[help?]

Привет
Выполните, пожалуйста, все рекомендации, даже когда доступ к сайтам появится.
Пофиксить

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\7b0d0c2d.exe,\\?\globalroot\systemroot\system32\6bHLFpb.exe,

2.Выполните скрипт в авз:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Flashcontrol\','');
QuarantineFile('C:\WINDOWS\system32\oxvNGqd.exe','');
QuarantineFile('C:\WINDOWS\system32\7b0d0c2d.exe','');
QuarantineFile('C:\WINDOWS\Temp\LOCK.EXE','');
QuarantineFile('C:\WINDOWS\system32\6bHLFpb.exe','');
 QuarantineFile('C:\WINDOWS\system32\icardres.dll.mui','');
QuarantineFile('C:\System Volume Information\_restore{69EDB8A9-0F2B-4199-9DE5-ECAF5B466572}\RP16\A0004026.exe','');
QuarantineFile('C:\Documents and Settings\Администратор.USER\Local Settings\Temporary Internet Files\Content.IE5\7M4NZXC1\a7d06a4a[1].exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\6bHLFpb.exe','');
 QuarantineFile('C:\WINDOWS\system32\7b0d0c2d.exe','');
 QuarantineFile('C:\DOCUME~1\5D4C~1.USE\LOCALS~1\Temp\vtayn.sys','');
 QuarantineFile('C:\DOCUME~1\5D4C~1.USE\LOCALS~1\Temp\o1s5CX8Y.sys','');
 DeleteFile('C:\DOCUME~1\5D4C~1.USE\LOCALS~1\Temp\o1s5CX8Y.sys');
DeleteFile('C:\WINDOWS\Temp\LOCK.EXE');
DeleteFile('C:\System Volume Information\_restore{69EDB8A9-0F2B-4199-9DE5-ECAF5B466572}\RP16\A0004026.exe');
DeleteFile('C:\WINDOWS\system32\oxvNGqd.exe');
DeleteFile('C:\WINDOWS\system32\7b0d0c2d.exe');
DeleteFile('C:\WINDOWS\system32\6bHLFpb.exe');
 DeleteFile('C:\DOCUME~1\5D4C~1.USE\LOCALS~1\Temp\vtayn.sys');
DeleteFile('C:\Documents and Settings\Администратор.USER\Local Settings\Temporary Internet Files\Content.IE5\7M4NZXC1\a7d06a4a[1].exe');
 DeleteFile('C:\WINDOWS\system32\7b0d0c2d.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\6bHLFpb.exe');
DelWinlogonNotifyByKeyName('winxje32');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('vtayn');
BC_DeleteSvc('o1s5CX8Y');
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
3.После перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\fu3TAzU.exe
C:\WINDOWS\system32\DYSeg5b.exe
C:\WINDOWS\system32\jNEpkrV.exe
C:\WINDOWS\system32\RZCAOAw.exe
C:\WINDOWS\system32\fDNUUVK.exe
C:\WINDOWS\system32\KTt3QMS.exe
C:\WINDOWS\system32\Mgg9L5s.exe
C:\WINDOWS\system32\Lwg4lIk.exe
C:\WINDOWS\system32\kKPTPoc.exe
C:\WINDOWS\system32\iad8Srn.exe
C:\WINDOWS\system32\Py654x2.exe
C:\WINDOWS\system32\i2UGKZV.exe
C:\WINDOWS\system32\xRsog2Q.exe
C:\WINDOWS\system32\DTyX6PS.exe
C:\WINDOWS\system32\xi4XlX6.exe
C:\WINDOWS\system32\P4fqVrn.exe
C:\WINDOWS\system32\oxvNGqd.exe
C:\Program Files\Common Files\keylog.txt
C:\WINDOWS\system32\6bHLFpb.exe
C:\WINDOWS\system32\7b0d0c2d.exe

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winxje32]

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.
Содержимое папки C:\_OTM заархивируйте и отправьте на почтовый адрес:
Anti-Spyware2010atyandex.ru
at=@
После этого повторите логи:
авз, попытайтесь запустить обычную версию и обновить её.
Логи RSIT(лог hjt хайджека не надо).
А также:
Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
C:\Program Files\Flashcontrol
Вы сами это устанавливали, известно?

[Sp1tF1r3]

Большое спасибо, приступаю

Архив 3 МБ, не влезает в форму

[help?]

отправьте на почтовый адрес:
Anti-Spyware2010atyandex.ru
at=@
(с заменой адреса на @)

[Sp1tF1r3]

Новые RSIT

[help?]

Архивы получил-посмотрю.Логи RSIT посмотрю тоже.Ну нужны еще эти логи:
gmer;
новые логи авз(обычной версии и не забудьте базы обновить).

[Sp1tF1r3]

Gmer нашел что-то в system32/svchost ([AUTO]lwmzisil) во время автопроверки и предложил проверить более тщательно, выполняю.

[help?]

Да, у вас там активный зверь сидит.

[Sp1tF1r3]

Но разве скрипты не должны были его убрать? в ходе проверки гмером вылетел бсод.
Логи АВЗ (нормального, с обновленными базами)

[help?]

Жалко.Тогда так:
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe