[zirreX]

Отключите защитное ПО (Антивирус/Файерволл)!

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 ClearQuarantine;
 QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\igfxtray.exe','');
 QuarantineFile('C:\2gPzm53eSx3AQhX\klpclst.dat','');
 QuarantineFile('C:\2gPzm53eSx3AQhX\wndsksi.inf','');
 DeleteFile('C:\2gPzm53eSx3AQhX\wndsksi.inf');
 DeleteFile('C:\2gPzm53eSx3AQhX\klpclst.dat');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\igfxtray.exe');
 DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
 DelBHO('{1E796980-9CC5-11D1-A83F-00C04FC99D61}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
 DeleteFileMask('C:\2gPzm53eSx3AQhX','*.*', true);
 DeleteFileMask('C:\Program Files\pchd\','*.*', true);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\2gPzm53eSx3AQhX\', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\2gPzm53eSx3AQhX\');
 DeleteDirectory('C:\Program Files\pchd\');
 DeleteDirectory('C:\2gPzm53eSx3AQhX');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

• Обновите Internet Explorer до восьмой версии

Сделайте новые логи.

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[kostr24]

Огромное спасибо! Помогло, папка пропала. Диск С виден.

MBAM нашел много инфицированных файлов. Посылаю все логи, подскажите, что с этим делать теперь, пожалуйста.

[zirreX]

Удалите в Malwarebytes' Anti-Malware эти объекты:

Код:

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.Homepage) -> Bad: (http://webalta.ru/poisk) Good: (http://www.Google.com) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.Search) -> Bad: (http://webalta.ru/poisk) Good: (http://www.google.com/) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant (Hijack.SearchPage) -> Bad: (http://webalta.ru/poisk) Good: (http://www.Google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.Homepage) -> Bad: (http://webalta.ru/poisk) Good: (http://www.Google.com) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.Search) -> Bad: (http://webalta.ru/poisk) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant (Hijack.SearchPage) -> Bad: (http://webalta.ru/poisk) Good: (http://www.Google.com/) -> No action taken.

Зараженные файлы:
c:\documents and settings\Admin\application data\Sun\Java\deployment\cache\6.0\12\38df5b8c-41311f6f (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\Sun\Java\deployment\cache\6.0\15\55272e4f-7f2a9880 (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\Sun\Java\deployment\cache\6.0\25\41313519-18d3b3cb (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.

После удаления нажмите на кнопку Сохранить отчёт и прикрепите его к вашему сообщению.

[kostr24]

Сделала, как вы сказали, вот отчет.

[SolarSpark]

что с проблемой?

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска

[kostr24]

Выполнила, спасибо.

А оставшиеся в отчете зараженные файлы не трогать?

[SolarSpark]

зараженная контрольная точка была вами удалена, больше ничего не требуется

[kostr24]

Спасибо.