[iskander-k]

Временно отключите:
Антивирус/Файерволл



• Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

 begin
  QuarantineFile('C:\Documents and Settings\Миша\Application Data\36.exe','');
  DeleteFile('C:\Documents and Settings\Миша\Application Data\36.exe');
  DeleteFileMask('C:\Documents and Settings\Миша\Application Data\*.exe', '*.*',false); 
  DeleteFileMask('C:\Documents and Settings\Миша\Application Data\MicroST', '*.*', true);
  DeleteFileMask('C:\8aOSP5YR85OBv4j', '*.*', true); 
 DeleteDirectory('C:\8aOSP5YR85OBv4j');
 DeleteDirectory('C:\Documents and Settings\Миша\Application Data\MicroST');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

[tybul]

Цитата iskander-k:

Сделайте повторные логи AVZ + RSIT Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. »

[alex_sev]

Повторите сканирование в MBAM и удалите все кроме следующих строк:

Код:

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Затем:

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Миша\Application Data\netprotocol.exe','');
 QuarantineFile('C:\Documents and Settings\Миша\Application Data\elro.exe','');
 DeleteFile('C:\Documents and Settings\Миша\Application Data\netprotocol.exe');
 DeleteFile('C:\Documents and Settings\Миша\Application Data\elro.exe');
 DeleteFileMask('C:\Documents and Settings\Миша\Application Data\8aOSP5YR85OBv4j', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Миша\Application Data\8aOSP5YR85OBv4j');
 DeleteFileMask('C:\Recycle.Bin\', '*.exe', true);
 DeleteFileMask('C:\Documents and Settings\Миша\Application Data\', '*.exe', false);
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221'); 
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\RegistryMonitor1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.


Подготовьте лог OTL by OldTimer и лог OSAM

[tybul]

Цитата alex_sev:

Подготовьте лог OTL by OldTimer и лог OSAM »

OTL не запустился на том компьютере - в диспетчере задач висит но интерфейса нет.
Лог OSAM не удалось проанализировать из-за отсутствия интернета на том компьютере поэтому он полный.

[alex_sev]

Готовьте тогда лог HJT раз OTL не запускается

[tybul]

Цитата alex_sev:

Готовьте тогда лог HJT раз OTL не запускается »

HJT тоже глючит, вот на этом этапе виснет

[iskander-k]

Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

[tybul]

Цитата iskander-k:

Сделайте еще лог Universal Virus Sniffer (UVS) »

[tybul]

Всем спасибо за помощь.
Буду переустанавливать систему - друг ждет.