[SolarSpark]

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\System32\drivers\kwobpbyf.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\kwobpbyf.sys');
DeleteService('ibuvbboq');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:

Код:

O20 - Winlogon Notify: AutorunsDisabled - Invalid registry found

Сделайте повторные логи AVZ +
[*]Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием GMER
приостановить их работу для корректной работы утилиты
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
+
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
______________________________________

[mihuil2]

Вообщем повторные логи сделал,а вот Gmer стал выдавать ошибки.Я стал понимать,что мешает Alcohol120, перешл на страницу с Defogger,ознакомился с инструкцией и стал выполнять все как написано.Но Defoggger тоже выдал ошибку при чем без лога...

Скриншоты ошибки

[SolarSpark]

Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

если зависнет, запустите в безопасном

[mihuil2]

C горем пополам просканировал вроде..В обычном режиме и в безопасном никак не запускался.Потом я пошел и кое-как попал во вторую учетную запись Администратор - там и запустил.Просканировался ,перезагрузился и зашел под мою обычную учетку (это происходит автоматически) - User и долго мелькал черный экран типа cmd..с синим поочереди.

P.S. После сканирования решилось две проблемы:1) Корзина стала очищаться без ошибок.2) В учетке Администратор стала открываться команда msconfig,но там, когда галочки снимаешь с автозапуска программ и жмешь Ok, выскакивает надпись опять - про права администратора.А в учетке User по-прежнему msconfig сопротивляется.

[alex_sev]

• Скачайте архив Junction.zip
• Извлеките файл Junction.exe из архива и переместите его в папку Windows (например C:\Windows)
• Откройте Блокнот скопируйте в него следующий текст и сохраните на Рабочем столе, как Run.bat:
  
  Код:

  cmd /c junction -s c:\ >log.txt&log.txt& del log.txt

• Запустите полученный файл Run.bat (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора).
• Появится окно командной строки.
• После окончания работы программы (может занять несколько минут - не закрывайте окно командной строки) откроется Блокнот с текстом отчета.
• Скопируйте текст лога в свое следующее сообщение.

[mihuil2]

Вот что вышло..

[alex_sev]

• Если у вас 32 разрядная версия windows, то скачайте GrantPerms.zip
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию GrantPerms64.zip
• Распакуйте архив на Рабочий стол и запустите GrantPerms (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора)
• В текстовое поле скопируйте и вставьте следующий текст:
  
  Код:

