местах. Удалил, прописал обычный эксплорер из папки windows.

Это сработает?

[akoK]

Должно. Если все правильно прописано.

[j-dante]

Парни я вот только - что, примерно пару часов назад замочил такую дрянь я с ней сталкивался уже много раз и разновидностей у нее около сотни. Во первых не надо паниковать все что не убито легко исправимо, а что дохлое можно поднять примерно в 90% случаев. Основные места дислокации:

1 -C:\RECYCLER

2 -C:\WINDOWS

3 -C:\WINDOWS\system32

4 -C:\Documents and Settings\All Users\Application Data

5 -C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка

6 -C:\Documents and Settings\Admin(USER)\Application Data

7 -C:\Documents and Settings\Admin(USER)\Local Settings\Application Data

8 -C:\Documents and Settings\Admin(USER)\Local Settings\Temp

9 -C:\Documents and Settings\Admin(USER)\Local Settings\Temporary Internet Files

10 -HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

в строке Shell и Userinit, заражается в редких случаях Userinit.exe по адресу:

- C:\WINDOWS\system32 - лечится заменой на здоровый.

Нужен Infra liveCD или ERD Commander, ну или аналоги WinPE, BartPE....

Вобщем чистим машину и перезапускаемся в рабочее состояние, после чего нужна Kisa 2009 или NOD32 с последними базами и все будет Ok!

Из советов - не лазьте на порносайты, чистите чаще корзину и папки C:\Documents and Settings\Admin(USER)\Local Settings\Temp

C:\Documents and Settings\Admin(USER)\Local Settings\Temporary Internet Files и все будет Пучком!!! :g:

[Old men]

Решение очень простое, и не одно.

1. Посетить сайт http://news.drweb.com/show/?i=304&c=5&p=0

2. Передвинуть в БИОС часы на три часа вперед и сделать ребут, троян саморазрушится. После этого найти не зараженный userinit.exe и переписать его вместо зараженного (C:/windows/system32/userinit.exe). Лечит его, насколько я знаю, только Dr.Web, остальные хотят удалить - этого нельзя делать, файл системный

В любом случае после лечения надо полностью проверить машину и удалить все хвосты

[N.Joy]

У меня подобная проблема, только смс просят отправить чтобы зайти на сайты вконтакте, яндекс, mail.ру, одноклассники. На всех сайтах были мои аккаунты, чтобы "активировать" которые нужно отправить смс... а если перейти на страницу пользователя сразу по сохраненной ссылке говорит что страница не найдена. Я попыталась что то сделать сама, но т.к. не очень шарю ничего у меня не получилось . Прошу помощи у Вас :) virusinfo_syscure.zip virusinfo_syscheck.ziplog.txtinfo.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

[Cameroon]

Др.Вэб может помочь с кодом.

Раз система загружается и работает, удалите все файлы (включая скрытые) из папки: C:\Documents and Settings\User\Local Settings\Temp (Желательно воспользоваться мощным файловым менеджером, таким как TotalCommander).

C:\Program Files\авторизатор\authcliw.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\msnmsgr.exe

C:\WINDOWS\system32\Drivers\UP55bus.sys

Эти файлы желательно проверить на VirusTotal.

C:\WINDOWS\system32\PnkBstrA.exe

У Вас установлен Steam? On-Line игры?

Профиксите в HTJ следующие строчки (это должно разблокировать Ваши сайты):

