вирусы на ноуте

вирусы как обычно. логи прилагаются

[B][COLOR="Red"]Отключите восстановление системы![/COLOR][/B]

В AVZ - файл - выполнить скрипт

[CODE]procedure FixUpdate;
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
end;

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\waieaprnlib.dll','');
QuarantineFile('G:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\WINDOWS\Temp\nic9.tmp','');
QuarantineFile('C:\WINDOWS\Temp\fpcB.tmp','');
QuarantineFile('C:\WINDOWS\Temp\dpcA.tmp','');
QuarantineFile('C:\WINDOWS\ali.exe','');
TerminateProcessByName('c:\windows\system32\t0a5p8hq\z001.exe');
TerminateProcessByName('c:\windows\20110116\vmh88288fpgfsxdh\smss.exe');
TerminateProcessByName('c:\windows\system32\serivces.exe');
TerminateProcessByName('c:\program files\common files\system\sdb.exe');
TerminateProcessByName('c:\windows\system32\pilviq.exe');
TerminateProcessByName('c:\windows\system32\ookyou.exe');
TerminateProcessByName('c:\windows\system32\mqucqg.exe');
TerminateProcessByName('c:\windows\system32\mmgkme.exe');
TerminateProcessByName('c:\windows\system32\iekywc.exe');
TerminateProcessByName('c:\windows\system32\t\g002.exe');
TerminateProcessByName('c:\windows\system32\i5vznibl\g002.exe');
TerminateProcessByName('c:\windows\system32\t\g001.exe');
TerminateProcessByName('c:\windows\system32\fzcs.exe');
TerminateProcessByName('c:\windows\system32\t\f001.exe');
TerminateProcessByName('c:\windows\system32\vl2e220e\f001.exe');
TerminateProcessByName('c:\windows\system32\wdebmkc3\f001.exe');
TerminateProcessByName('c:\windows\system32\t\e003.exe');
TerminateProcessByName('c:\windows\system32\kr07gaqk\e001.exe');
TerminateProcessByName('c:\windows\system32\t\e001.exe');
TerminateProcessByName('c:\windows\system32\eevqaq6o\c19.exe');
TerminateProcessByName('c:\windows\system32\bontos.exe');
TerminateProcessByName('c:\windows\system32\0b4ekbe0\b99.exe');
QuarantineFile('C:\WINDOWS\system32\Drivers\PCIDump.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\einnls.vbs','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ahiiqz.vbs','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\360vbs.jse','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ .jse','');
QuarantineFile('C:\Documents and Settings\1\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.css','');
QuarantineFile('C:\WINDOWS\system32\msconfig32.sys','');
QuarantineFile('C:\Program Files\yqeaii.exe','');
QuarantineFile('C:\Program Files\gmaeie.exe','');
QuarantineFile('C:\Program Files\yggegq.exe','');
QuarantineFile('C:\Program Files\qicqae.exe','');
QuarantineFile('C:\Program Files\xktjko.exe','');
QuarantineFile('C:\Documents and Settings\pcbrcm.exe','');
QuarantineFile('C:\WINDOWS\system32\WinH12.exe','');
QuarantineFile('C:\WINDOWS\system32\WinH11.exe','');
QuarantineFile('C:\WINDOWS\system32\MiaoshaXP.exe','');
QuarantineFile('C:\WINDOWS\system32\WinHewelp32.exe','');
QuarantineFile('C:\WINDOWS\system32\0B4EKBE0\B99.exe','');
QuarantineFile('C:\WINDOWS\system32\t\F001.exe','');
QuarantineFile('C:\WINDOWS\system32\I5VZNIBL\G002.exe','');
QuarantineFile('C:\WINDOWS\system32\t\E001.exe','');
QuarantineFile('C:\WINDOWS\system32\bontos.exe','');
QuarantineFile('C:\WINDOWS\system32\iekywc.exe','');
QuarantineFile('C:\WINDOWS\system32\WDEBMKC3\F001.exe','');
QuarantineFile('C:\Program Files\Common Files\System\sdb.exe','');
QuarantineFile('C:\WINDOWS\system32\pilviq.exe','');
QuarantineFile('C:\WINDOWS\system32\t\G002.exe','');
QuarantineFile('C:\WINDOWS\system32\serivces.exe','');
QuarantineFile('C:\WINDOWS\system32\KR07GAQK\E001.exe','');
QuarantineFile('C:\WINDOWS\system32\t\E003.exe','');
