[ruen]

Severny, cпасибо за помощь! Раньше ответить не мог. Force Delete делал, ещё строки добавил, комп не мой, как понимаешь,- у себя я такого не допускаю, повторных логов не могу сделать нет доступа к машине.

[Saule]

Цитата Severny:

З.Ы. Граждане, у кого схожая проблема, не выполняйте эти скрипты. Они для каждого компа свои.

Общая инструкция по удалению WinCtrl32.dll

[ruen]

Посмотрите плз, эти логи. Карантин получился огромный. Отправили новыйвирус@касперский.ком ответа пока нет.
Авз на это заругалась C:\Documents and Settings\Gal\Local Settings\Temp\GoogleToolbarInstaller_ru.exe и ещё много на что.

[Severny]

Пофикси в HijackThis строку

Код:

O4 - HKUS\S-1-5-21-1078081533-492894223-1060284298-1003\..\Run: [srvreg] C:\WINDOWS\system32\srvreg.exe (User 'Gal')

В AVZ меню Сервис - Аctive Setup
удали значение

Код:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

В AVZ меню Файл - Выполнить скрипт. Скопируй код и нажми "Запустить".

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\srvreg.exe','');
 QuarantineFile('C:\Documents and Settings\Gal\Local Settings\Temp\GoogleToolbarInstaller_ru.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
 DeleteFile('E:\autorun.inf');
 DeleteFile('C:\Documents and Settings\Gal\Local Settings\Temp\GoogleToolbarInstaller_ru.exe');
 DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_Activate;
RebootWindows(true);
end.

Папку карантин в AVZ запакуй и вышли в PM.
Повтори логи.

[ruen]

virusinfo_syscure.zip sendspace.com/file/8ht3bo
virusinfo_syscheck.zip sendspace.com/file/3ivowk

Из оставшихся проблем, только одна: некий вирус создал учётную запись, которую не получается удалить. и в трее вместо часов надпись "fool"

[Pili]

ruen, Вы видимо снова вставили зараженную флешку.
Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('H:\csrss.exe','');
 QuarantineFile('H:\autorun.inf','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
 DeleteFile('H:\autorun.inf');
 DeleteFile('H:\csrss.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}  ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на newvirus@kaspersky.com, ответ сообщите
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Для защиты от вирусов типа autorun.inf
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Дополнительно можно скачать и запустить утилиту (не забудьте подключить флешки и/или другие съемные носители) Flash Drive Disinfector - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Повторите логи, логи желательно выкладывать здесь.
По удалению пользователя - net user name_user /delete
Использование команды « net user »

[ruen]

Всё правилно, больной признался, что он подключал флешку, хотя я предупреждал, чтобы только через "шифт", и правым кликом проверял касперским.((( Новые логи. По моему, кроме мусора на Е:\, нет ничего опасного. Спасибо ещё раз! Тему можете закрывать. Буду обращаться в случае чего за консультацией, если не против.

[Pili]

ruen, в логах чисто, кроме кряка к FlashGet придраться не к чему

Цитата:

Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

Это видимо не выполнялось

[ruen]

Это после выполнения скриптов №3 и №2 сделали. А надпись из трея убрали:
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat : вместо "fool", поставили- HH:mm:ss