[A_kitten]

День добрый!
"а все последующие обновления поставили?" - Да, через сайт Microsoft.
Файл ComboFix прилагаю.
Деинсталлировала ComboFix.
Выполнила OTC и Rsit, прилагаю протоколы.
"Каспер ругается на зловредов, сидящих в папках "корзина" и "system volume information\_restore" - мне самой не понятно эта проблема, я делала все по инструкции. Я даже отключала "создание восстановление системы на всех дисках" в "Свойствах" "Моего компьютера", но при просмотре папки "system volume information\_restore" через Far я не могу почистить файл ISwift3.dat от 13 апреля 2011г. Именно этот файл я удалить не могу, а остальные удаляются без проблем.
"Очистите кэш память браузеров" - выполнила.
"MBAM" - выполнила. Протокол прилагаю.
Также прилагаю протокол Касперского.
Спасибо.

[SolarSpark]

Цитата A_kitten:

Именно этот файл я удалить не могу, »

и не надо, этот файл создаёт драйвер KLIF.SYS Касперского

проверимся на руткиты
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием GMER
приостановить их работу для корректной работы утилиты

[iskander-k]

Скачайте на заведомо рабочем компьютере один из предоставленых загрузочных дисков Dr.Web LiveCD, Лаборатории Касперского, Live CD Vba32 Rescue, Avira GmbH, запишите образ на CD-диск, загрузитесь с него и проверьте компьютер из-под выбраного LiveCD. Если по каким-то причинам(маленькая скорость или лимитный интернет) у вас не будет возможности скачать загрузочные образы, можно скачать CureIT или Kaspersky Virus Removal Tool, также на здоровом компьютере и запишите на флешку, после записи, установите флешку в защиту от перезаписи и проверьте компьютер утилитами.

[A_kitten]

День добрый!
Для SolarSpark - Выполнила.
"При появлении окна с сообщением о деятельности руткита..." Дополнительных окон с обнаруженными руткитами и предложением что-то ответить" не было.
Скан выполнила, логи прилагаю.
" При появлении окна с сообщением о деятельности руткита, нажмите OK." - Никаких окон не было.
Прилагаю также утренний протокол Каспера.
Для iskander-k, скачивала и проверяла с помощью Dr.Web LiveCD и CureIT. Протоколы чистые, Если надо, то выложу, где еще искать?

[SolarSpark]

Добрый день. A_kitten, чисто в гмер, он нам не помог

Для деинсталяции Gmer используйте следующие рекомендации:
Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd

Далее, вопрос: В настройках антивируса выставлено лечение/удаление или только обнаружение?

Все таки продолжаю думать, что заражена вся сетка из 8 компьютеров, оттуда и идет перезаражение.
Настаиваю на лечении каждого компьютера по отдельности с отключением от сети или всей сети разом (утилиту давала).

Отключаем в обязательном порядке автозапуск со всех дисков, кроме CDROM. Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000DF

[A_kitten]

Продолжаю.
Файла gmer_uninstall.cmd в папке C:\WINDOWS\ не нашла, смотрела через проводник и Far.
"В настройках антивируса выставлено лечение/удаление или только обнаружение?" - в KIS везде стоит "Выбирать действие автоматически", а в отчетах в графе "Дествие" - ничего, т.е. сообщение, что "Обнаружено" и никакой дальнейшей обработки. Сейчас я установила "Лечить, Удалять неизлечимые".
"Настаиваю на лечении каждого компьютера по отдельности с отключением ", соглашусь. Сегодня на ночь постараюсь оставить все машины на проверку CurelT, предварительно отключив их отсети. Автозапуск отключен.
Сегодня на 15-00 KIS обнаружил только 140 заразок, приятно, что статистика падает. Спасибо. Завтра отпишусь.

[SolarSpark]

Цитата A_kitten:

Автозапуск отключен. »

я так не думаю

Цитата:

Мастер поиска и устранения проблем >> Разрешен автозапуск со сменных носителей

примените рекомендуемый мною твик реестра

Цитата A_kitten:

Сейчас я установила "Лечить, Удалять неизлечимые". »

вот и причина хотьбы по кругу с инфекцией

Цитата A_kitten:

Сегодня на ночь постараюсь оставить все машины на проверку CurelT »

ждем результаты

Памятка для работы в интернете (принципы защиты корпоративных сетей и ПК в частности)

*Для защиты рабочих станций можно принимать такие меры, как установка антивирусных программ (антивирусов), жесткий контроль за новыми программами с помощью антивирусов. Задача предотвращения распространения вирусов с одной рабочей станции на остальные решается прежде всего правильной организацией доступа пользователей к сетевым ресурсам.

