[zirreX]

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
DeleteFileMask('C:\WINDOWS\system32\79373F','*.*', true);
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\srtserv','*.*', true);
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
DeleteDirectory('C:\Documents and Settings\All Users\Application Data\srtserv');
DeleteDirectory('C:\WINDOWS\system32\79373F');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.

• Обновите базы в AVZ (Файл -- Обновление баз).

Подключите все зараженные съемные носители и подготовьте новые логи.

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[breal2004]

Новые логи:

[zirreX]

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\PixArt\PAP7501\SNAPSHOT.exe','');
 QuarantineFile('C:\Program Files\Common Files\PAP7501\SNAPSHOT.exe','');
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('F:\копия б.к.29.11.2010.exe','');
 QuarantineFile('F:\DCIM.exe','');
 QuarantineFile('G:\DCIM.exe','');
 QuarantineFile('G:\ООО Арго.exe','');
 QuarantineFile('G:\ИП Бредихин А.В.exe','');
 QuarantineFile('G:\ИП Коцкий.exe','');
 DeleteFile('G:\ИП Коцкий.exe');
 DeleteFile('G:\ИП Бредихин А.В.exe');
 DeleteFile('G:\ООО Арго.exe');
 DeleteFile('G:\DCIM.exe');
 DeleteFile('F:\DCIM.exe');
 DeleteFile('F:\копия б.к.29.11.2010.exe');
 DeleteFile('F:\autorun.inf');
RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\MSrtn');
DeleteFileMask('C:\Documents and Settings\Loner\Application Data\winxrar','*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
ExecuteRepair(10);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Сделайте новый лог полного сканирования MBAM.

[breal2004]

Одна флэшка очистилась (диск G), вторая по прежнему недоступна (диск F). Во время выполнения скрипта появлялось все то же сообщение о защите диска от записи. Лог MBAM прилагаю, а вот карантин не загружается почему-то. может попробовать другим способом?

[zirreX]

Вирус тут не при чем. Флешка случаем не с механической защитой от записи в виде переключателя?

Если нет, то вам сюда, http://flashboot.ru/index.php?name=N...article&sid=22. Если что-то непонятно, обращайтесь.

Цитата breal2004:

карантин не загружается почему-то. может попробовать другим способом? »

Отправьте карантин мне в PM.

[breal2004]

Стыдно признаться, вторая флэшка действительно оказалась с переключателем. Просканировал систему - вроде теперь чисто. Спасибо большое.

Если карантин интересен, могу прислать завтра - пишу с другого компьютера.

[zirreX]

Не за что, рад был помочь. Карантин все-таки вышлите.

Выполните Рекомендации после лечения.

[breal2004]

Добрый вечер. Высылаю карантин. (вот только запускал сканирование при загрузке авастом, интересующие вас файлы не могли удалиться?)