QuarantineFile('C:\WINDOWS\system32\EEVQAQ6O\C19.exe','');
QuarantineFile('C:\WINDOWS\system32\ookyou.exe','');
QuarantineFile('C:\WINDOWS\system32\t\G001.exe','');
QuarantineFile('C:\WINDOWS\system32\mqucqg.exe','');
QuarantineFile('C:\WINDOWS\system32\mmgkme.exe','');
QuarantineFile('C:\WINDOWS\system32\T0A5P8HQ\Z001.exe','');
QuarantineFile('C:\WINDOWS\system32\fzcs.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\MiaoshaXP.exe','');
QuarantineFile('C:\WINDOWS\system32\acpi24.sys','');
QuarantineFile('c:\windows\system32\waiuaprnlib.dll','');
QuarantineFile('c:\windows\system32\t0a5p8hq\z001.exe','');
QuarantineFile('c:\windows\20110116\vmh88288fpgfsxdh\smss.exe','');
QuarantineFile('c:\windows\system32\serivces.exe','');
QuarantineFile('c:\program files\common files\system\sdb.exe','');
QuarantineFile('c:\windows\system32\pilviq.exe','');
QuarantineFile('c:\windows\system32\ookyou.exe','');
QuarantineFile('c:\windows\system32\mqucqg.exe','');
QuarantineFile('c:\windows\system32\mmgkme.exe','');
QuarantineFile('c:\windows\system32\iekywc.exe','');
QuarantineFile('c:\windows\system32\t\g002.exe','');
QuarantineFile('c:\windows\system32\i5vznibl\g002.exe','');
QuarantineFile('c:\windows\system32\t\g001.exe','');
QuarantineFile('c:\windows\system32\fzcs.exe','');
QuarantineFile('c:\windows\system32\t\f001.exe','');
QuarantineFile('c:\windows\system32\vl2e220e\f001.exe','');
QuarantineFile('c:\windows\system32\wdebmkc3\f001.exe','');
QuarantineFile('c:\windows\system32\t\e003.exe','');
QuarantineFile('c:\windows\system32\kr07gaqk\e001.exe','');
QuarantineFile('c:\windows\system32\t\e001.exe','');
QuarantineFile('c:\windows\system32\eevqaq6o\c19.exe','');
QuarantineFile('c:\windows\system32\bontos.exe','');
QuarantineFile('c:\windows\system32\0b4ekbe0\b99.exe','');
QuarantineFile('C:\WINDOWS\20110116\Vmh88288FPgFSXDH\smss.exe','');
DeleteFile('C:\WINDOWS\20110116\Vmh88288FPgFSXDH\smss.exe');
DeleteFile('c:\windows\system32\0b4ekbe0\b99.exe');
DeleteFile('c:\windows\system32\bontos.exe');
DeleteFile('c:\windows\system32\eevqaq6o\c19.exe');
DeleteFile('c:\windows\system32\t\e001.exe');
DeleteFile('c:\windows\system32\kr07gaqk\e001.exe');
DeleteFile('c:\windows\system32\t\e003.exe');
DeleteFile('c:\windows\system32\wdebmkc3\f001.exe');
DeleteFile('c:\windows\system32\vl2e220e\f001.exe');
DeleteFile('c:\windows\system32\t\f001.exe');
DeleteFile('c:\windows\system32\fzcs.exe');
DeleteFile('c:\windows\system32\t\g001.exe');
DeleteFile('c:\windows\system32\i5vznibl\g002.exe');
DeleteFile('c:\windows\system32\t\g002.exe');
DeleteFile('c:\windows\system32\iekywc.exe');
DeleteFile('c:\windows\system32\mmgkme.exe');
DeleteFile('c:\windows\system32\mqucqg.exe');
DeleteFile('c:\windows\system32\ookyou.exe');
DeleteFile('c:\windows\system32\pilviq.exe');
DeleteFile('c:\program files\common files\system\sdb.exe');
DeleteFile('c:\windows\system32\serivces.exe');
DeleteFile('c:\windows\20110116\vmh88288fpgfsxdh\smss.exe');
DeleteFile('c:\windows\system32\t0a5p8hq\z001.exe');
DeleteFile('C:\WINDOWS\system32\acpi24.sys');
DeleteFile('C:\Program Files\Internet Explorer\MiaoshaXP.exe');
DeleteFile('C:\WINDOWS\system32\fzcs.exe');
DeleteFile('C:\WINDOWS\system32\T0A5P8HQ\Z001.exe');
DeleteFile('C:\WINDOWS\system32\mmgkme.exe');
DeleteFile('C:\WINDOWS\system32\mqucqg.exe');
DeleteFile('C:\WINDOWS\system32\t\G001.exe');
DeleteFile('C:\WINDOWS\system32\ookyou.exe');
DeleteFile('C:\WINDOWS\system32\EEVQAQ6O\C19.exe');
DeleteFile('C:\WINDOWS\system32\t\E003.exe');
DeleteFile('C:\WINDOWS\system32\KR07GAQK\E001.exe');
DeleteFile('C:\WINDOWS\system32\serivces.exe');
