Запущенный случай...

Доброго дня.

ПК еле шевелился... CureIt, AVPTool и mcafee отработали с liveCD. На текущий момент при беглом осмотре нет вкладки "восстановление системы" (отключить, если она включена, не удалось), не открывается диспетчер задач, при загрузке в безопасном режиме стабильный bsod 0х7b, в ProgramFiles присутствует папка eset, но активного антивируса не замечено... AVZ-скрипт сбра и лечения стабильно дает bsod 0х50 (page_fault_in_non_paged_area). Может запустить этот скрипт с liveCD?

Профикси:
[CODE]O4 - HKLM\..\Run: [SafeTest] C:\WINDOWS\system32\SafeTest.exe /Self
O4 - HKLM\..\Run: [727496] C:\WINDOWS\system32\727496.exe /Self
O4 - HKLM\..\Run: [7] C:\WINDOWS\system\7.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [svchost.exe] "C:\WINDOWS\system32\3361\svchost.exe"
O4 - HKLM\..\Run: [popup] C:\WINDOWS\system\popup.exe
O4 - HKLM\..\Run: [DUTool] C:\WINDOWS\system32\DUTool.exe /Self
O4 - HKLM\..\RunOnce: [cvhnykzx] C:\WINDOWS\system32\kepSafe.exe
O4 - HKLM\..\RunOnce: [svchost.exe] "C:\WINDOWS\system32\3361\svchost.exe"
O4 - HKCU\..\Run: [dsfghjgj] C:\WINDOWS\system32\kepSafe.exe
O4 - HKCU\..\RunOnce: [vcbbjf] C:\WINDOWS\system32\kepSafe.exe
O4 - HKLM\..\Policies\Explorer\Run: [llajyn_df] C:\WINDOWS\system\lljyn090206.exe
O4 - HKLM\..\Policies\Explorer\Run: [dlnblz] C:\WINDOWS\system\lz090211.exe
O4 - HKLM\..\Policies\Explorer\Run: [171166048] C:\WINDOWS\system32\setup008.exe
O4 - HKLM\..\Policies\Explorer\Run: [zhqbastart] rundll32.exe C:\WINDOWS\system\zhnahsdf090101c.dll a16zhqb
O4 - HKLM\..\Policies\Explorer\Run: [23236] C:\WINDOWS\system32\55555555555.exe
O4 - HKLM\..\Policies\Explorer\Run: [maindyucst] C:\WINDOWS\system32\inf\svchoct.exe C:\WINDOWS\wftadfi16_090206a.dll d16tan
O4 - HKLM\..\Policies\Explorer\Run: [234324] C:\WINDOWS\system32\55555555555.exe
O4 - HKLM\..\Policies\Explorer\Run: [TXMouie] C:\WINDOWS\system32\kepSafe.exe[/CODE]

Куреитом полную проверку делал?

столько много и сразу я давно не видел. Претендент на 1-е место по зараженности.

Передам хозяину :) Проверял и cureit ом и avptool ом. Первый во многих случаях писал "подозрение на... " и оставлял, второй сказал, что около 490 чего-то уничтожил. После фикса, bsod по-прежнему не дает avz сделать проверку/лечение. Вот логи после фикса:

