[S.R]

Добрый вечер. Сейчас посмотрю логи.

[диман]

Вот еще пара скринов:
1 - появляется при обновлении окна форума
2 - появляется при открытии других окон

[S.R]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\28A.tmp','');
 QuarantineFile('C:\WINDOWS\system32\28B.tmp','');
 QuarantineFile('C:\WINDOWS\system32\cpldapu\produkey.exe','');
 QuarantineFile('C:\WINDOWS\system32\cgqpwvf.dll','');
 QuarantineFile('C:\WINDOWS\system32\calc.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe','');
 DeleteFile('C:\WINDOWS\system32\28A.tmp');
 DeleteFile('C:\WINDOWS\system32\28B.tmp');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe');
 DeleteFile('C:\WINDOWS\system32\cgqpwvf.dll');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Карантин сохранится в папке с AVZ. Отошлите его через веб-форму.

После этого сделайте новые логи.

Вам знакомы эти DNS:

Код:

111.112.113.114
211.212.213.214
195.34.32.116
212.188.4.10

[диман]

DNS не знакомы. карантин отправил.
За что в немилость попали калькулятор и produkey.exe
На файлы cgqpwvf.dll, 28A.tmp, 28B.tmp грешил с самого начала. В системе еще остались файлы которые причастны к проблеме согласно этому описанию:

Цитата:

Как уточняют в компании, один из подтвержденных методов распространения этой вредоносной программы – рассылка в социальной сети «В контакте», рекламирующая программу для просмотра посещающих страницу пользователя гостей. В описании программы есть ссылка, по которой и загружается троянец. Запустившись на инфицированном компьютере, он создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временную папку под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в папку C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.

Как с ними быть?

[S.R]

Сделайте новые логи.

[диман]

сделал

[alex_sev]

Держите Ваши produkey c калькулятором и больше не теряйте

http://webfile.ru/5618977

[диман]

alex_sev, да собственно я бы спокойно пережил эту потерю. Но все равно спасибо.

[S.R]

диман, вредоносные файлы запакуйте в архив с паролем "virus' без кавычек и отправьте по форме

• Скачайте Malwarebytes' Anti-Malware, установите, обновите базы
• Выберите Полное сканирование, нажмите Сканирование. Отметьте только локальные диски и флешки
• После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению