[iskander-k]

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\53a7832e.exe,\\?\globalroot\systemroot\system32\lFX0TGE.exe,
O2 - BHO: MS Media Module - {BEAA3C1F-A63A-1D3B-F26A-500A7AD4ED84} - (no file)

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Выполнение скрипта в avptool

Код:

# откройте главное окно Kaspersky Removal Tool 2010
# перейдите на закладку Ручное лечение
# нажмите в любом месте поля Шага 3 правой кнопкой мыши
# в контекстном меню выберите Вставить
# нажмите кнопку Выполнить
# дождитесь окончания работы скрипта

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\53a7832e.exe','');
 QuarantineFile('D:\autorun.wsh','');
 QuarantineFile('C:\autorun.wsh','');
 DeleteFile('D:\autorun.wsh');
 DeleteFile('C:\autorun.wsh');
 DeleteFile('C:\WINDOWS\system32\53a7832e.exe');
 DelBHO('{BEAA3C1F-A63A-1D3B-F26A-500A7AD4ED84}');
 DelCLSID('BEAA3C1F-A63A-1D3B-F26A-500A7AD4ED84');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
EXecuteRepair(6);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.


• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные)При выборе удаления смотрите что удаляете. Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Сделайте новые логи.

[Вячеслав75]

Все выполнил, в Malwarebytes Anti-Malware удалил все что он нашел, скрытые папки стали видны, а на антивирусные сайты выхода так и нет. В quarantine.zip ничего не нашли. Новые логи прилагаю.

[thyrex]

Цитата Вячеслав75:

Malwarebytes Anti-Malware удалил все что он нашел »

Лог делали до удаления? Или удаляли вручную?

Выполните скрипт в AVZ

Код:

begin
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Проверьте доступ к антивирусным сайтам

[Вячеслав75]

Цитата thyrex:

Лог делали до удаления? Или удаляли вручную? »

Лог был сделан до удаления.
скрипт выполнил, доступ появился. Всем огромное спасибо.