O1 - Hosts: 213.182.197.14 mail.ruO1 - Hosts: 213.182.197.14 www.mail.ruO1 - Hosts: 213.182.197.14 rambler.ruO1 - Hosts: 213.182.197.14 www.rambler.ruO1 - Hosts: 213.182.197.14 www.yandex.ruO1 - Hosts: 213.182.197.14 yandex.ruO1 - Hosts: 213.182.197.14 www.vkontakte.ruO1 - Hosts: 213.182.197.14 vkontakte.ruO1 - Hosts: 213.182.197.14 www.odnoklassniki.ruO1 - Hosts: 213.182.197.14 odnoklassniki.ruO1 - Hosts: 213.182.197.14 mail.ruO1 - Hosts: 213.182.197.14 www.mail.ruO1 - Hosts: 213.182.197.14 rambler.ruO1 - Hosts: 213.182.197.14 www.rambler.ruO1 - Hosts: 213.182.197.14 www.yandex.ruO1 - Hosts: 213.182.197.14 yandex.ruO1 - Hosts: 213.182.197.14 www.vkontakte.ruO1 - Hosts: 213.182.197.14 vkontakte.ruO1 - Hosts: 213.182.197.14 www.odnoklassniki.ruO1 - Hosts: 213.182.197.14 odnoklassniki.ruO1 - Hosts: 213.182.197.14 mail.ruO1 - Hosts: 213.182.197.14 www.mail.ruO1 - Hosts: 213.182.197.14 rambler.ruO1 - Hosts: 213.182.197.14 www.rambler.ruO1 - Hosts: 213.182.197.14 www.yandex.ruO1 - Hosts: 213.182.197.14 yandex.ruO1 - Hosts: 213.182.197.14 www.vkontakte.ruO1 - Hosts: 213.182.197.14 vkontakte.ruO1 - Hosts: 213.182.197.14 www.odnoklassniki.ruO1 - Hosts: 213.182.197.14 odnoklassniki.ruO1 - Hosts: 213.182.197.14 mail.ruO1 - Hosts: 213.182.197.14 www.mail.ruO1 - Hosts: 213.182.197.14 rambler.ruO1 - Hosts: 213.182.197.14 www.rambler.ruO1 - Hosts: 213.182.197.14 www.yandex.ruO1 - Hosts: 213.182.197.14 yandex.ruO1 - Hosts: 213.182.197.14 www.vkontakte.ruO1 - Hosts: 213.182.197.14 vkontakte.ruO1 - Hosts: 213.182.197.14 www.odnoklassniki.ruO1 - Hosts: 213.182.197.14 odnoklassniki.ruO1 - Hosts: 213.182.197.14 mail.ruO1 - Hosts: 213.182.197.14 www.mail.ruO1 - Hosts: 213.182.197.14 rambler.ruO1 - Hosts: 213.182.197.14 www.rambler.ruO1 - Hosts: 213.182.197.14 www.yandex.ruO1 - Hosts: 213.182.197.14 yandex.ruO1 - Hosts: 213.182.197.14 www.vkontakte.ruO1 - Hosts: 213.182.197.14 vkontakte.ruO1 - Hosts: 213.182.197.14 www.odnoklassniki.ruO1 - Hosts: 213.182.197.14 odnoklassniki.ruO1 - Hosts: 213.182.197.14 mail.ruO1 - Hosts: 213.182.197.14 www.mail.ruO1 - Hosts: 213.182.197.14 rambler.ruO1 - Hosts: 213.182.197.14 www.rambler.ruO1 - Hosts: 213.182.197.14 www.yandex.ruO1 - Hosts: 213.182.197.14 yandex.ruO1 - Hosts: 213.182.197.14 www.vkontakte.ruO1 - Hosts: 213.182.197.14 vkontakte.ruO1 - Hosts: 213.182.197.14 www.odnoklassniki.ruO1 - Hosts: 213.182.197.14 odnoklassniki.ruO1 - Hosts: 213.182.197.14 mail.ruO1 - Hosts: 213.182.197.14 www.mail.ruO1 - Hosts: 213.182.197.14 rambler.ruO1 - Hosts: 213.182.197.14 www.rambler.ruO1 - Hosts: 213.182.197.14 www.yandex.ruO1 - Hosts: 213.182.197.14 yandex.ruO1 - Hosts: 213.182.197.14 www.vkontakte.ruO1 - Hosts: 213.182.197.14 vkontakte.ruO1 - Hosts: 213.182.197.14 www.odnoklassniki.ruO1 - Hosts: 213.182.197.14 odnoklassniki.ruO1 - Hosts: 213.182.197.14 mail.ruO1 - Hosts: 213.182.197.14 www.mail.ruO1 - Hosts: 213.182.197.14 rambler.ruO1 - Hosts: 213.182.197.14 www.rambler.ruO1 - Hosts: 213.182.197.14 www.yandex.ruO1 - Hosts: 213.182.197.14 yandex.ruO1 - Hosts: 213.182.197.14 www.vkontakte.ruO1 - Hosts: 213.182.197.14 vkontakte.ruO1 - Hosts: 213.182.197.14 www.odnoklassniki.ruO1 - Hosts: 213.182.197.14 odnoklassniki.ruO1 - Hosts: 213.182.197.14 mail.ruO1 - Hosts: 213.182.197.14 www.mail.ruO1 - Hosts: 213.182.197.14 rambler.ruO1 - Hosts: 213.182.197.14 www.rambler.ruO1 - Hosts: 213.182.197.14 www.yandex.ruO1 - Hosts: 213.182.197.14 yandex.ruO1 - Hosts: 213.182.197.14 www.vkontakte.ruO1 - Hosts: 213.182.197.14 vkontakte.ruO1 - Hosts: 213.182.197.14 www.odnoklassniki.ruO1 - Hosts: 213.182.197.14 odnoklassniki.ru