DeleteFile('C:\WINDOWS\system32\t\G002.exe');
DeleteFile('C:\WINDOWS\system32\pilviq.exe');
DeleteFile('C:\Program Files\Common Files\System\sdb.exe');
DeleteFile('C:\WINDOWS\system32\WDEBMKC3\F001.exe');
DeleteFile('C:\WINDOWS\system32\iekywc.exe');
DeleteFile('C:\WINDOWS\system32\bontos.exe');
DeleteFile('C:\WINDOWS\system32\t\E001.exe');
DeleteFile('C:\WINDOWS\system32\I5VZNIBL\G002.exe');
DeleteFile('C:\WINDOWS\system32\t\F001.exe');
DeleteFile('C:\WINDOWS\system32\0B4EKBE0\B99.exe');
DeleteFile('C:\WINDOWS\system32\WinHewelp32.exe');
DeleteFile('C:\WINDOWS\system32\MiaoshaXP.exe');
DeleteFile('C:\WINDOWS\system32\WinH11.exe');
DeleteFile('C:\WINDOWS\system32\WinH12.exe');
DeleteFile('C:\Documents and Settings\pcbrcm.exe');
DeleteFile('C:\Program Files\xktjko.exe');
DeleteFile('C:\Program Files\qicqae.exe');
DeleteFile('C:\Program Files\yggegq.exe');
DeleteFile('C:\Program Files\gmaeie.exe');
DeleteFile('C:\Program Files\yqeaii.exe');
DeleteFile('C:\WINDOWS\system32\msconfig32.sys');
DeleteFile('C:\Documents and Settings\1\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.css');
DeleteFile('C:\WINDOWS\system32\Drivers\PCIDump.sys');
DeleteFile('C:\WINDOWS\ali.exe');
DeleteFile('C:\WINDOWS\Temp\dpcA.tmp');
DeleteFile('C:\WINDOWS\Temp\fpcB.tmp');
DeleteFile('C:\WINDOWS\Temp\nic9.tmp');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe');
DeleteFile('C:\WINDOWS\system32\waieaprnlib.dll');
DeleteFileMask('c:\windows\system32\0b4ekbe0\', '*.*', true);
DeleteFileMask('c:\windows\system32\eevqaq6o\', '*.*', true);
DeleteFileMask('c:\windows\system32\t\', '*.*', true);
DeleteFileMask('c:\windows\system32\kr07gaqk\', '*.*', true);
DeleteFileMask('c:\windows\system32\wdebmkc3\', '*.*', true);
DeleteFileMask('c:\windows\system32\vl2e220e\', '*.*', true);
DeleteFileMask('c:\windows\system32\i5vznibl\', '*.*', true);
DeleteFileMask('c:\windows\20110116\', '*.*', true);
DeleteFileMask('c:\windows\system32\t0a5p8hq\', '*.*', true);
DeleteFileMask('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\', '*.*', true);
DeleteFileMask('C:\Documents and Settings\1\DoctorWeb\Quarantine\', '*.*', true);
DeleteFileMask('C:\WINDOWS\Temp\', '*.*', true);
DeleteDirectory('c:\windows\system32\0b4ekbe0\');
DeleteDirectory('c:\windows\system32\eevqaq6o\');
DeleteDirectory('c:\windows\system32\t\');
DeleteDirectory('c:\windows\system32\kr07gaqk\');
DeleteDirectory('c:\windows\system32\wdebmkc3\');
DeleteDirectory('c:\windows\system32\vl2e220e\');
DeleteDirectory('c:\windows\system32\i5vznibl\');
DeleteDirectory('c:\windows\20110116\');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','micrososoot');
BC_ImportAll;
BC_DeleteSvc('12312312312312321');
BC_DeleteSvc('3600');
BC_DeleteSvc('asfdsfdsfds');
BC_DeleteSvc('asOQWYZN');
BC_DeleteSvc('BSuWAcmv');
BC_DeleteSvc('cSWHKiER');
BC_DeleteSvc('err');
BC_DeleteSvc('FVweWIQq');
BC_DeleteSvc('grft');
BC_DeleteSvc('hackfans');
BC_DeleteSvc('PlugPlayCM');
BC_DeleteSvc('rBpqhvFC');
BC_DeleteSvc('rYHlGiiZ');
BC_DeleteSvc('SPOOLSVC');
BC_DeleteSvc('uDGijAKb');
BC_DeleteSvc('vfd');
BC_DeleteSvc('vMBSPaHR');
BC_DeleteSvc('vtgt');
BC_DeleteSvc('XBtUaeKw');
BC_DeleteSvc('YNTpOThF');
BC_DeleteSvc('ewwep32');
BC_DeleteSvc('FontViewer');
BC_DeleteSvc('WinHe11');
BC_DeleteSvc('WinHelp12');
BC_DeleteSvc('WMMNasasdsadEqi');
BC_DeleteSvc('WMMNetworkEfr');
BC_DeleteSvc('WMMNetworkIte');
BC_DeleteSvc('WMMNetworkNqw');
BC_DeleteSvc('WMMNetworkTte');
BC_DeleteSvc('WMMNetworkXsd');
BC_DeleteSvc('acpi24Drv');
BC_DeleteSvc('msconfig32Drv');
BC_DeleteSvc('PCIDump');
ExecuteSysClean;
FixUpdate;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- выполните такой скрипт