  C:\Documents and Settings\LocalService
  C:\Documents and Settings\NetworkService
  C:\Documents and Settings\UpdatusUser
  C:\Documents and Settings\?????????????
  C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader
  C:\Documents and Settings\User\Local Settings\Application Data\ChemTable Software\Reg Organizer\BackupHives\HKEY_USERS-S-1-5-19_Classes-30.11.2011_1-57-27.bak
  C:\Documents and Settings\User\Local Settings\Application Data\ChemTable Software\Reg Organizer\BackupHives\HKEY_USERS-S-1-5-20_Classes-30.11.2011_1-57-27.bak
  C:\Documents and Settings\User\Local Settings\Application Data\ChemTable Software\Reg Organizer\BackupHives\HKEY_USERS-S-1-5-21-1801674531-1214440339-725345543-1004_Classes-17.11.2012_15-56-34.bak
  C:\Documents and Settings\User\Local Settings\Application Data\ChemTable Software\Reg Organizer\BackupHives\HKEY_USERS-S-1-5-21-1801674531-1214440339-725345543-1004_Classes-30.11.2011_1-57-27.bak
  C:\My files\Music\?????? ??,??? ? ??????\?????????????\??????\?????????\??????? ??????????? - ???????????\2007 - ??? ????? ???? - ?????????? ?????? ? ?????? ?????? (320 bps)\10 - ??????? ???????????, ????? ???? - ??? ?? ?????.mp3
  C:\My files\Soft\???????? - SongBook\SONGS\????????\SONGS\??????? ? ??????????\RUS\?\??????????
  C:\Program Files\Guitar Pro 6\Tabulaturs\tab\R\Rockin>_Horse_Winner
  C:\Program Files\Guitar Pro 6\Tabulaturs\tab2\d\DEFsound\DEFsound - Dolphins In The Dead Sea.gp4
  C:\Program Files\Guitar Pro 6\Tabulaturs\tab2\t\Trischka, ?ony
  C:\Program Files\Guitar Pro 6\Tabulaturs\tab2\t\Tr?umph
  C:\Program Files\Karaoke\Karaoke\KaraokeBase\KaraokeBase\English\Stevie Woner
  C:\Program Files\Karaoke\Karaoke\KaraokeBase\KaraokeBase\French\Regg'lss
  C:\Program Files\Karaoke\Karaoke\KaraokeBase\KaraokeBase\French\Rene LouisLafforgue
  C:\Program Files\uTorrent\Image-Line - FL Studio 10.0.9c Signature Bundle\Presets\FPC\TamaStageS.fst
  C:\Qoobox\BackEnv
  C:\RECYCLER\S-1-5-21-1801674531-1214440339-725345543-500
  C:\System Volume Information\6553732drv.isw
  C:\WINDOWS\$hf_mig$
  C:\WINDOWS\$NtUninstallKB2296011$
  C:\WINDOWS\$NtUninstallKB2345886$
  C:\WINDOWS\$NtUninstallKB2360937$
  C:\WINDOWS\$NtUninstallKB2378111_WM9$
  C:\WINDOWS\$NtUninstallKB2387149$
  C:\WINDOWS\$NtUninstallKB2393802$
  C:\WINDOWS\$NtUninstallKB2412687$
  C:\WINDOWS\$NtUninstallKB2419632$
  C:\WINDOWS\$NtUninstallKB2423089$
  C:\WINDOWS\$NtUninstallKB2440591$
  C:\WINDOWS\$NtUninstallKB2443105$
  C:\WINDOWS\$NtUninstallKB2443685$
  C:\WINDOWS\$NtUninstallKB2476490$
  C:\WINDOWS\$NtUninstallKB2478960$
  C:\WINDOWS\$NtUninstallKB2478971$
  C:\WINDOWS\$NtUninstallKB2479943$
  C:\WINDOWS\$NtUninstallKB2483185$
  C:\WINDOWS\$NtUninstallKB2483614$
  C:\WINDOWS\$NtUninstallKB2485663$
  C:\WINDOWS\$NtUninstallKB2503665$
  C:\WINDOWS\$NtUninstallKB2506212$
  C:\WINDOWS\$NtUninstallKB2507618$
  C:\WINDOWS\$NtUninstallKB2507938$
  C:\WINDOWS\$NtUninstallKB2508272$
  C:\WINDOWS\$NtUninstallKB2508429$
  C:\WINDOWS\$NtUninstallKB2509553$
  C:\WINDOWS\$NtUninstallKB2524375$
  C:\WINDOWS\$NtUninstallKB2535512$
  C:\WINDOWS\$NtUninstallKB2536276$
  C:\WINDOWS\$NtUninstallKB2536276-v2$
  C:\WINDOWS\$NtUninstallKB2541763$
  C:\WINDOWS\$NtUninstallKB2544893$
  C:\WINDOWS\$NtUninstallKB2544893-v2$
  C:\WINDOWS\$NtUninstallKB2555917$
  C:\WINDOWS\$NtUninstallKB2562937$
