[zirreX]

Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)


AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 StopService('RKHit');
 QuarantineFile('C:\zpt\!ZAR1\CALC.COM','');
 QuarantineFile('C:\zpt\!ZAR10\CALC.COM','');
 QuarantineFile('C:\zpt\!ZAR11\CALC.COM','');
 QuarantineFile('C:\zpt\!ZAR12\CALC.COM','');
 QuarantineFile('C:\zpt\!ZAR2\CALC.COM','');
 QuarantineFile('C:\zpt\!ZAR3\CALC.COM','');
 QuarantineFile('C:\zpt\!ZAR4\CALC.COM','');
 QuarantineFile('C:\zpt\!ZAR5\CALC.COM','');
 QuarantineFile('C:\zpt\!ZAR6\CALC.COM','');
 QuarantineFile('C:\zpt\!ZAR7\CALC.COM','');
 QuarantineFile('C:\zpt\!ZAR8\CALC.COM','');
 QuarantineFile('C:\zpt\!ZAR9\CALC.COM','');
 QuarantineFile('C:\WINDOWS\system32\drivers\RKHit.sys','');
 QuarantineFile('c:\windows\system32\avcpws.exe','');
 DeleteFile('c:\windows\system32\avcpws.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\RKHit.sys');
 DeleteService('RKHit');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.



Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Повторите лог AVZ

[t_dima]

Спасибо! Все чисто. "Зверь" повержен. Логи прилагаю.

[zirreX]

ComboFix-ом пользовались?Заметил его драйвер в системе.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Не знаком случайно файл C:\zpt\!ZAR1\CALC.COM

Карантин отправили?

[t_dima]

Calc.com это калькулятор досовый под Foxpro. Карантин отправил 22 октября, вчера. ComboFix запускал в защищенном режиме и удалял его как вы и написали.

[zirreX]

В логах зловредов не нашел.Проблема решена?

Установите Internet Explorer 8

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

[t_dima]

Да, проблема решена, спасибо!

[zirreX]

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Не работайте с правами администратора
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте все важные обновления Windows.
4.Ежедневно обновляйте антивирусные базы.

[t_dima]

Спасибо большое за помощь!

[thyrex]

Смените все пароли