[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
[/CODE]

- Файл [b][color=Red]quarantine.zip[/color][/b] из папки AVZ пришлите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B]

Сделайте повторно проверку CureIt.
Повторите логи по правилам.

p.s. ОТКУДА столько зверей и КАК компьютер вообще работал? Вы мне вынесли мозг :)

компьютер не мой ))) а сотрудницы. женщина в возрасте с техникой не очень. вот я и сам удивляюсь что она могла на нем делать. там 150 процессов было одновременно.
за мозг извиняйте )))
итак продолжаем новые логи и фото рабочего стола. что это такое и как эту заразу удалить?

Сделайте лог [url]http://support.kaspersky.ru/viruses/solutions?qid=208636926[/url]

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

логи

Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::
c:\windows\wlqzco.vbs
c:\windows\gyfuoc.vbs
c:\windows\vdcgjr.vbs
c:\windows\tcrvns.vbs
c:\windows\system32\waiuapsclib.dll
c:\windows\system32\waiuaprnlib.dll
c:\windows\system32\waiqapsclib.dll
c:\program files\Common Files\System\lruicr.dll
c:\windows\system32\lruicr.dll
c:\program files\kwaesy.exe
c:\windows\system32\VL2E220E\F001.exe

Driver::
zyVuLAiC
kojakxang
zmlteekf
cowtmnd

NetSvc::
zyVuLAiC
kojakxang
zmlteekf
cowtmnd

Folder::
c:\windows\system32\12OTUC4R
c:\windows\system32\1SMVG5OT
c:\windows\system32\0E0WN1WY
c:\windows\system32\CJLAUM8G
c:\windows\system32\CB8BVDG5
c:\windows\system32\NQCPWOVF
c:\windows\system32\MRTITNIF
c:\windows\system32\M46U3DYL
c:\windows\system32\MT4WP7IN
c:\windows\system32\LWGBKTHW
c:\windows\system32\L8TMUJX1
c:\windows\system32\LAXMPVUR
c:\windows\system32\LAEFMUHR
c:\windows\system32\KNFYUX7N
c:\windows\system32\KCZ7E41H
c:\windows\system32\KOZRM8SD
c:\windows\system32\KO3RGKP2
c:\windows\system32\KEEM31YF
c:\windows\system32\JFVF00LE
c:\windows\system32\JRWX84CB
c:\windows\system32\JGG7SC43
c:\windows\system32\JGK7NN2T
c:\windows\system32\I44H6VWM
c:\windows\system32\IH50EYMJ
c:\windows\system32\IIMTBX8I
c:\windows\system32\IIQT5A67
c:\windows\system32\H6B2PH01
c:\windows\system32\HJBMXKQX
c:\windows\system32\H7VVHSKQ
c:\windows\system32\H8DOER6Q
c:\windows\system32\HXWXXY0J
c:\windows\system32\GM7TKGAV
c:\windows\system32\GNOLHFXU
c:\windows\system32\GPJ6G1A3
c:\windows\system32\GPZZDZW3
c:\windows\system32\FF12T6DV
c:\windows\system32\FGIUP5ZV
c:\windows\system32\FSJEX8QR
c:\windows\system32\EHGGJ3AU
c:\windows\system32\EKVUA06S
c:\windows\system32\DXD6E2KO
c:\windows\system32\7W8U6ODF
c:\windows\system32\UZIZCPB3
c:\windows\system32\PKJJXM1O
c:\windows\system32\PZH1A8AM
c:\windows\system32\NLJPRSCY
c:\windows\system32\MDILJA3M
c:\windows\system32\LP3J7254
c:\windows\system32\J8J1YVIQ
c:\windows\system32\ICF7MR1O
c:\windows\system32\HVBQ3WRO
c:\windows\system32\AEH4BD05
c:\windows\system32\833ZIU1O
c:\windows\system32\7BFROVOR
c:\windows\system32\62FFYZFJ
c:\windows\system32\5LBXG54J