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
R3 - Default URLSearchHook is missing
O2 - BHO: ThunderBrowserHelper Class - {0C3261BF-3202-4E0B-B67F-DF471AA6620A} - C:\WINDOWS\system32\xunleiBHO12.dll (file missing)
O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\PushWare\cpush0.dll (file missing)
O2 - BHO: JavaSunSurf Class - {AAB6C1A0-F3A4-4DAC-A922-F82E601E73A8} - C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2266.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O21 - SSODL: C:\WINDOWS\Fonts\mcmzsyaj.dll - {9EF27EE4-4141-4E51-A118-6FCC570C8796} - C:\WINDOWS\Fonts\mcmzsyaj.dll
O21 - SSODL: C:\WINDOWS\Fonts\kzhionlr.dll - {3CA7A137-35F8-46CD-B83B-534CD13D5A67} - C:\WINDOWS\Fonts\kzhionlr.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2266.dll','');
QuarantineFile('C:\WINDOWS\Intel\baiduc.dll','');
QuarantineFile('C:\Program Files\Common Files\PushWare\cpush0.dll','');
QuarantineFile('C:\WINDOWS\system32\xunleiBHO12.dll','');
QuarantineFile('C:\WINDOWS\system32\vmdetdhc.exe','');
QuarantineFile('C:\WINDOWS\system32\kepSafe.exe','');
QuarantineFile('C:\WINDOWS\Fonts\kzhionlr.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\pnpmem.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpidisk.sys','');
QuarantineFile('C:\WINDOWS\system32\acpi64.sys','');
QuarantineFile('C:\WINDOWS\system32\ztxvpieo.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\ssmfr.sys','');
QuarantineFile('C:\WINDOWS\HXQ3LL44RDL.exe','');
QuarantineFile('C:\WINDOWS\SKGGNS.exe','');
QuarantineFile('C:\WINDOWS\system32\wsldoekd.exe','');
QuarantineFile('C:\WINDOWS\system32\WinHelp3x.exe','');
QuarantineFile('C:\WINDOWS\system32\Helper32.exe','');
QuarantineFile('C:\WINDOWS\system32\WinHelp321.exe','');
QuarantineFile('C:\WINDOWS\system32\WinHelp23.exe','');
QuarantineFile('C:\WINDOWS\system32\IM.exe','');
QuarantineFile('C:\WINDOWS\system32\tdydowkc.exe','');
QuarantineFile('C:\WINDOWS\system32\tcim.exe','');
QuarantineFile('C:\WINDOWS\system32\takjq.exe','');
QuarantineFile('C:\WINDOWS\system32\XmrwP\001.exe','');
QuarantineFile('C:\WINDOWS\system32\soxpeca.exe','');
QuarantineFile('C:\WINDOWS\system32\WinHelp.exe','');
QuarantineFile('C:\WINDOWS\system32\NPC329.exe','');
QuarantineFile('C:\WINDOWS\system32\roytctm.exe','');
QuarantineFile('C:\WINDOWS\system32\RiSing.exe','');
QuarantineFile('C:\WINDOWS\system32\QQZone.exe','');
QuarantineFile('C:\WINDOWS\BO7GYTSC.exe','');
QuarantineFile('C:\WINDOWS\system32\Station.exe','');
QuarantineFile('C:\WINDOWS\C6N8KBKRRJ.exe','');
QuarantineFile('C:\WINDOWS\guocyok88.exe','');
QuarantineFile('C:\WINDOWS\system32\noytcyr.exe','');
QuarantineFile('C:\WINDOWS\system32\svchosa.exe','');
QuarantineFile('C:\WINDOWS\system32\Softwar.exe','');
QuarantineFile('C:\WINDOWS\K3FFM26N.exe','');
QuarantineFile('c:\windows\mfc42.exe','');
QuarantineFile('C:\WINDOWS\system32\mabidwe.exe','');
QuarantineFile('C:\WINDOWS\66O1YLENOEW.exe','');
QuarantineFile('C:\WINDOWS\system32\k.exe','');
QuarantineFile('C:\WINDOWS\system32\j.exe','');
QuarantineFile('C:\WINDOWS\system32\svchoat.exe','');
QuarantineFile('C:\WINDOWS\system32\sudbc.exe','');
QuarantineFile('c:\windows\system32\KERNEL32.exe','');
QuarantineFile('C:\WINDOWS\system32\jwmk.exe','');
QuarantineFile('C:\WINDOWS\system32\jlqk.exe','');