Если эти (195.64.220.2,195.64.192.35) IP НЕ Ваши, то профиксите еще и эти строки:

O17 - HKLM\System\CCS\Services\Tcpip\..\{22A472EE-1330-4DDB-B922-4FE962D79E96}: NameServer = 195.64.220.2,195.64.192.35O17 - HKLM\System\CS1\Services\Tcpip\..\{22A472EE-1330-4DDB-B922-4FE962D79E96}: NameServer = 195.64.220.2,195.64.192.35O17 - HKLM\System\CS2\Services\Tcpip\..\{22A472EE-1330-4DDB-B922-4FE962D79E96}: NameServer = 195.64.220.2,195.64.192.35

Сделайте повторые логи и выложите их в этой теме.

[N.Joy]

Спасиб большое, сайты заработали. IP мои. authcliw.exe это для запуска интернета, UP55bus.sys и wscntfy.exe насколько я поняла без вирусов... а вот msnmsgr.exe я не нашла в этой папке.... я вообще то всегда думала что это windows messenger.. нет?

Насчет Steam я не оч поняла что это))) ну в общем установлены игры от EA games, Activision, Rockstar Games... они же вроде со Steam как то связаны? но онлайн никто не играет....

И еще вчера начало появляться какое то сообщение когда я лазила по диску С. посмотрите пожалуйста картиночку) оч часто появляется и закрывается не с первого раза.

virusinfo_syscure.zipvirusinfo_syscheck.ziplog.txtinfo.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

[Cameroon]

Rockstar Games - это GTA4?

На сколько я знаю, она запускается после запуска агента. Этот агент установил с собой легкого шпиончика.

а вот msnmsgr.exe я не нашла в этой папке.... я вообще то всегда думала что это windows messenger.. нет?

Настоящий файл Windows Messenger - msmsgs.exe. Кроме того его папка: C:\Program Files\Messenger\, а никак не C:\Windows. Трояны зачастую для маскировки заключаются в тело файла с название максимально похожим на легальное (разница в одном символе).

Окно про проблемы с Windows Live ID появились до фикса или после? Уточните.

Со скриптом лечения Вам лучше меня поможет akok, хотя я попробую... :)

--------------------------

Создайте точку восстановления системы для того, чтобы откатить состояние системы к настоящему состоянию в случае, если лечение приведет к негативным последствиям:

-> Пуск -> Программы –> Стандартные –> Служебные –> Восстановление систем; выберите "Создать точку восстановления", нажмите "Далее", введите имя точки восстановления (например: "После лечения") и нажмите "Создать".