c:\windows\system32\5HGRDPEZ
c:\windows\system32\4ZC8UV30
c:\windows\system32\3V4BPSN6
c:\windows\system32\2QWCKP5E
c:\windows\system32\1TTJ7LPC
c:\windows\system32\0OZYTKQP
c:\windows\system32\Z6MO3FO5
c:\windows\system32\YS1DOG5Y
c:\windows\system32\XD4A6VYI
c:\windows\system32\W57CMWU1
c:\windows\system32\VEEORKTF
c:\windows\system32\UBE3NQF4
c:\windows\system32\TLA2WNT0
c:\windows\system32\STT83YJM
c:\windows\system32\RTAU6OZF
c:\windows\system32\Q3JMI83K
c:\windows\system32\P2NFKCU2
c:\windows\system32\NYGVABER
c:\windows\system32\M4FUFOBL
c:\windows\system32\LQRJ4FWO
c:\windows\system32\KRBKE1IA
c:\windows\system32\JOBZA73Y
c:\windows\system32\D5Y5POPZ
c:\windows\system32\AHM4XWKW
c:\windows\system32\7YZU77JM
c:\windows\system32\WBJXS2I6
c:\windows\system32\LJBUX28E
c:\windows\system32\73FPEMPI
c:\windows\system32\6SX6F6K6
c:\windows\system32\5TQZW5YC
c:\windows\system32\554XVB6F
c:\windows\system32\34CQRPVN
c:\windows\system32\XPIBREBD
c:\windows\system32\V4J1HPIW
c:\windows\system32\OMYYNT4E
c:\windows\system32\NF103VZX
c:\windows\system32\MSMJLMCF
c:\windows\system32\L40HKRKI
c:\windows\system32\LGEFJWSL
c:\windows\system32\K5GIY28E
c:\windows\system32\KHUFX7HG
c:\windows\system32\JVPK4XKL
c:\windows\system32\JBAAGW2A
c:\windows\system32\IMO7E1AD
c:\windows\system32\IAMWOBLD
c:\windows\system32\IOH0V0OI
c:\windows\system32\HBFP5AZI
c:\windows\system32\HNTN4F7K
c:\windows\system32\G1ORB3BP
c:\windows\system32\GOMGLDMP
c:\windows\system32\TVGPZDFM

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8369:TCP"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"WaibSvc"=-
"WaicSvc"=-
"WaicSvc"=-
"WaidSvc"=-
"WaieSvc"=-
"WaifSvc"=-
"WaijSvc"=-
"WaikSvc"=-
"WailSvc"=-
"WaimSvc"=-
"WainSvc"=-
"WaioSvc"=-
"WaipSvc"=-
"WaiqSvc"=-
"WaiuSvc"=-

FileLook::

DirLook::[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

есть:

Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::
c:\windows\system32\fsqbv9.dll
c:\windows\system32\oyzx4a.dll
c:\windows\system32\yzm.dll
c:\windows\system32\anyj78.dll
c:\windows\lplsfq.vbs
c:\windows\ibumwg.vbs
c:\windows\bgbjly.vbs
c:\windows\system32\drivers\vdg4njgy.sys
c:\windows\system32\drivers\tcpz-x86d.sys
c:\program files\Common Files\System\eow6rl.dll
c:\windows\system32\eow6rl.dll
c:\program files\Common Files\98.exe
c:\program files\Common Files\System\wayi.dll
c:\program files\Common Files\System\ra5os7.dll
c:\program files\Common Files\System\dnty2d.dll
c:\windows\system32\wayi.dll
c:\windows\system32\ra5os7.dll
c:\windows\system32\dnty2d.dll
c:\program files\Common Files\System\runup.dll
c:\program files\Common Files\System\uk1jdw.dll
c:\program files\Common Files\System\oyzx4a.dll
c:\program files\Common Files\System\yzm.dll
c:\program files\Common Files\System\i6ebdj.dll
c:\windows\system32\waioapsclib.dll
c:\windows\system32\waioaprnlib.dll
c:\windows\system32\wainapsclib.dll

Driver::
TCPZ

NetSvc::

