[werdexx]

Дополню: В процессах висит mspaint, заблокирован cmd? в некоторых файлах расположение файла выглядит так:

Цитата:

%SystemRoot%\system32\cmd.exe /c "%SystemRoot%\explorer.exe %cd%.Trashes & start %cd%KlGEEybKdatOuxW.exe & exit"

Большую часть файлов не открывает

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Users\aio\AppData\Roaming\Microsoft\Btuaub.exe','');
 QuarantineFile('C:\Users\aio\AppData\Roaming\Microsoft\Wtuauw.exe','');
 QuarantineFile('C:\Users\aio\AppData\Roaming\ScreenSaverPro.scr','');
 DeleteFile('C:\Users\aio\AppData\Roaming\Microsoft\Btuaub.exe');
 DeleteFile('C:\Users\aio\AppData\Roaming\Microsoft\Wtuauw.exe');
 DeleteFile('C:\Users\aio\AppData\Roaming\ScreenSaverPro.scr');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Btuaub');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Wtuauw');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:


Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
-----------------------------------------------------------------------

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки.
3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
5. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ;uVS v3.73 script [http://dsrt.dyndns.org]
   
   adddir %SystemDrive%\USERS\aio\APPDATA\ROAMING
   crimg

6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат"имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

9. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

10. Подробнее читайте в руководстве Как подготовить лог UVS

[werdexx]

Файл quarantine.zip отправил, лог uVS прикрепил

upd// прошу обновить, ибо залил не тот лог uVS

[regist]

werdexx, похоже вы не дождались окончания создания образа (он повреждён). Пожалуйста дождитесь окончания работы утилиты, при этом если в системе установлен архиватор, то по окончанию образ будут автоматически упакован в архив.

[werdexx]

Цитата regist:

werdexx, похоже вы не дождались окончания создания образа (он повреждён). Пожалуйста дождитесь окончания работы утилиты, при этом если в системе установлен архиватор, то по окончанию образ будут автоматически упакован в архив. »

Тогда, возможно вам нужен вот этот файл, я надеюсь.

[regist]

Вы заражены файловым вирусом, пожалуйста пролечитесь как указано в этой теме Как вылечить систему от файлового вируса? а после этого сделайте и прикрепите новые логи.

[werdexx]

ooh.. Не получается запустить live cd usb .. Сначала возникала ошибка

Цитата:

Preparing the LiveCD environment... Press Alt+F1 for verbose mode

Сейчас же, вообще не находит флешку, пишет:

Цитата:

reboot and select proper boot device бла бла бла

..
Не знаю что и делать

Попробую Kaspersky Rescue Disk 10, может что и выйдет.

[werdexx]

Все оказалось куда проще, я тупанул что-то ><
Вообщем, как говорит dr.web Neshta он вылечил. Прикрепляю новые логи:

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ;uVS v3.80.2 script [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   
   ; C:\USERS\AIO\APPDATA\ROAMING\TEMP.BIN
   addsgn A7679B1991A64F4FD7B4EFB165F5CAC1648AFFCB5D395E78ACFE31D811D6F819C79CDE8FFA149D7236DC41DE46635BF97867B23355FBB5F4CA36A4C4F1724E93 8 Backdoor.Win32.Androm.wvn [Kaspersky]
   
   zoo %SystemDrive%\USERS\AIO\APPDATA\ROAMING\TEMP.BIN
   bl 09E8C84AEA5894693D0E15D5A9D974A6 114176
   ; zoo %SystemDrive%\USERS\AIO\APPDATA\ROAMING\TEMP.BIN
   delall %SystemDrive%\USERS\AIO\APPDATA\ROAMING\MICROSOFT\WTUAUW.EXE
   chklst
   delvir
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
   

   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

сделайте новый образ автозапуска uVS .

+ лог log.txt от RSIT тоже свежий сделайте.