[thyrex]

Перед выполнением скрипта отключите все зашитное ПО (антивирус, файрволл). Включите брандмауэр Windows
Отключите восстановление системы

Проверьте файл hosts и, если что-то окажется не Ваше, удалите

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\SSVICHOSST.exe','');
 DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
 DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
 QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ennnio.sys','');
 DeleteService('abp470n5');
 DeleteFile('C:\WINDOWS\system32\drivers\ennnio.sys');
 DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
 DeleteFile('C:\WINDOWS\system32\SSVICHOSST.exe');
DeleteFile('C:\Windows\Tasks\At1.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Пофиксить в HiJack

Код:

 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=%s
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll

Сделайте новые логи

[Tullius]

Что то долговато нет ответа от newvirus@kaspersky.com.
Пока выкладую новые логи...

[thyrex]

Пролечитесь по этой методике
Вариант с LiveCD предпочтительнее

После лечения обновите базы AVZ и сделайте новый комплект логов

c:\documents and settings\tullius\Рабочий стол\e.jpg.exe - что это за программа, Вам известно?

[Tullius]

Пролечился по методике LiveCD. Логи скинул.
Сделал обновление AVZ, логи сделал.
c:\documents and settings\tullius\Рабочий стол\e.jpg.exe - являеться программой для подключения к интернету, назвал её так, сам лично) так что ничего плохого нету...
newvirus@kaspersky.com - до сих пор молчит (

[thyrex]

Вирус живее всех живых

Вы скачивали образ на своей зараженной машине?

[Tullius]

Нет, образ был скачан на чистой машине, где запущен касперский с последним обновлением, там же и был записан...

[thyrex]

Год у Вас почему-то 2008 в логе AVZ

Попробуйте пролечиться так

1. Очистите папки Temp и Temporary Internet Files
2. Скачайте CureIt со случайным именем и запишите ее на CD
3. Скачайте утилиту Sality_off, запишите ее на этот же CD и пропишите в автозапуск (скачать утилиту можно здесь. Там же найдете, как ее записать в автозапуск).
4. Вставляете диск в привод, загружаете систему
5. Когда сработает запуск Sality_off, запускаете на проверку с лечением CureIt

После этого новые логи

[Tullius]

2008 год выдаёт, потому что у меня и стоит 2008 ), исправил дату...

Цитата:

3. Скачайте утилиту Sality_off, запишите ее на этот же CD и пропишите в автозапуск (скачать утилиту можно здесь. Там же найдете, как ее записать в автозапуск).

Пункт номер 3 немогу выполнить так как вирус недаёт подгрузить kaspersky.ru. Возможно есть альтернативный ресурс?

[thyrex]

Файл во вложении необходимо просто сохранять как exe-файл

Инструкция
нажмите меню Пуск
выберите пункт меню Все программы
найдите и выберите меню Автозагрузка
нажмите правой кнопкой на меню Автозагрузка
выберите в контекстном меню Открыть
щелкните правой кнопкой мыши в любом месте папки Автозагрузка
выберите пункт меню Создать в контекстном меню
выберите подпункт Ярлык
нажмите кнопку Обзор
выберите папку, в которую Вы сохранили файл Sality_off.exe
нажмите кнопку ОК
в поле Укажите размещение объекта допишите символы -m. Таким образом строка должна быть вида x:\Sality_off.exe -m (x - буква привода для дисков)
нажмите кнопку Далее
нажмите кнопку ОК