Folder::
c:\windows\system32\QC60I5J6
c:\windows\system32\M4BQ6TS1
c:\windows\system32\K53Z0ABL
c:\windows\system32\JWUNLR6W
c:\windows\system32\HJUCFGBB
c:\windows\system32\HJPK2HFH
c:\windows\system32\GLIDKGTL
c:\windows\system32\6RJT1UIU
c:\windows\system32\U2YP267D
c:\windows\system32\P5SKSLPD
c:\windows\system32\JFCKG1BM
c:\windows\system32\6RE1MBO3
c:\windows\system32\2HLRUMWE
c:\windows\system32\ZDR0M76C
c:\windows\system32\WVVRWUL1
c:\windows\system32\1EHU77QF
c:\windows\system32\BAVNKR10
c:\windows\system32\4WPZNN5Q
c:\windows\system32\8PLM3NU6
c:\windows\system32\6PBFAQ30
c:\windows\system32\0ANSMEFK
c:\windows\system32\VT2JGZLF
c:\windows\system32\WS4TAIQM

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"WaibSvc"=-

FileLook::

DirLook::[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

отчет

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\system32\runup.dll','');
DeleteFileMask('c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\', '*.vbs', true);
DeleteFileMask('c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\', '*.jse', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::
c:\windows\AddRight.reg
c:\windows\pmowrj.vbs
c:\windows\gyfuoc.vbs
c:\windows\hugipv.vbs
c:\windows\bgbjly.vbs
c:\windows\nhnkzu.vbs
c:\windows\mjnkzu.vbs
c:\windows\SetWindowsIndex.reg
c:\windows\lplafm.vbs
c:\windows\zalsfq.vbs
c:\windows\vfvhkt.vbs
c:\windows\omowrj.vbs
c:\windows\kokadm.vbs
c:\windows\rxecba.vbs
c:\windows\drstuz.vbs
c:\windows\searyl.vbs
c:\windows\tctbmd.vbs
c:\windows\elwxvp.vbs
c:\windows\kijpsn.vbs
c:\windows\bfvhkt.vbs
c:\windows\xsxfhe.vbs
c:\windows\omoqrh.vbs
c:\windows\iniqeh.vbs
c:\windows\gzecba.vbs
c:\windows\wlwxvp.vbs
c:\windows\huhoab.vbs
c:\windows\wkqzco.vbs
c:\windows\csxfhe.vbs
c:\windows\lpkadm.vbs
c:\windows\tcrvns.vbs
c:\windows\.reg
c:\windows\search.reg
c:\windows\jihosb.vbs
c:\windows\system32\uk1jdw.dll
c:\windows\system32\i6ebdj.dll
c:\windows\zplsfq.vbs
c:\windows\zazdgw.vbs
c:\windows\xazdgw.vbs
c:\windows\vdcgjr.vbs
c:\windows\uvynqf.vbs
c:\windows\ubumwg.vbs
c:\windows\rxrvns.vbs
c:\windows\kojpsn.vbs
c:\windows\juhoab.vbs
c:\windows\inumwg.vbs
c:\windows\huhiav.vbs
c:\windows\gygipv.vbs
c:\windows\frdyix.vbs
c:\windows\cdxfhe.vbs
c:\windows\awaryl.vbs
c:\windows\aqpetk.vbs
Driver::

NetSvc::

Folder::

Registry::

FileLook::

DirLook::
c:\windows\srchtast
[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

лог

Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::

Driver::

NetSvc::

Folder::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"olema"=-

FileLook::

DirLook::[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

- [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].

После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])

лога combofix нет. другие внизу. времени повторно делать нет так как уже отдаю. логи авз:

