[URL=http://www.saule-spb.ru/articles/hijackthis.html]HijackThis рассчитан на более-менее опытных пользователей[/URL], имеющих представление о том, как работает ОС Windows, так как программа в первую очередь позволяет вносить изменения во многие участки операционной системы. И неумелое их редактирование может повлечь за собой серьезные последствия для ОС.

Основное назначение программы: обнаружение и исправление изменений в настройках наиболее уязвимых областей операционной системы. А главная её функция заключается в автоматическом исследовании этих областей и вывода собранной информации в виде удобного лога (отчёта).

Важно понимать, что в программе нет какой-либо базы данных по вредоносным программам, поэтому последующий анализ содержимого своего лога HijackThis не предполагает. И решение об удалении какого-либо компонента может принять только сам пользователь.

Скачайте программу [url=http://sourceforge.net/projects/hjt/]отсюда[/url].

запустите hijackthis.exe и выберите функцию "do a system scan and save a log" (выполнить скранирование системы и сохранить лог)

[IMG]http://chklst.ru/docs/hj1.jpg[/IMG]

файл лога будет автоматически открыт в блокноте, его необходимо передать хелперам для анализа.

по результату анализа Вам будет предложено удалить строки в окне hj. сделать это можно будет следующим образом:

отмечаете галками строки для удаления, и нажимаете кнопку "fix checked".

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn A7679BCC06E1117A80A1A2E6EFB50280D3FFF575B4C66A7995C32E9AD328­733826943D564B773CF15181941A866240AD2B8C17A2D01AC4207A21F7C7­20F8DD8C 64 majachok.1121
zoo %SystemDrive%\USERS\CHIJIK\DOCUMENTS\ITERRA\YEBXLFH.DLL
delref %SystemDrive%\USERS\CHIJIK\DOCUMENTS\ITERRA\YEBXLFH.DLL
delref HTTP://BROWSERHELP2.RU
delref COPY
delall %SystemDrive%\USERS\CHIJIK\APPDATA\LOCAL\TEMP\026651~1.EXE
delref HTTP://SEARCH.CERTIFIED-TOOLBAR.COM?SI=33953&HOME=TRUE&TID=2958
delref HTTP://SEARCH.CERTIFIED-TOOLBAR.COM?SI=33953&TID=2958&BS=TRUE&Q=
deltmp
delnfr
delref HTTP://BROWSERHELP2.RU
regt 14
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec C:\PROGRAM FILES (X86)\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
exec RUNDLL32.EXE ADVPACK.DLL,LAUNCHINFSECTION C:\WINDOWS\INF\MEDIAGET.INF,UNINSTALL
exec "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES (X86)\TICNO\TABS\UNINSTALL.EXE
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

пофикстите эту строку в hj
[QUOTE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://unesxhange.com/JTtw23l/proxy.pac[/QUOTE]
также проверьте настройки AutoConfigURL
во всех браузерах, которые вы используете.
пример здесь
http://www.securelist.com/ru/blog?print_mode=1&weblogid=207764045
если есть указанные в статье настройки прокси в браузерах, то отключите этот адрес.
---------------
далее,

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE];uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
EXEC cmd /c"ipconfig /flushdns"
deltmp
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delref HTTP://BROWSERHELP2.RU
deltmp
delnfr
REGT 14
exec C:\PROGRAM FILES (X86)\MAIL.RU\SPUTNIK\MAILRUSPUTNIK_RFRESET_MPCLN8569.EXE UNINSTALL
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
добавьте лог [URL=http://chklst.ru/forum/discussion/91/kak-sozdat-log-hijackthis#Item_1]Hijackthis[/URL]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delref HTTP://HOME.WEBALTA.RU/?NEW
delref HTTP://WEBALTA.RU/SEARCH
addsgn 71D11B0E156A4C075E5FBBECF0881280F7FEB7A2E3BA1F7A0183C5355D07­E10C2390D61EAE159DCE36EA14DF469FB179400B783255DACE20AA72C5BF­8706AB66 64 majachok.1120
zoo %Sys32%\YFWDWNN.DLL
delref %Sys32%\YFWDWNN.DLL
deltmp
delnfr
delall %SystemDrive%\PROGRAMDATA\ICQ\ICQNEWTAB\NEWTAB.HTML
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\GICTINMTU0U.EXE
addsgn A7679B1BB9764D720B87F8E60ECCAC05158AFCA076CF1F5894D0AFBCB8C5­724C23479CD4FA4518B6A2FD7090C20E48FA7D18AD8EAAD5B02C8C7F843E­D435678F 8 Win32/Agent.NHP [NOD32]
bl 972874F2C80E8453FAAB7DE6CF1C2827 186880
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\GICTINMTU0U.EXE
chklst
delvir
deltmp
delnfr
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo D:\DISTRIB\WEB\DOC\TEMPLET.EXE
addsgn 9252773A136AC1CC0BA4574E334BDFFACE9A6C66196A8FE80FC583345791­709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E­0707F900 8 Multi.Generic [Kaspersky]
delall D:\DISTRIB\WEB\DOC\TEMPLET.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\NDN\APPLICATION DATA\QIPGUARD\QIPGUARD.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\NDN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
addsgn 1A28589A55835A8CF42BF84E5120C8452501C9DA39BA1F87534605C87177­9596631740AFC1218A19D4B56C450616B62C820F6DB221D23BACD576A42F­2C1D4AA3 8 SpyEye.1120
zoo %SystemDrive%\SYSTEMHOST\24FC2AE38BE.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE38BE.EXE
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[B]truetime[/B], в связи с нарушением вами лизензионного соглашения, тема будет закрыта.
обратитесь за помощью на другой форум.