[thyrex]

На время выполнения скрипта отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Выполните скрипт в AVZ

Код:

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Alex\.exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\Documents and Settings\Alex\.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Пофиксить в HiJack (некоторых строчек может не быть)

Код:

 F2 - REG:system.ini: UserInit=userinit.exe,
O4 - Startup: is-QJQ25.lnk = ?

Сделайте новые логи

[Pili]

khs, Здравствуйте. Скрипт вам уже дали, поэтому дополню.
Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).
Базы МВАМ можно обновить отдельно - downloading the update MBAM

Скачайте gmer со случайным именем файла(рекомендуется) здесь, либо gmer.zip здесь или здесь, закройте все остальные программы и отключите антивирусное ПО (включите брандмауэр windows или отключите компьютер от локальной сети), запустите программу (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора). После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Внимание! Если при запуске gmer выйдет окно предупреждающее об обнаружении ROOTKIT activity, нажмите No и в правой панели уберите значки напротив следующих пунктов
• Sections
• IAT/EAT
• Show all

Включите AVZM (см. правила), очистите временные файлы и сделайте новый лог virusinfo_syscure.zip (3-й стандартный скрипт AVZ)

[khs]

Скрипты выполнил, в hijack пофиксил
По поводу файла карантина ответили: "В присланном Вами файле не найдено ничего вредоносного".
Просканировал Anti-Malwar и gmer
Включил AVZM
Все логи прикрепил

Проблемы вроде устранились, не знаю все ли

[Pili]

khs, лог hijackthis выложили старый. Проверьте ещё на всякий случай файл c:\windows\system32\atwtusb.exe на http://www.virustotal.com/ или http://virscan.org/
Если окажется чистым, то в логах ничего плохого.
Выгрузите драйвер расширенного мониторинга процессов AVZ: запустите AVZ, в меню - AVZM - удалить и выгрузить драйвер расширенного мониторинга процессов и перезагрузите компьютер или выполните скрипт

Код:

begin
SetAVZPMStatus(false);
ExecuteStdScr(6);
end.

Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd
Или сохраните текст ниже как gmer_del.bat

Код:

sc delete gmer
del %SystemRoot%\system32\drivers\gmer.sys
del %SystemRoot%\gmer.dll
del %SystemRoot%\gmer.exe
del %SystemRoot%\gmer.ini
del %SystemRoot%\gmer_uninstall.cmd
pause

И запустите gmer_del.bat
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Проблемы ещё наблюдаются?

[khs]

c:\windows\system32\atwtusb.exe проверил - чистый
временные файлы очистил
Проблемы вроде исчезли, но при загрузке windows стало появляться окошко с непонятной кодировкой и кнопкой ОК.
Нажимаю ОК, вроде ничего не происходит и windows загружается
Выкладываю на всякий случай логи

[khs]

Вот такое вот окно вылазит на фоне Приветствия или Запуск Windows
Вылазит не всегда.

[khs]

Просканировал с помощью spybot, нашел несколько проблем, исправил. Но окно по прежнему вылазит, теперь уже на черном фоне (как на фото) перед экраном приветствие

[Pili]

khs, в логах ничего плохого не вижу.
Попробуйте выполнить скрипт в AVZ

Код:

begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
end.

Если проблемы не исчезнут и вы подозревается, что оставшиеся проблемы связаны с наличием вирусов в в системе, можем продолжить проверку другими утилитами.

Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь и здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Как использовать ComboFix - how-to-use-combofix (на англ.яз.)

Скачайте OTListIt2, сохраните на рабочий стол и запустите, выберите: Scan All Users, Minimal Output, File Age: 30 Days, поставьте галочку LOP Check, Purity Check и в Extra Registry - Use Safe list.
Под строчкой Custom Scan вставьте
netsvcs
drivers32
Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.