[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\progra~3\mozilla\htyezvb.exe');
 QuarantineFile('c:\progra~3\mozilla\htyezvb.exe','');
 DeleteFile('c:\progra~3\mozilla\htyezvb.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

Сделайте новые логи

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt

[Vadikan]

thyrex, спасибо за моментальный отклик. Уже после создания темы на зараженном ПК был "запущен Касперский", который нейтрализовал появление запросов UAC от сабжа.

Однако инструкции были выполнены. Логи в аттаче.

[thyrex]

Еще раз запустите полное сканирование МВАМ. После окончания отметить и удалить все строки, кроме

Код:

C:\Users\Phantom\Desktop\L\OLD\Desktop\Октябрь\Guitar.Pro.v5.2\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Users\Phantom\Desktop\team\ОКТЯБРЬ\- 2008 MP3 256kbps _setup.exe (Adware.ForcedStartPage) -> Действие не было предпринято.
C:\Users\Phantom\Desktop\team\ТУТ все что лежало на столе\K-Lite Codec Pack Update_setup.exe (PUP.BundleInstaller.DU) -> Действие не было предпринято.

+ уточните у хозяев компьютера по поводу C:\Program Files (x86)\VPets\VPets.exe - зверюшки на Рабочем столе бегают - сами ли они их установили

[Vadikan]

thyrex, файл VPets не нашелся, в т.ч. поиском AVZ.

А так все гуд, спасибо за заботу!

P.S. Я удаляю логи по просьбе владельца.

[iskander-k]

Цитата Vadikan:

thyrex, файл VPets не нашелся, в т.ч. поиском AVZ. »

Значит это остались следы в реестре .

[Vadikan]

Да, была запись в автозагрузке, я ее отключил.