*В централизованных сетях необходимо защищать от проникновения вирусов, с одной стороны, рабочие станции, с другой – файл-серверы. Защита файл-сервера может выполняться как административными мерами, так и с помощью специальных антивирусных программ, работающих в среде сетевой операционной системы.

*В комбинированных сетях административные меры подразумевают правильное распределение прав доступа пользователей к сетевым каталогам, расположенным на дисках сервера. Необходимо также принимать специальные меры предосторожности при подключении к сети пользователей с правами администратора, так как администраторы имеют права на запись в любые каталоги.
Здесь вирусы могут распространяться как непосредственно между рабочими станциями, так и через диски серверов. При этом вирусы могут попадать на диски, доступные для записи, или могут пытаться подобрать пароли для получения доступа к дискам, защищенным от записи.
Тем не менее, можно и нужно создать мощную защиту, если позаботиться о правильном распределении прав доступа к сетевым каталогам. В частности, следует защитить от записи каталоги с программами, которые доступны для запуска всем пользователям.

*Определяемся с отключением автозапуска с носителей и выбором антивирусного ПО и firewall.
Антивирусы защищают сеть от вирусов, a firewall обороняет периметр сети от проникновения злоумышленников извне и отправки ложных данных изнутри. По принципам работы firewall напоминает дверь, через которую пропускается строго определенная информация.
Межсетевые экраны особенно необходимы в том случае, когда в компании работает собственный почтовый сервер и web-сервер.
Следить за своевременностью полных проверок и обновлением баз антивируса.

*По возможности не работать с правами администратора.
*Пароль админа должен содержать не менее 10 символов, пользователя - не менее 6.
*В настройках проводника - свойства папки- вид - снять галку "скрывать расширение зарегистрированных типов файлов".
*При работе в сети любые скаченные файлы из интернета подвергать проверке антивирусным ПО.
*Не скачивать обновления ОС и программ, установленных на вашем компьютере с сайтов отличных от сайтов производителей.
*Не посещайте сайты сомнительного и откровенно рекламного содержания.
*Никогда не открывайте ссылки или файлы, пришедшие по почте, если их получение вами не подтверждено отправителем.
*Никогда Не заходите (тем более на работе) в социальные сети (Вконтакте, Одноклассники и т.д.) через ссылки, пришедшие по почте.
*При использовании Internet Explorer отключить в нем ActiveX и настроить безопасность.
*При использовании Firefox пользоваться плагином NoScript.
*При пользовании флешнакопителями удостоверяемся в их безопасности.
________________________________________________
P.S. этот список рекомендаций, конечно, не полный.
Эти элементарные правила безопасности необходимо выполнять и следить за выполнением правил другими участниками сети.

[A_kitten]

День добрый! Проверила все (8) машины свежескачанной DrWeb CureIt. Три дали сообщение о том, что файл HOST модифицирован с предложением его восстановить. Везде восстановила этот файл, протоколы на всех машинах сообщили, что "Вирусы не обнаружены".
Изменение параметров на "Лечить, удалять неизлечимые" ситуацию не изменило, KIS сигналит об обнаруженных, но графа "Действие" чистая. Пока больше добавить нечего.

[thyrex]

1. Отключите самозащиту в антивирусе: Настройка - Параметры - Самозащита - уберите галку с Включить самозащиту.
2. Выгрузите антивирус из памяти
3. Зайдите в папку C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP11\Report и удалите файлы detected.idx и detected.rpt
4. Перезапустите антивирус
5. Включите самозащиту

Проблема решена?

[SolarSpark]

Добрый.

Если проблема не решится после настроек Антивируса от thyrex

Цитата A_kitten:

Три дали сообщение о том, что файл HOST модифицирован »

на этих трех
Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли

Чистим именно так, а не ручками

Проверяем наличие IE8 и SP3. Service Pack 3 (может потребоваться активация)

Если не стоят-устанавливаем и обновляем.

