[S.R]

Здравствуйте, посмотрю логи.

Файл C:\ComboFix.txt приложите к следующему сообщению.

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'В процессе выполнения скрипта компьютер будет перезагружен.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('\Device\HarddiskVolume1\WINDOWS\temp\55F22087-20D2FA16-79874D8B-665270F6\11f21_xp.exe');
 QuarantineFile('C:\WINDOWS\system32\6E65.tmp','');
 QuarantineFile('C:\WINDOWS\system32\yreqaan.dll','');
 QuarantineFile('\Device\HarddiskVolume1\WINDOWS\temp\55F22087-20D2FA16-79874D8B-665270F6\11f21_xp.exe','');
 DeleteFile('C:\WINDOWS\system32\6E65.tmp');
 DeleteFile('C:\WINDOWS\system32\yreqaan.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

----------------------------------------
После этого выполните следующий скрипт в AVZ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму.
----------------------------------------
Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.
----------------------------------------
Обновите базы Malwarebytes' Anti-Malware.
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
После сканирования откроется лог. Сохраните его и прикрепите к сообщению.
----------------------------------------
Скачайте SecurityCheck by screen317 по одной из этих ссылок на рабочий стол.

• SecurityCheck.exe
• SecurityCheck.exe

Запустите программу, после появления консоли нажмите на любую клавишу для начала сканирования.
Дождитесь завершения сканирования и формирования лога. Скопируйте/вставьте содержимое лога утилиты в следующее сообщение.
----------------------------------------

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
   Код:

   tdsskiller.exe -silent -qmbr -qboot

3. Запустите файл fix.bat;
4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
6. Запустите файл TDSSKiller.exe;
7. Нажмите кнопку "Начать проверку";
8. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
13. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

[skipaqq]

Всё вродебы стало на свои места, после выполнения скрипта в AVZ. Огромное спасибо!!! Требуемые логи приклеил. Письма отправил.

[S.R]

Java(TM) 6 Update 14
Java version out of Date!
Adobe Flash Player 10 Flash Player out of Date!

Обновите Adobe Flash Player.
Обновите Java SE.
---------------------------------
Вы логи AVZ новые прикрепили или нет? Нужны ещё логи RSIT.
-----------------------------------
Скопируйте/вставьте следующий скрипт в блокнот и сохраните как файл с названием CFScript.txt на диск C:\

Код:

DeQuarantine::
C:\Qoobox\Quarantine\c:\windows\Install
C:\Qoobox\Quarantine\c:\windows\Install\Bugs\7z.exe
C:\Qoobox\Quarantine\c:\windows\Install\Bugs\descript.ion
C:\Qoobox\Quarantine\c:\windows\Install\Bugs\devcon.exe
C:\Qoobox\Quarantine\c:\windows\Install\Bugs\report.cmd
C:\Qoobox\Quarantine\c:\windows\Install\Bugs\SysSpec.exe
C:\Qoobox\Quarantine\c:\windows\Install\Delay.exe
C:\Qoobox\Quarantine\c:\windows\Install\docs.rtf
C:\Qoobox\Quarantine\c:\windows\Install\license.rtf
C:\Qoobox\Quarantine\c:\windows\Install\Presetup.exe
C:\Qoobox\Quarantine\c:\windows\Install\Presetup.INI
C:\Qoobox\Quarantine\c:\windows\Install\readme.rtf
C:\Qoobox\Quarantine\c:\windows\Install\Shots\AClock.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\AIMP.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\CDBurner.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\CPL.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\Defrag.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\DirectX.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\DotNet.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\FileMenu.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\Flash.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\FSImage.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\HashTab.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\HWinfo.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\JavaRE.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\KMPlayer.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\NewRun.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\Notepad.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\Opera.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\PROWiSe.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\PuntoSW.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\Recuva.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\SAMCP.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\SamLab.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\STDU.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\TaskSw.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\TotalCmd.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\VistaGUI.jpg
C:\Qoobox\Quarantine\c:\windows\Install\Shots\WinRAR.jpg
C:\Qoobox\Quarantine\c:\windows\Install\ShowCmdParam.exe
C:\Qoobox\Quarantine\c:\windows\Install\Skin\ACTIVATE.WAV
C:\Qoobox\Quarantine\c:\windows\Install\Skin\BACKSND_.MID
C:\Qoobox\Quarantine\c:\windows\Install\Skin\BREAK.WAV
C:\Qoobox\Quarantine\c:\windows\Install\Skin\BULB_PICT.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\BULB_PICT_.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\CHECKALL_BT.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\CHECKNONE_BT.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\CHECKTG_BT.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\CLICK.WAV
C:\Qoobox\Quarantine\c:\windows\Install\Skin\CLOSE_BT.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\COLLAPSE_BT.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\DEFAULT_BT.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\DONE.WAV
C:\Qoobox\Quarantine\c:\windows\Install\Skin\EXPAND_BT.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\FINISH_BT.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\GROUP_BIG.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\GROUP_SMALL.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\HELP_BT.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\INFO_BT.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\LEFT_BT.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\LEFTWIZ_LOGO.JPG
C:\Qoobox\Quarantine\c:\windows\Install\Skin\PRCHECK_PICT.bmp
C:\Qoobox\Quarantine\c:\windows\Install\Skin\RIGHT_BT.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\SKIN.INI
C:\Qoobox\Quarantine\c:\windows\Install\Skin\TOPWIZ_LOGO.JPG
C:\Qoobox\Quarantine\c:\windows\Install\Skin\TRAY_BT.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\TREESELECTOR_BIG.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\TREESELECTOR_SMALL.BMP
C:\Qoobox\Quarantine\c:\windows\Install\Skin\WALLPAPERS.BMP
C:\Qoobox\Quarantine\c:\windows\pkunzip.pif
C:\Qoobox\Quarantine\c:\windows\pkzip.pif

Quit::
Reboot::

Переместите файл CFScript.txt на иконку ComboFix.exe.

Когда сохранится новый отчет DeQuarantine_log.txt, прикрепите его к сообщению.
---------------------------------
Не используйте, пожалуйста, самостоятельно программу ComboFix. Она может удалить легальные файлы и нарушить работу системы.