Помогите

Сообщения в IE об интернет атаках при попытках открыть какую-либо страницу,требуется зарегестрировать SystemCop. Если отказываешься,страница открывается,если-нет,то сразу переводит на страницу оплаты. Программа устанавливалась ненадолго,потом ее убрали и,как видно,не до конца. еще каждые 2-3 минуты справа и слева по углам экрана появляются сообщения об атаках. В трее появился значок:красный щит с крестом.
Помогите,пожалуйста,вычистить остатки программы.
Все вроде сделал по Правилам.

C таким количеством зверья не уверен, что все добавил :)

Пофиксить в HiJack
[code] F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - (no file)
[/code]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\WINDOWS\system32\z5d7sp9ware2204.cpl','');
QuarantineFile('G:\WINDOWS\10fzvir25795.cpl','');
QuarantineFile('G:\WINDOWS\TEMP\tempo-46405484.tmp.exe','');
DeleteService('WZCSVCImapiService');
DeleteService('wuauservIDriverTRemoteAccess');
DeleteService('WebClientProtectedStorage');
DeleteService('RpcLocator Driver HPZ12');
DeleteService('NetmanWmiApSrv');
DeleteService('NeroVSShelpsvcwuauservIDriverTRemoteAccess');
DeleteService('NeroVSS');
DeleteService('IDriverTRemoteAccess');
DeleteService('helpsvcwuauservIDriverTRemoteAccess');
DeleteService('dmserverSENS');
TerminateProcessByName('g:\windows\system32\ocj23xnh.exe');
QuarantineFile('g:\windows\system32\ocj23xnh.exe','');
DeleteFile('g:\windows\system32\ocj23xnh.exe');
DeleteFile('р%Ђ|x srv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ocj23xnh.exe');
DeleteFile('G:\WINDOWS\TEMP\tempo-46405484.tmp.exe');
DeleteFileMask('G:\WINDOWS', '*.cpl', false);
DeleteFile('G:\WINDOWS\system32\10526not-a-zirus6159.cpl');
DeleteFile('G:\WINDOWS\system32\114795roj7f4z.cpl');
DeleteFile('G:\WINDOWS\system32\11563zi5us59c9.cpl');
DeleteFile('G:\WINDOWS\system32\1399zwo5m304.cpl');
DeleteFile('G:\WINDOWS\system32\15285virus6zd9.cpl');
DeleteFile('G:\WINDOWS\system32\15749viru95bz.cpl');
DeleteFile('G:\WINDOWS\system32\15877worm4zd9.cpl');
DeleteFile('G:\WINDOWS\system32\15954zp5mbot598.cpl');
DeleteFile('G:\WINDOWS\system32\15z1v5r25659.cpl');
DeleteFile('G:\WINDOWS\system32\1658addwar9z31.cpl');
DeleteFile('G:\WINDOWS\system32\16752wozm9d5.cpl');
DeleteFile('G:\WINDOWS\system32\16961spa5bozbb.cpl');
DeleteFile('G:\WINDOWS\system32\1atzief6549.cpl');
DeleteFile('G:\WINDOWS\system32\1b1ath9efz65.cpl');
DeleteFile('G:\WINDOWS\system32\1z8969irus54c.cpl');
DeleteFile('G:\WINDOWS\system32\21153vzrus5d19.cpl');
DeleteFile('G:\WINDOWS\system32\z9739hack5ool62d.cpl');
DeleteFile('G:\WINDOWS\system32\z6319pyware5581.cpl');
DeleteFile('G:\WINDOWS\system32\z5d7sp9ware2204.cpl');
DeleteFile('G:\WINDOWS\system32\z415v9r827.cpl');
DeleteFile('G:\WINDOWS\system32\z1aedow9loade52065.cpl');
DeleteFile('G:\WINDOWS\system32\z122sparse20549.cpl');
DeleteFile('G:\WINDOWS\system32\f9dadd59ze661.cpl');
DeleteFile('G:\WINDOWS\system32\9f1ddo5nloader2983z.cpl');
DeleteFile('G:\WINDOWS\system32\9bddownlzader2585.cpl');
DeleteFile('G:\WINDOWS\system32\9a1zvir859.cpl');
DeleteFile('G:\WINDOWS\system32\9912bac5door2759z.cpl');
DeleteFile('G:\WINDOWS\system32\9751spamb5t2d7z.cpl');
DeleteFile('G:\WINDOWS\system32\9576ztroj429.cpl');
DeleteFile('G:\WINDOWS\system32\9366not-a-zi5us2eb.cpl');
DeleteFile('G:\WINDOWS\system32\932785orm4cz.cpl');
DeleteFile('G:\WINDOWS\system32\9086z5irus1d9.cpl');
DeleteFile('G:\WINDOWS\system32\7191vir5710z.cpl');
DeleteFile('G:\WINDOWS\system32\6a54s9arse1z83.cpl');
DeleteFile('G:\WINDOWS\system32\677aspyw5ze2089.cpl');
DeleteFile('G:\WINDOWS\system32\6779szea5370.cpl');
DeleteFile('G:\WINDOWS\system32\655e9hief2z94.cpl');
DeleteFile('G:\WINDOWS\system32\6509th9ef1518z.cpl');
DeleteFile('G:\WINDOWS\system32\64z9s5arse268.cpl');
DeleteFile('G:\WINDOWS\system32\6085backdo5r28z9.cpl');
DeleteFile('G:\WINDOWS\system32\5cz5v9r714.cpl');
DeleteFile('G:\WINDOWS\system32\59b4addwzre1321.cpl');
DeleteFile('G:\WINDOWS\system32\55d95zi9f2292.cpl');
DeleteFile('G:\WINDOWS\system32\55b7steaz3589.cpl');
DeleteFile('G:\WINDOWS\system32\53d5z5r794.cpl');
DeleteFile('G:\WINDOWS\system32\513ebazkdoor1009.cpl');
DeleteFile('G:\WINDOWS\system32\4d99szy5are129.cpl');
DeleteFile('G:\WINDOWS\system32\4bf6t5r9zt27496.cpl');
DeleteFile('G:\WINDOWS\system32\4a92szarse459.cpl');
DeleteFile('G:\WINDOWS\system32\49adsparse1565z.cpl');
DeleteFile('G:\WINDOWS\system32\405aba9kdooz1664.cpl');
DeleteFile('G:\WINDOWS\system32\3dc65owzloade93043.cpl');
DeleteFile('G:\WINDOWS\system32\39063notza-virus152.cpl');
DeleteFile('G:\WINDOWS\system32\30z39spambot6c5.cpl');
DeleteFile('G:\WINDOWS\system32\30655zackt9ol740.cpl');
DeleteFile('G:\WINDOWS\system32\296cth5ezt95188.cpl');
DeleteFile('G:\WINDOWS\system32\2952sparsz2152.cpl');
DeleteFile('G:\WINDOWS\system32\28adbzck5oor25169.cpl');
DeleteFile('G:\WINDOWS\system32\28389wo5macz.cpl');
DeleteFile('G:\WINDOWS\system32\27555t9oz84.cpl');
DeleteFile('G:\WINDOWS\system32\2616zi52996.cpl');
DeleteFile('G:\WINDOWS\system32\25677sp9mbot30z.cpl');
DeleteFile('G:\WINDOWS\system32\22494not-a9virus1z55.cpl');
DeleteFile('G:\WINDOWS\system32\21685n5t9a-virus327z.cpl');
DeleteFile('G:\WINDOWS\system32\1ccaddware25z9.cpl');
DeleteFile('G:\WINDOWS\system32\1bazthre5t9994.cpl');
DeleteFile('G:\WINDOWS\system32\1b3a5zyware23039.cpl');
DeleteFile('G:\WINDOWS\z920th5ef99.cpl');
DeleteFile('G:\WINDOWS\z5911virus6a59.cpl');
DeleteFile('G:\WINDOWS\z48e5hi9f10.cpl');
DeleteFile('G:\WINDOWS\f4zth9ef557.cpl');
DeleteFile('G:\WINDOWS\d55st9zl411.cpl');
DeleteFile('G:\WINDOWS\9ffzp59se52.cpl');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Спасибо! Все пропало и работает все нормально. Карантин выслал,согласно Правил.