чисто

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]47[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\ .jse - [B]Trojan.VBS.Zapchast.an[/B] ( AVAST4: BV:Zapchast-I [Trj] )[*] c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\ahiiqz.vbs - [B]Trojan.VBS.StartPage.gl[/B] ( DrWEB: VBS.DownLoader.44, BitDefender: Trojan.KillAV.TD, NOD32: VBS/KillAV.Y trojan, AVAST4: VBS:Agent-IU [Trj] )[*] c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\einnls.vbs - [B]Trojan.VBS.StartPage.gl[/B] ( DrWEB: VBS.DownLoader.44, BitDefender: Trojan.KillAV.TD, NOD32: VBS/KillAV.Y trojan, AVAST4: VBS:Agent-IU [Trj] )[*] c:\\program files\\common files\\system\\sdb.exe - [B]Trojan-Downloader.MSIL.Agent.wb[/B] ( DrWEB: Trojan.DownLoad2.18336, BitDefender: Trojan.Generic.5118012, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\program files\\internet explorer\\miaoshaxp.exe - [B]Backdoor.Win32.DarkShell.li[/B] ( DrWEB: BackDoor.Darkshell.246, BitDefender: Trojan.Generic.KDV.102208, NOD32: Win32/Farfli.AY trojan, AVAST4: Win32:Malware-gen )[*] c:\\program files\\qicqae.exe - [B]Trojan.Win32.Scar.dgkb[/B] ( DrWEB: BackDoor.Ddoser.128, BitDefender: Trojan.Generic.KDV.100600, AVAST4: Win32:ServStart-C [Trj] )[*] c:\\program files\\yqeaii.exe - [B]Trojan.Win32.Scar.dgkb[/B] ( DrWEB: BackDoor.Ddoser.128, BitDefender: Trojan.Generic.KDV.100600, AVAST4: Win32:ServStart-C [Trj] )[*] c:\\windows\\ali.exe - [B]Trojan.Win32.Genome.sqfv[/B] ( DrWEB: Trojan.DownLoad2.20188, BitDefender: Gen:Trojan.Heur.PT.bmIfb0XWyoo, NOD32: Win32/TrojanDownloader.VB.OYK trojan, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\windows\\system32\\bontos.exe - [B]Trojan.Win32.Scar.dgxa[/B] ( DrWEB: BackDoor.Siggen.27479, BitDefender: GenPack:Trojan.Generic.5229720, AVAST4: Win32:Crypt-JFZ [Trj] )[*] c:\\windows\\system32\\eevqaq6o\\c19.exe - [B]Trojan.Win32.Scar.dhtk[/B] ( DrWEB: Trojan.DownLoader1.14963, BitDefender: GenPack:Trojan.Generic.5229720, NOD32: Win32/ServStart.AJ trojan, AVAST4: Win32:Crypt-JFZ [Trj] )[*] c:\\windows\\system32\\fzcs.exe - [B]Backdoor.Win32.Krafcot.agz[/B] ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Peed.Gen, NOD32: Win32/Agent.QNC trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\\windows\\system32\\iekywc.exe - [B]Trojan.Win32.Scar.djvl[/B] ( DrWEB: Trojan.DownLoader1.8357, BitDefender: Worm.Generic.379250, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\i5vznibl\\g002.exe - [B]Trojan.Win32.Scar.dhlc[/B] ( DrWEB: Trojan.DownLoader1.14963, BitDefender: Trojan.Generic.5593787, NOD32: Win32/ServStart.AL trojan, AVAST4: Win32:Crypt-JFZ [Trj] )[*] c:\\windows\\system32\\kr07gaqk\\e001.exe - [B]Backdoor.Win32.Krafcot.aht[/B] ( DrWEB: Trojan.DownLoad.50456, BitDefender: GenPack:Trojan.Agent.ARZA, NOD32: Win32/Agent.OSH trojan, AVAST4: Win32:Crypt-JFY [Trj] )[*] c:\\windows\\system32\\miaoshaxp.exe - [B]Backdoor.Win32.DarkShell.li[/B] ( DrWEB: BackDoor.Darkshell.246, BitDefender: Trojan.Generic.KDV.102208, NOD32: Win32/Farfli.AY trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\mmgkme.exe - [B]Trojan.Win32.Scar.dhkw[/B] ( DrWEB: Trojan.DownLoader1.14963, BitDefender: GenPack:Trojan.Generic.5229720, NOD32: Win32/ServStart.AL trojan, AVAST4: Win32:Crypt-JFZ [Trj] )[*] c:\\windows\\system32\\mqucqg.exe - [B]Trojan.Win32.Scar.dhtj[/B] ( DrWEB: Trojan.DownLoader1.14963, BitDefender: Worm.Generic.326048, NOD32: Win32/ServStart.AA trojan, AVAST4: Win32:Crypt-JFZ [Trj] )[*] c:\\windows\\system32\\ookyou.exe - [B]Trojan.Win32.Scar.dhtm[/B] ( DrWEB: Trojan.DownLoader1.8357, BitDefender: GenPack:Trojan.Generic.4571416, NOD32: Win32/ServStart.AL