Теперь там, где ругается Каспер

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

procedure ClearSystemRestore;
var
  Script: TStringList;
  winName: string;
begin
  if IsNT then
    begin
      winName := UpperCase(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion', 'ProductName'));
      case (Pos('WINDOWS VISTA', winName) > 0) or (Pos('WINDOWS 7', winName) > 0) of
        True:
          begin
            ExecuteFile('wmic', 'shadowcopy delete', 0, 60000, False);
            ExecuteFile('wmic', '/Namespace:\\root\default Path SystemRestore Call CreateRestorePoint "PointSafeZone", 100, 12', 0, 60000, False);
          end;
        False:
          begin
            Script := TStringList.Create;
            Script.Add(
              'Set objSR = GetObject("winmgmts:\\.\root\default:SystemRestore")' + #13#10 +
              'dResult = objSR.Disable("")' + #13#10 +
              'WScript.Sleep 5000' + #13#10 +
              'eResult = objSR.Enable("")' + #13#10 +
              'WScript.Sleep 5000' + #13#10 +
              'Set wshEnv = CreateObject("WScript.Shell").Environment("Process")' + #13#10 +
              'sysDrive = wshEnv("SYSTEMDRIVE")' + #13#10 +
              'Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")' + #13#10 +
              'For Each objDisk In objWMI.ExecQuery("Select DeviceID From Win32_LogicalDisk Where DriveType = 3")' + #13#10 +
              'If objDisk.DeviceID <> sysDrive Then objSR.Disable objDisk.DeviceID & "\"' + #13#10 +
              'Next');
            Script.SaveToFile('ClearSR.vbs');
            ExecuteFile('wscript.exe', 'ClearSR.vbs', 0, 60000, True);
            DeleteFile('ClearSR.vbs');
            ClearLog;
            Script.Free;
          end;
      end;
    end;
end;

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1214\t7vd.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9043\jwkd.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6883\dfe.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8333\lsvb.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\nddwqfw1.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041543.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041544.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041545.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041547.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041546.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043681.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043684.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043685.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043687.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043682.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043689.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043683.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043688.exe','');
QuarantineFile('C:\xdx.exe','');
QuarantineFile('C:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\1kpyocff\ms96[1].exe','');
QuarantineFile('C:\documents and settings\материалист\bnet.exe/PE_Patch/UPX','');
QuarantineFile('C:\documents and settings\материалист\serv.exe/PE_Patch/UPX','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043680.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043679.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043676.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043675.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp291\a0043673.exe','');
QuarantineFile('C:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\newdqw1.exe','');
QuarantineFile('C:\new1.exe','');
QuarantineFile('C:\ndqw1.exe','');
QuarantineFile('C:\ndqfw1.exe','');
QuarantineFile('C:\documents and settings\материалист\serv8.exe','');
QuarantineFile('C:\documents and settings\материалист\mss.exe','');
QuarantineFile('C:\documents and settings\материалист\ms.exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\xxudv[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\t209[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\sword[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\serv8[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\ms[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\dq[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\xxudv[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\t173[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\serv8[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\ms2[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\lmq[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\bnet[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\4penc5iz\ms[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\4penc5iz\mix[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\4penc5iz\gamez[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\4penc5iz\dq[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\xudv[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\udv[2].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\udv[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\t50[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\t122[1].exe','');
QuarantineFile('C:\documents and settings\материалист\hddd.exe','');
QuarantineFile('C:\documents and settings\материалист\hdcd.exe','');
QuarantineFile('C:\documents and settings\материалист\few.exe','');
QuarantineFile('C:\documents and settings\материалист\dq.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1214\t7vd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9043\jwkd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6883\dfe.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8333\lsvb.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\nddwqfw1.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041543.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041544.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041545.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041547.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041546.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043681.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043684.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043685.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043687.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043682.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043689.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043683.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043688.exe');
DeleteFile('C:\xdx.exe');
DeleteFile('C:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\1kpyocff\ms96[1].exe');
DeleteFile('C:\documents and settings\материалист\bnet.exe/PE_Patch/UPX');
DeleteFile('C:\documents and settings\материалист\serv.exe/PE_Patch/UPX');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043680.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043679.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043676.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043675.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp291\a0043673.exe');
DeleteFile('C:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\newdqw1.exe');
DeleteFile('C:\new1.exe');
DeleteFile('C:\ndqw1.exe');
DeleteFile('C:\ndqfw1.exe');
DeleteFile('C:\documents and settings\материалист\serv8.exe');
DeleteFile('C:\documents and settings\материалист\mss.exe');
DeleteFile('C:\documents and settings\материалист\ms.exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\xxudv[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\t209[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\sword[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\serv8[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\ms[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\dq[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\xxudv[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\t173[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\serv8[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\ms2[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\lmq[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\bnet[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\4penc5iz\ms[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\4penc5iz\mix[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\4penc5iz\gamez[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\4penc5iz\dq[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\xudv[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\udv[2].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\udv[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\t50[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\t122[1].exe');
DeleteFile('C:\documents and settings\материалист\hddd.exe');
DeleteFile('C:\documents and settings\материалист\hdcd.exe');
DeleteFile('C:\documents and settings\материалист\few.exe');
DeleteFile('C:\documents and settings\материалист\dq.exe');
ClearSystemRestore;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы


И отписываемся о самочувствии + новый отчет касперского