Опять вирус, помогите

Опять вирус, помогите

Отключите антивирус и интернет!

[URL="http://www.majorgeeks.com/Icesword_d5199.html"]Скачать[/URL],меню,File,появится аналог проводника,найти:

[CODE]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winbg04.sys[/CODE]

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\DOCUME~1\05A2~1\LOCALS~1\Temp\loader.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winej51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbf61.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\docker19.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winbg04.sys','');
QuarantineFile('C:\WINDOWS\twain_1d.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\services.exe','');
QuarantineFile('c:\windows\msauc.exe','');
TerminateProcessByName('c:\windows\msauc.exe');
TerminateProcessByName('c:\windows\services.exe');
DeleteService('Winej51');
DeleteService('Winbf61');
DeleteService('Winbg04');
DeleteService('WmiApSrvSpooler');
DeleteService('WmdmPmSNCryptSvc');
DeleteService('ThemesWebClient');
DeleteService('SENSRpcSs');
DeleteService('SCardSvrseclogon');
DeleteService('PolicyAgentmnmsrvc');
DeleteService('docker19');
DeleteService('gusvcWebClient');
DeleteFile('c:\windows\msauc.exe');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\twain_1d.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winbg04.sys');
DeleteFile('C:\WINDOWS\system32\drivers\docker19.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbf61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej51.sys');
DeleteFile('C:\DOCUME~1\05A2~1\LOCALS~1\Temp\loader.exe');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('WinCtrl32.dll');
DelCLSID('{53B95212-7D77-11D2-9F80-00104B107C97}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winej51');
BC_DeleteSvc('Winbf61');
BC_DeleteSvc('Winbg04');
BC_DeleteSvc('WmiApSrvSpooler');
BC_DeleteSvc('WmdmPmSNCryptSvc');
BC_DeleteSvc('ThemesWebClient');
BC_DeleteSvc('SENSRpcSs');
BC_DeleteSvc('SCardSvrseclogon');
BC_DeleteSvc('PolicyAgentmnmsrvc');
BC_DeleteSvc('docker19');
BC_DeleteSvc('gusvcWebClient');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

Высылаю новые логи

Высылаю новые логи

C:\WINDOWS\system32\userinit.exe - нужно заменить на чистый с другой машины или дистрибутива ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Winvb61');
BC_DeleteSvc('Winuy37');
BC_DeleteSvc('Winej73');
BC_DeleteSvc('wscsvcVSS');
BC_DeleteSvc('ThemesWebClientW32Time');
BC_DeleteSvc('ServiceLayerBITS');
BC_DeleteSvc('LmHostsThemes');
BC_DeleteSvc('lanmanserverMSIServer');
BC_DeleteSvc('HidServSysmonLog');
BC_DeleteSvc('gusvcxmlprov');
BC_DeleteSvc('dmserverBITS');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuy37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb61.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...

Повторил логи

Повторил логи

пофиксите ...
[code]
O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - (no file)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/code]
больше ничего подозрительного ...

Спасибо

Спасибо