Выполните скрипт AVZ (команда "Файл" - "Выполнить скрипт"):

beginSearchRootkit(true, true);SetAVZGuardStatus(true);TerminateProcessByName('c:\windows\system32\pnkbstra.exe');StopService('PavSRK');StopService('PavTPK');StopService('PnkBstrA');QuarantineFile('C:\FXDRV.sys');QuarantineFile('C:\WINDOWS\system32\PavTPK.sys');QuarantineFile('C:\WINDOWS\system32\PavSRK.sys');QuarantineFile('c:\windows\system32\pnkbstra.exe');DeleteFile('C:\WINDOWS\system32\PavTPK.sys');DeleteFile('C:\WINDOWS\system32\PavSRK.sys');DeleteFile('c:\windows\system32\pnkbstra.exe');DeleteService('PavSRK');DeleteService('PavTPK');DeleteService('PnkBstrA');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

AVZ позволяет восстановить удаленные файлы. Для этого выполните команду: Файл -> Просмотр карантина. В появившемся окне вы можете поставить галочки на необходимых файлах, и, нажав на кнопку Восстановить, вернуть их на прежнее место.

Профиксите в HJT эту строку:

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Очистите корзину и все временный файлы.

C:\bdtmp - проверите, есть ли этот файл в корне С? Если да, то проверьте его на VirusTotal.

--------------------------

FXDRV.sys - на счет этого я не уверен. Найдите его поиском и проверьте на VirusTotal.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ini msn]

C:\WINDOWS\msnmsgr.exe [] - в ветке msconfig у меня, например, ветки startupreg вообще нет.

shell\AutoRun\command - G:\RECYCLER\S-1-6-21-2434076501-1644491937-600003330-1213\autorunz.exe

shell\open\command - G:\RECYCLER\S-1-6-21-2434076501-1644491937-600003330-1213\autorunz.exe

Судя по всему, это с флешки. Ее желательно проверить антивирусом или вообще отформатировать (если важных данных нет). Потому как там скорее всего есть ise32.exe (Trojan/Backdoor).

--------------------------

Установите последнюю версию антивируса, или обновите антивирусные базы того антивируса, который у Вас установлен:

Здесь можно скачать пробную версию платного антивируса Касперского.

А здесь бесплатную персональную и премиум версии антивируса Авира, а также полную версия пакета безопасности (платный) от Avira Antivir.

Для предотвращения заражения рекоментуется:

- не работать за компьютером с правами администратора;

- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript);

- регулярно устанавливать обновления Windows и обновлять антивирусные базы;

- пользоваться чистящими утилитами (сохранять при возможности резервные копии удаляемых файлов):

* Advanced System Care

* Registry Mechanic (сохраняет резервные копии)

* System Mechanic

* CCleaner (предлагает сохранять резервные копии)

* Dr.Web CureIT - отдельный модуль антивирусного сканера

* Kaspersky Virus Removal Tool - отдельный модуль антивирусного сканера

- не посещать сайты, которые отмечены в черном списке (если увидите сообщение, что переход на некий ресурс может нанести вред Вашему компьютеру) или которые вызывают у Вас недоверие;

- следите за автозагрузкой на Вашем компьютере. Отсеивайте нежелательные элементы сразу же.

Изменено 7 мая, 2009 пользователем Cameroon

[N.Joy]

Спасибо огромное за то что помогаете, за советы! :)

Но, раз Вы не уверены, я подожду akokа, так как если что то пойдет не так я вряд ли смогу восстановить все, сделать сама... я далеко не профессионал. :) не поняла как в случае проблемы все таки восстановить систему.

GTA4 когда то была, но сейчас снесена. есть San Andreas.

Окно Windows Live ID появилось до фикса.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ini msn] C:\WINDOWS\msnmsgr.exe [] - в ветке msconfig у меня, например, ветки startupreg вообще нет.

с этим не поняля что делать :) ...удалить???

Флешки почистила. А антивирус у меня касперский, постоянно обновляется.

еще есть файл C:\WINDOWS\system32\PnkBstrB.exe его тоже удалить наверно?