  C:\WINDOWS\$NtUninstallKB2564958$
  C:\WINDOWS\$NtUninstallKB2566454$
  C:\WINDOWS\$NtUninstallKB2567680$
  C:\WINDOWS\$NtUninstallKB2570222$
  C:\WINDOWS\$NtUninstallKB2570791$
  C:\WINDOWS\$NtUninstallKB2570947$
  C:\WINDOWS\$NtUninstallKB2584146$
  C:\WINDOWS\$NtUninstallKB2585542$
  C:\WINDOWS\$NtUninstallKB2592799$
  C:\WINDOWS\$NtUninstallKB2598479$
  C:\WINDOWS\$NtUninstallKB2603381$
  C:\WINDOWS\$NtUninstallKB2607712$
  C:\WINDOWS\$NtUninstallKB2616676$
  C:\WINDOWS\$NtUninstallKB2618451$
  C:\WINDOWS\$NtUninstallKB2619339$
  C:\WINDOWS\$NtUninstallKB2620712$
  C:\WINDOWS\$NtUninstallKB2621440$
  C:\WINDOWS\$NtUninstallKB2624667$
  C:\WINDOWS\$NtUninstallKB2631813$
  C:\WINDOWS\$NtUninstallKB2633171$
  C:\WINDOWS\$NtUninstallKB2633952$
  C:\WINDOWS\$NtUninstallKB2639417$
  C:\WINDOWS\$NtUninstallKB2641690$
  C:\WINDOWS\$NtUninstallKB2646524$
  C:\WINDOWS\$NtUninstallKB2653956$
  C:\WINDOWS\$NtUninstallKB2659262$
  C:\WINDOWS\$NtUninstallKB2661637$
  C:\WINDOWS\$NtUninstallKB2676562$
  C:\WINDOWS\$NtUninstallKB2686509$
  C:\WINDOWS\$NtUninstallKB2695962$
  C:\WINDOWS\$NtUninstallKB975558_WM8$
  C:\WINDOWS\$NtUninstallKB979687$
  C:\WINDOWS\$NtUninstallKB982132$
  C:\WINDOWS\$NtUninstallXPSEPSCLP$
  C:\WINDOWS\ie8updates
  C:\WINDOWS\Prefetch
  C:\WINDOWS\pchealth\helpctr\Config
  C:\WINDOWS\pchealth\helpctr\DataColl
  C:\WINDOWS\pchealth\helpctr\PackageStore
  C:\WINDOWS\repair\default
  C:\WINDOWS\repair\ntuser.dat
  C:\WINDOWS\repair\sam
  C:\WINDOWS\repair\security
  C:\WINDOWS\repair\software
  C:\WINDOWS\repair\system
  C:\WINDOWS\system32\dllcache
  C:\WINDOWS\system32\ias
  C:\WINDOWS\system32\MsDtc
  C:\WINDOWS\system32\Setup
  C:\WINDOWS\system32\appmgmt\MACHINE
  C:\WINDOWS\system32\config\AppEvent.Evt
  C:\WINDOWS\system32\config\default
  C:\WINDOWS\system32\config\default.LOG
  C:\WINDOWS\system32\config\default.sav
  C:\WINDOWS\system32\config\default.tmp.LOG
  C:\WINDOWS\system32\config\Internet.evt
  C:\WINDOWS\system32\config\SAM
  C:\WINDOWS\system32\config\SAM.bak
  C:\WINDOWS\system32\config\SAM.LOG
  C:\WINDOWS\system32\config\SAM.tmp.LOG
  C:\WINDOWS\system32\config\SecEvent.Evt
  C:\WINDOWS\system32\config\SECURITY
  C:\WINDOWS\system32\config\SECURITY.bak
  C:\WINDOWS\system32\config\SECURITY.LOG
  C:\WINDOWS\system32\config\SECURITY.tmp.LOG
  C:\WINDOWS\system32\config\software
  C:\WINDOWS\system32\config\software.LOG
  C:\WINDOWS\system32\config\software.sav
  C:\WINDOWS\system32\config\software.tmp.LOG
  C:\WINDOWS\system32\config\SysEvent.Evt
  C:\WINDOWS\system32\config\system
  C:\WINDOWS\system32\config\system.bak
  C:\WINDOWS\system32\config\system.LOG
  C:\WINDOWS\system32\config\system.sav
  C:\WINDOWS\system32\config\system.tmp.LOG
  C:\WINDOWS\system32\config\systemprofile
  C:\WINDOWS\system32\config\TempKey.LOG
  C:\WINDOWS\system32\config\TuneUp.evt
  C:\WINDOWS\system32\config\userdiff
  C:\WINDOWS\system32\config\userdiff.LOG
  C:\WINDOWS\system32\LogFiles\HTTPERR
  C:\WINDOWS\system32\wbem\AutoRecover
  C:\WINDOWS\system32\wbem\Logs

• Нажмите кнопку Unlock.
• По окончанию разблокирования нажмите Ок
• Нажмите кнопку List Permissions
• Откроется Блокнот с текстом отчета.
• Скопируйте текст отчета в свое следующее сообщение.

[SolarSpark]

+ к вышесказанному
Деинсталлируйте ComboFix:
Скачайте OTCleanIt, запустите, нажмите Clean up

[mihuil2]

Вот тут.