trojan, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\pilviq.exe - [B]Trojan.Win32.Scar.dihl[/B] ( DrWEB: Trojan.DownLoader1.14963, BitDefender: GenPack:Trojan.Generic.5229720, AVAST4: Win32:Crypt-JFZ [Trj] )[*] c:\\windows\\system32\\serivces.exe - [B]Worm.Win32.AutoRun.btzw[/B] ( DrWEB: BackDoor.IRC.Sdbot.15548, BitDefender: Trojan.Generic.5630695, AVAST4: Win32:AutoRun-CTL [Trj] )[*] c:\\windows\\system32\\t\\e001.exe - [B]Trojan.Win32.Scar.dhgq[/B] ( DrWEB: Trojan.DownLoader1.8357, BitDefender: GenPack:Trojan.Generic.4571416, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\t\\e003.exe - [B]Trojan.Win32.Scar.dhcr[/B] ( DrWEB: Trojan.DownLoader1.8357, BitDefender: Trojan.Agent.ARGJ, NOD32: Win32/ServStart.AH trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\t\\f001.exe - [B]Trojan.Win32.Scar.dhga[/B] ( DrWEB: Trojan.DownLoader1.14963, BitDefender: GenPack:Trojan.Generic.5229720, AVAST4: Win32:Crypt-JFZ [Trj] )[*] c:\\windows\\system32\\t\\g001.exe - [B]Trojan.Win32.Scar.dhgf[/B] ( DrWEB: Trojan.DownLoader1.14963, BitDefender: Trojan.Generic.5346679, NOD32: Win32/ServStart.AA trojan, AVAST4: Win32:Crypt-JFZ [Trj] )[*] c:\\windows\\system32\\t\\g002.exe - [B]Trojan.Win32.Scar.dgwo[/B] ( DrWEB: Trojan.DownLoader1.14963, BitDefender: GenPack:Trojan.Generic.5229720, NOD32: Win32/ServStart.AL trojan, AVAST4: Win32:Crypt-JFZ [Trj] )[*] c:\\windows\\system32\\t0a5p8hq\\z001.exe - [B]Backdoor.Win32.Krafcot.agv[/B] ( DrWEB: Trojan.DownLoader1.37461, BitDefender: Trojan.Generic.5579247, NOD32: Win32/Agent.OSH trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\vl2e220e\\f001.exe - [B]Trojan.Win32.Scar.dico[/B] ( DrWEB: Trojan.DownLoader1.14963, BitDefender: GenPack:Trojan.Generic.5229720, NOD32: Win32/ServStart.AK trojan, AVAST4: Win32:Crypt-JFZ [Trj] )[*] c:\\windows\\system32\\waieaprnlib.dll - [B]Net-Worm.Win32.Kolab.pdm[/B] ( DrWEB: Trojan.MulDrop1.62457, BitDefender: Gen:Variant.TDss.35, AVAST4: Win32:Alureon-NP [Trj] )[*] c:\\windows\\system32\\waiuaprnlib.dll - [B]Net-Worm.Win32.Kolab.sgr[/B] ( DrWEB: Trojan.MulDrop1.62578, BitDefender: Gen:Variant.TDss.35, NOD32: Win32/TrojanDownloader.Persetco.C trojan, AVAST4: Win32:Alureon-QI [Trj] )[*] c:\\windows\\system32\\wdebmkc3\\f001.exe - [B]Trojan.Win32.Scar.dikm[/B] ( DrWEB: Trojan.DownLoader1.14963, BitDefender: Trojan.Generic.5360542, AVAST4: Win32:Crypt-JFZ [Trj] )[*] c:\\windows\\system32\\winhewelp32.exe - [B]Packed.Win32.Katusha.e[/B] ( DrWEB: BackDoor.Darkshell.246, BitDefender: Trojan.Generic.6899700, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\winh11.exe - [B]Backdoor.Win32.Yoddos.cl[/B] ( DrWEB: BackDoor.Darkshell.246, NOD32: Win32/Agent.OKE trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\\windows\\system32\\winh12.exe - [B]Backdoor.Win32.Yoddos.cm[/B] ( DrWEB: BackDoor.Darkshell.246, BitDefender: Trojan.Generic.5653081, NOD32: Win32/Agent.OKE trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\0b4ekbe0\\b99.exe - [B]Trojan.Win32.Scar.dhla[/B] ( DrWEB: Trojan.DownLoader1.14963, BitDefender: GenPack:Trojan.Generic.5229720, AVAST4: Win32:Crypt-JFZ [Trj] )[*] c:\\windows\\20110116\\vmh88288fpgfsxdh\\smss.exe - [B]Trojan-Clicker.Win32.VB.ggh[/B] ( DrWEB: Trojan.Click1.28270, BitDefender: Trojan.Generic.KDV.109837, AVAST4: Win32:Dropper-EFZ [Drp] )[*] g:\\autorun.inf - [B]Worm.Win32.AutoRun.hmw[/B] ( DrWEB: Trojan.Autorun.14, BitDefender: Trojan.AutorunINF.Gen, NOD32: Win32/AutoRun.IRCBot.FC worm )[*] g:\\recycler\\s-1-5-21-2214276341-3544434524-6043330-4321\\update.exe - [B]Worm.Win32.AutoRun.btzw[/B] ( DrWEB: BackDoor.IRC.Sdbot.15548, BitDefender: Trojan.Generic.5630695, AVAST4: Win32:AutoRun-CTL [Trj] )[/LIST][/LIST]