[iskander-k]

Временно отключите:
Антивирус/Файерволл

• Нужно Пофиксить в эти строки в HiJackThis.

Код:

O4 - .DEFAULT User Startup: Game-Edition.Ru.bat (User 'Default user')

• Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
QuarantineFile('C:\WINDOWS\iun6002.exe','');
 QuarantineFile('c:\windows\system32\ctfmon.exe','');
 QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');
 QuarantineFile('C:\WINDOWS\system32\mrt.exe','');
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

что у вас в папках
C:\zhltt
C:\54d0e995dcd96e06e105eedcbe
C:\0b2a3acc6a1dcf22a5afbaf4

[Kinqui]

все выполнил. Отправил quarantine через форму.
Логи прикрепил.

В папке zhltt компиляторы, необходимые для работы одной программы.
В C:\54d0e995dcd96e06e105eedcbe лежат файлы с названием

Цитата:

WapRes.1049.dll , WapUI.dll

В C:\0b2a3acc6a1dcf22a5afbaf4 лежит

Цитата:

WapUI.dll

upd: quarantine.zip через форму отправляется слишком долго. до сих пор пишет что загружается.

[Kinqui]

не могу отправить карантин через форму. жду уже который час, он не отправляет.

[alex_sev]

Отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

[Kinqui]

отправил на мыло.

[alex_sev]

Cохраните следующий текст с расширением reg и запустите полученный файл.

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"legalnoticecaption"=""
"legalnoticetext"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""

Повторите сканирование в MBAM и удалите:

Код:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.

Подготовьте лог OTL by OldTimer

[Kinqui]

Все выполнил, логи прикрепил.
По своей глупости, удалил все найденные вирусы в MBAM >_<

[Kinqui]

ну что?

[alex_sev]

• Запустите повторно OTL by OldTimer
  
  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  
• В окно Custom Scans/Fixes скопируйте следующую информацию:
  
  
  Код:

  :processes
  
  :OTL
  IE - HKU\S-1-5-21-57989841-1958367476-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=111434&babsrc=HP_ss&mntrId=c419c332000000000000001b38d05cc3
  O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found
  O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found.
  O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found
  MsConfig - StartUpFolder: C:^Documents and Settings^All Users.WINDOWS^Главное меню^Программы^Автозагрузка^Tabs.lnk -  - File not found
  [2012.04.29 17:54:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Администратор\Application Data\BabylonToolbar
  [2012.04.24 21:38:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Администратор\Local Settings\Application Data\Babylon
  [2012.04.24 21:37:59 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Администратор\Application Data\Babylon
  [2012.04.24 21:37:59 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users.WINDOWS\Application Data\Babylon
  [2012.04.24 21:37:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users.WINDOWS\Application Data\Babylon
  [2012.04.24 21:37:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Администратор\Application Data\Babylon
  [2012.04.29 17:54:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Администратор\Application Data\BabylonToolbar
  
  :Commands
  [EMPTYJAVA]
  [EMPTYFLASH]
  [purity]
  [Reboot]

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Как самочувствие системы?