[Techno88]

Посмотрю....

- Отключите антивирус/фаервол и интернет;
- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\admin\application data\c.exe');
 TerminateProcessByName('c:\documents and settings\admin\application data\regsrv64.exe');
 QuarantineFile('c:\documents and settings\admin\application data\c.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Ruqaqr.exe','');
 QuarantineFile('c:\documents and settings\admin\application data\regsrv64.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\2A.exe','');
 QuarantineFile('c:\documents and settings\admin\application data\27.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\29.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\11.exe','');
 QuarantineFile('c:\documents and settings\admin\application data\10.tmp','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\E.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\6.tmp','');
 QuarantineFile('c:\documents and settings\admin\application data\9.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\8.tmp','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\15.exe','');
 QuarantineFile('c:\documents and settings\admin\application data\5A.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\5A.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\9.exe');
 DeleteFile('c:\documents and settings\admin\application data\8.tmp');
 DeleteFile('c:\documents and settings\admin\application data\15.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\10.tmp');
 DeleteFile('c:\documents and settings\admin\application data\E.exe');
 DeleteFile('c:\documents and settings\admin\application data\6.tmp');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\27.exe');
 DeleteFile('c:\documents and settings\admin\application data\29.exe');
 DeleteFile('c:\documents and settings\admin\application data\11.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\2A.exe');
 DeleteFile('c:\documents and settings\admin\application data\c.exe');
 DeleteFile('c:\documents and settings\admin\application data\regsrv64.exe');
  DeleteFile('C:\Documents and Settings\Admin\Application Data\Ruqaqr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SterupService');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','SterupService');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SterupService');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SterupService');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SterupService');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ruqaqr');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft DLL Registration');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.

Установите новый Internet Explorer, а также все доступные обновления для Windows

После обновлений:
- Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - Показать результаты - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.

[Sp1r1don]

Логи выполнил, карантин отправил. Обновление установлю, лог выложу.
Спасибо, проблема решилась, но в диспетчере заметил 21.exe, это в норме?

Да и еще. Переодически каждые 2-3сек. курсор загорается как при процессе загрузки цп и тут же меняется на указатель. И так постоянно. Началось тоже со вчерашнего дня.

[Techno88]

Цитата Sp1r1don:

но в диспетчере заметил 21.exe, это в норме? »

Нет.

Ждем...

Цитата Techno88:

Установите новый Internet Explorer, а также все доступные обновления для Windows После обновлений: - Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - Показать результаты - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. »

[Sp1r1don]

Поставил обнову, после перезагрузки 21.exe начал клонировать. аналогично cmd. Начал скан.

Во время скана вылетела след ошибка, сканирование продолжил.

[alex_sev]

После скана, MBAM не закрывайте и ничего сами без прямого указания не удаляйте

+ сделайте повторный комплект логов AVZ & RSIT

[Techno88]

Цитата alex_sev:

+ сделайте повторный комплект логов AVZ & RSIT »

Только перед этим обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск")

[Sp1r1don]

Цитата alex_sev:

без прямого указания не удаляйте »

Так точно Капитан!

Пока делаю скан, дайте советы, какие защитные ПО мне скачать? Особенно какую-нибудь на проверку флешек, просто через мой ПК их проходит большое кол-во.

[Techno88]

Цитата Sp1r1don:

Особенно какую-нибудь на проверку флешек, просто через мой ПК их проходит большое кол-во. »

Нужно просто отключить автозапуск со съемных носителей, чтобы все подряд с них не лезло...

Цитата Sp1r1don:

Пока делаю скан, дайте советы, какие защитные ПО мне скачать? »

Лучшая защита - это обновленная система с обновленными программами, непосредственно работающих в сети.

Почитайте пока Рекомендации после лечения.

[Sp1r1don]

Логи Malware