[Petya V4sechkin]

diman_az, AVZ -> меню Файл -> Выполнить скрипт -> выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку Запустить. На время выполнения скрипта отключите антивирус.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\TEMP\drwuninst.exe','');
 QuarantineFile('C:\WINDOWS\system32\tlumta.exe','');
 QuarantineFile('C:\WINDOWS\system32\c96e1afe.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\xeahot.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\keiode.exe','');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\Documents and Settings\Администратор\keiode.exe');
 DeleteFile('C:\Documents and Settings\Администратор\xeahot.exe');
 DeleteFile('C:\WINDOWS\system32\c96e1afe.exe');
 DeleteFile('C:\WINDOWS\system32\tlumta.exe');
 DeleteFile('C:\WINDOWS\TEMP\drwuninst.exe');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 BackupRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes', 'Backup');
 DeleteService('bbsdpbqen');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить еще скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте мне в PM.
Сделайте новые логи версией 4.34 и обновить базы - (virusinfo_syscheck.zip, hijackthis.zip из п. 3.4, 3.5 правил).

P. S. Учтите, что команда ExecuteRepair(20) удалит статические маршруты (если у вас там что-то нужное, сохраните).

P. P. S. Надеюсь, хелперы подключатся (если я чего-то не заметил в логах).

[Drongo]

Сделайте дополнительно лог gmer

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[diman_az]

все данные

[Drongo]

Цитата Petya V4sechkin:

Сделайте новые логи версией 4.34 »

и лог gmer