C:\bdtmp - такого нет, вообще только папки. FXDRV.sys тоже не находится...

извините если это я туплю :)

[Cameroon]

Начнем отсюда:

Создайте точку восстановления системы для того, чтобы откатить состояние системы к настоящему состоянию в случае, если лечение приведет к негативным последствиям:

Нажмите Пуск -> Все программы –> Стандартные –> Служебные –> Восстановление системы; выберите "Создать точку восстановления", нажмите "Далее", введите имя точки восстановления (например: "До лечения") и нажмите "Создать".

Выполните скрипт в программе AVZ (выберите команду "Файл" - "Выполнить скрипт" и скопируйте туда ниженаписанный текст в красной рамке, затем нажмите "Запустить". По окончании операции компьютер перезагрузится):

beginSearchRootkit(true, true);SetAVZGuardStatus(true);TerminateProcessByName('c:\windows\system32\pnkbstra.exe');StopService('PavSRK');StopService('PavTPK');StopService('PnkBstrA');QuarantineFile('C:\FXDRV.sys');QuarantineFile('C:\WINDOWS\system32\PavTPK.sys');QuarantineFile('C:\WINDOWS\system32\PavSRK.sys');QuarantineFile('c:\windows\system32\pnkbstra.exe');DeleteFile('C:\WINDOWS\system32\PavTPK.sys');DeleteFile('C:\WINDOWS\system32\PavSRK.sys');DeleteFile('c:\windows\system32\pnkbstra.exe');DeleteService('PavSRK');DeleteService('PavTPK');DeleteService('PnkBstrA');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

AVZ позволяет восстановить удаленные файлы. Для этого выполните команду: Файл -> Просмотр карантина. В появившемся окне вы можете поставить галочки на необходимых файлах, и, нажав на кнопку Восстановить, вернуть их на прежнее место.

Профиксите в HJT эту строку (найдите ее, поставьте галочку в начале строчки и нажмите на кнопку Fix):

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Очистите корзину и все временные файлы.

Если вдруг что-то пойдет не так (а это вряд ли), то можно будет восстановить предыдущее состояние системы. Нажать Пуск -> Все программы –> Стандартные –> Служебные –> Восстановление системы, там выбрать ранее созданную точку восстановления (До лечения) и, восстановив ее, все вернется на свои места.

В результате выполнения скрипта будут удалены следующие файлы:

PAVSRK.SYS

PAVTPK.SYS

PnkBstrA - агент, следящий за тем, пользуетесь ли Вы читами в on-line играх.

Изменено 7 мая, 2009 пользователем Cameroon

[N.Joy]

не получается выполнить скрипт:

mistake.bmp

А с остальным как быть?

mistake.bmp

[Cameroon]

хм... в логах файла C:\WINDOWS\system32\PnkBstrB.exe нету. Хотя его тоже надо бы удалить.

Попробуйте так:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(true);

TerminateProcessByName('c:\windows\system32\pnkbstra.exe');

TerminateProcessByName('c:\windows\system32\pnkbstrb.exe');

StopService('PavSRK');

StopService('PavTPK');

StopService('PnkBstrA');

StopService('PnkBstrB');

QuarantineFile('C:\WINDOWS\system32\PavTPK.sys');

QuarantineFile('C:\WINDOWS\system32\PavSRK.sys');

QuarantineFile('c:\windows\system32\pnkbstra.exe');

QuarantineFile('c:\windows\system32\pnkbstrb.exe');

DeleteFile('C:\WINDOWS\system32\PavTPK.sys');

DeleteFile('C:\WINDOWS\system32\PavSRK.sys');

DeleteFile('c:\windows\system32\pnkbstra.exe');

DeleteFile('c:\windows\system32\pnkbstrb.exe');

DeleteService('PavSRK');

DeleteService('PavTPK');

DeleteService('PnkBstrA');

DeleteService('PnkBstrB');

BC_ImportALL;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Изменено 7 мая, 2009 пользователем Cameroon