[iskander-k]

Здравствуйте.

1. Отключите антивирус/фаервол, интернет;

2. Очистите и создайте новую контрольную точку восстановления :
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Сохраните реестр:


Для этого:
Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.
Как выполнить скрипт AVZ



Скопируйте и выполните, расположенный ниже, скрипт в AVZ.

Перед выполнением скрипта в АВЗ отключите все программы защиты(антивирус, файрволл). Включите брандмауэр Windows

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать данный вам скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
 QuarantineFile('gacaq32.dll','');
 QuarantineFile('xagkf32.dll','');
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('c:\windows\services.exe','');
 QuarantineFile('C:\lich.exe ',' ');
 DeleteFile('c:\windows\services.exe');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('xagkf32.dll');
 DeleteFile('gacaq32.dll');
 DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
 DeleteFile('C:\lich.exe');
 DelBHO('{996D4E16-517F-474a-870F-F882C6133C47}');
 DelBHO('{7C7EFE99-C71F-48b8-8CC8-BA506CA76A33}');
 BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ZZZsvc_lich');
BC_Activate;
ExecuteRepair(13);
ExecuteRepair(9);
RebootWindows(true);
end.

После перезагрузки выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.



Пофиксить в HijackThis.

Код:

O2 - BHO: MS extension - {7C7EFE99-C71F-48b8-8CC8-BA506CA76A33} - xagkf32.dll (file missing)
O2 - BHO: MSN helper - {996D4E16-517F-474a-870F-F882C6133C47} - gacaq32.dll (file missing)
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe

Пофиксить в HijackThis. строку О23

Код:

O23 - Service: ZZZsvc_lich - Unknown owner - C:\lich.exe (file missing)

Для того чтобы пофиксить строку начинающуюся с O23 надо:
1. Запустить HijackThis.
2. Нажать кнопку Open The Misc Tools section
3. Нажать кнопку Delete an NT Service
4. В открывшемся диалоге ввести название службы
ZZZsvc_lich
5.Нажать кнопку OK
P.S. Перегрузиться не помешает


Обновите базы AVZ и сделайте новые логи.

[AITD]

вроде все убило.
Вот новые логи:

[thyrex]

Выполните скрипт в AVZ

Код:

begin
DeleteFile('F:\autorun.inf');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

У Вас были замечены остатки Pinch'a. Поэтому настоятельно рекомендую сменить все пароли (система, почта, кошельки и т.д.), используемые Вами при работе

Сделайте новые логи virusinfo_syscheck.zip и HiJack