[QUOTE=thyrex;461558]Сделайте новые логи[/QUOTE]
8)

что-то я ступил.вот логи.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('NeroVSShelpsvcwuauservIDriverTRemoteAccess');
DeleteService('NetmanWmiApSrv');
DeleteService('RpcLocator Driver HPZ12');
DeleteService('WebClientProtectedStorage');
QuarantineFile('G:\WINDOWS\TEMP\tempo-46405484.tmp.exe','');
DeleteService('wuauservIDriverTRemoteAccess');
DeleteService('WZCSVCImapiService');
DeleteService('NeroVSS');
DeleteService('IDriverTRemoteAccess');
DeleteService('helpsvcwuauservIDriverTRemoteAccess');
DeleteService('dmserverSENS');
DeleteFile('G:\WINDOWS\TEMP\tempo-46405484.tmp.exe');
DeleteFile('C:\Windows\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job');
DeleteFile('р%Ђ|x ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

вот,собственно.

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\WINDOWS\TEMP\tempo-46405484.tmp.exe','');
BC_DeleteSvc('WZCSVCImapiService');
BC_DeleteSvc('wuauservIDriverTRemoteAccess');
BC_DeleteSvc('Windows MSI');
BC_DeleteSvc('WebClientProtectedStorage');
BC_DeleteSvc('RpcLocator Driver HPZ12');
BC_DeleteSvc('NetmanWmiApSrv');
BC_DeleteSvc('NeroVSShelpsvcwuauservIDriverTRemoteAccess');
BC_DeleteSvc('IDriverTRemoteAccess');
BC_DeleteSvc('helpsvcwuauservIDriverTRemoteAccess');
BC_DeleteSvc('dmserverSENS');
DeleteFile('G:\WINDOWS\TEMP\tempo-46405484.tmp.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

логи

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZSYYYYYYYYRU
O20 - Winlogon Notify: WinCtrl32 - G:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
DeleteFile('G:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job');
end.[/code]
Больше ничего плохого не видно.
Что с проблемами?

Все выполнил. Все теперь прекрасно. Большое Спасибо!!!:)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] g:\windows\system32\ocj23xnh.exe - [B]not-a-virus:FraudTool.Win32.Agent.wk[/B][/LIST][/LIST]