[iskander-k]

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\CONFLICT.1\iftw.dll','');
 QuarantineFile('C:\Documents and Settings\Татьяна\jiri.exe','');
 QuarantineFile('c:\windows\system32\012db.tmp','');
 DeleteFile('c:\windows\system32\012db.tmp');
 DeleteFile('C:\Documents and Settings\Татьяна\jiri.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable');
DeleteService('zfgvbh');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

O2 - BHO: (no name) - {99E00A4C-D35E-11DD-BA95-9B6A56D89593} - (no file)
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\Documents and Settings\Татьяна\jiri.exe

После скрипта АВЗ строчек для фикса может не быть.

программу LoviVkontakte вы сами устанавливали ?

Далее

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Потом..
• Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

[seman]

лог гмера, проверялся 14 часов.
нашел руткиты.

[Drongo]

seman, Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service gueea
gmer.exe -del service ihruuy
gmer.exe -del service jjluci
gmer.exe -del service kfroiyvn
gmer.exe -del service lrpnttedx
gmer.exe -del service mmtkesb
gmer.exe -del service pdsjbnt
gmer.exe -del service vebuq
gmer.exe -del file "C:\WINDOWS\system32\ehpiy.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vebuq"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pdsjbnt"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mmtkesb"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lrpnttedx"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kfroiyvn"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jjluci"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ihruuy"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gueea"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\vebuq"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\pdsjbnt"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\mmtkesb"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\lrpnttedx"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kfroiyvn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\jjluci"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ihruuy"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gueea"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

[iskander-k]

А лог МБАМ делали ?

[seman]

Цитата iskander-k:

А лог МБАМ делали ? »

выкладываю. лог гмера не смог сделать, пробЫвал 3 раза, перезагружается на проверке.

[seman]

лог combofix

[iskander-k]

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.

Код:

KillAll::

File::
c:\windows\system32\drivers\vdezmtgy.sys
c:\windows\system32\drivers\bgxt.sys


NetSvc::
hetrdquz
mmtkesb
ihruuy
lrpnttedx
kfroiyvn
jjluci
vebuq
pdsjbnt
gueea

Driver::
scjqku
hetrdquz
mmtkesb
ihruuy
lrpnttedx
kfroiyvn
jjluci
vebuq
pdsjbnt
gueea
Folder::


DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Проверьте

Код:

c:\program files\bf2142.rar  
c:\program files\FlyffLoader.exe   
c:\program files\DialogLogo128x128.jpg

[seman]

iskander-k
лог Combofix

Цитата iskander-k:

c:\program files\bf2142.rar c:\program files\FlyffLoader.exe c:\program files\DialogLogo128x128.jpg »

все чисто

[iskander-k]

Цитата seman:

все чисто »

Тем не менее файлам (.rar .exe и так далее) в этой директории делать нечего. Обычно там только папки с программами.

Что с проблемой ?