[SolarSpark]

радмином пользуетесь? если да, меняйте/ставьте сложный ПАРОЛЬ если нет, деинсталлируйте
меняйте пароли на платежные системы и онлайнбанкинги

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\system32\ipz.tmp','');
QuarantineFile('C:\WINDOWS\system32\ipz2.exe','');
QuarantineFile('C:\WINDOWS\system32\cam2_sv.exe','');
QuarantineFile('C:\WINDOWS\system32\runkgb.lnk','');
 DeleteFile('C:\WINDOWS\system32\runkgb.lnk');
 DeleteFile('C:\WINDOWS\system32\cam2_sv.exe');
 DeleteFile('C:\WINDOWS\system32\ipz2.exe');
 DeleteFile('C:\WINDOWS\system32\ipz.tmp');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\cam2_sv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Program Files\KGB\Mpk.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Program Files\KGB\MpkView.exe');
DeleteFileMask('C:\Program Files\KGB', '*', true);
 DeleteDirectory('C:\Program Files\KGB');
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\MPK', '*', true);
  DeleteDirectory('C:\Documents and Settings\All Users\Application Data\MPK');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 ExecuteRepair(3);
 ExecuteRepair(4);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему


Сделайте повторные логи AVZ + RSIT
+
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[regist]

+ not-a-virus:Server-FTP.Win32.SFH.a устанавливали ?
KGBSpy использовали ?

C:\WINDOWS\system32\rebuild.exe - этот файл вам знаком ?

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

[SolarSpark]

Перед тем как делать новые логи, повторите скрипт AVZ из поста 2, я его поправила

[inn8787]

Все выполнено.

[regist]

inn8787, пока не всё, ждём ещё лог полного сканирования MBAM

+

Цитата regist:

+ not-a-virus:Server-FTP.Win32.SFH.a устанавливали ? KGBSpy использовали ? + Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: »

[inn8787]

Цитата regist:

+ not-a-virus:Server-FTP.Win32.SFH.a устанавливали ? KGBSpy использовали ? C:\WINDOWS\system32\rebuild.exe - этот файл вам знаком ? »

Мне не знакомо. Когда произошло вторжение в комп, дочка смотрела мультики с диска, говорит, что ничего не нажимала.

[SolarSpark]

Цитата SolarSpark:

Перед тем как делать новые логи, повторите скрипт AVZ из поста 2, я его поправила »

пожалуйста повторите скрипт и переделайте логи

[inn8787]

Логи переделаны.

[inn8787]

Цитата regist:

архив с именем virusinfo_files_<имя_ПК>.zip »

http://webfile.ru/6397357