QuarantineFile('C:\WINDOWS\system32\jlfk.exe','');
QuarantineFile('C:\WINDOWS\system32\jfzy.exe','');
QuarantineFile('C:\WINDOWS\system32\jfwk.exe','');
QuarantineFile('C:\WINDOWS\system32\jfmy.exe','');
QuarantineFile('C:\WINDOWS\system32\jbzy.exe','');
QuarantineFile('C:\WINDOWS\system32\jazy.exe','');
QuarantineFile('C:\WINDOWS\6QOGLJMC2JS.exe','');
QuarantineFile('C:\WINDOWS\8B3B901K8B8J.exe','');
QuarantineFile('C:\Program Files\Common Files\System\Slsvc.exe','');
QuarantineFile('C:\WINDOWS\Fonts\B76E0E5C.EXE','');
QuarantineFile('C:\WINDOWS\system32\Events.exe','');
QuarantineFile('C:\WINDOWS\system32\snss.exe','');
QuarantineFile('C:\WINDOWS\278YC4U.exe','');
QuarantineFile('C:\WINDOWS\system32\init32.exe','');
QuarantineFile('C:\WINDOWS\system32\game.exe','');
QuarantineFile('C:\WINDOWS\system32\borcservice.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
QuarantineFile('C:\WINDOWS\System32\migration\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\maxtho.exe','');
QuarantineFile('C:\WINDOWS\system32\afisicx.exe','');
QuarantineFile('C:\WINDOWS\system32\acpi64.exe','');
QuarantineFile('C:\WINDOWS\OCV71.exe','');
QuarantineFile('C:\WINDOWS\RFVF3.exe','');
QuarantineFile('C:\WINDOWS\NC1K7NY4E.exe','');
QuarantineFile('C:\WINDOWS\KLCH7QHP.exe','');
QuarantineFile('C:\WINDOWS\KZL258BSIY.exe','');
QuarantineFile('C:\WINDOWS\system32\1239.exe','');
QuarantineFile('C:\WINDOWS\system32\tching.exe','');
QuarantineFile('C:\WINDOWS\system32\instbum.exe','');
QuarantineFile('C:\WINDOWS\system32\yy.dll','');
QuarantineFile('C:\WINDOWS\system32\QQ.dll','');
QuarantineFile('C:\WINDOWS\system32\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\system32\friend.dll','');
QuarantineFile('c:\windows\system32\angnvw.dll','');
QuarantineFile('c:\windows\oeimport.dll','');
QuarantineFile('c:\windows\msgslang.dll','');
QuarantineFile('C:\WINDOWS\LY86T2D.exe','');
QuarantineFile('c:\windows\haibin8211.dll','');
QuarantineFile('C:\WINDOWS\Fonts\mcmzsyaj.dll','');
QuarantineFile('c:\windows\adobelm.dll','');
DeleteFile('c:\windows\adobelm.dll');
DeleteFile('C:\WINDOWS\Fonts\mcmzsyaj.dll');
DeleteFile('c:\windows\haibin8211.dll');
DeleteFile('C:\WINDOWS\LY86T2D.exe');
DeleteFile('c:\windows\msgslang.dll');
DeleteFile('c:\windows\oeimport.dll');
DeleteFile('c:\windows\system32\angnvw.dll');
DeleteFile('C:\WINDOWS\system32\friend.dll');
DeleteFile('C:\WINDOWS\system32\iexplorer.exe');
DeleteFile('C:\WINDOWS\system32\QQ.dll');
DeleteFile('C:\WINDOWS\system32\yy.dll');
DeleteFile('C:\WINDOWS\system32\instbum.exe');
DeleteFile('C:\WINDOWS\system32\tching.exe');
DeleteFile('C:\WINDOWS\system32\1239.exe');
DeleteFile('C:\WINDOWS\KZL258BSIY.exe');
DeleteFile('C:\WINDOWS\KLCH7QHP.exe');
DeleteFile('C:\WINDOWS\NC1K7NY4E.exe');
DeleteFile('C:\WINDOWS\RFVF3.exe');
DeleteFile('C:\WINDOWS\OCV71.exe');
DeleteFile('C:\WINDOWS\system32\acpi64.exe');
DeleteFile('C:\WINDOWS\system32\afisicx.exe');
DeleteFile('C:\WINDOWS\system32\maxtho.exe');
DeleteFile('C:\WINDOWS\System32\migration\smss.exe');
DeleteFile('C:\WINDOWS\system32\regedit32.exe');
DeleteFile('C:\WINDOWS\system32\borcservice.exe');
DeleteFile('C:\WINDOWS\system32\game.exe');
DeleteFile('C:\WINDOWS\system32\init32.exe');
DeleteFile('C:\WINDOWS\278YC4U.exe');
DeleteFile('C:\WINDOWS\system32\snss.exe');
DeleteFile('C:\WINDOWS\system32\Events.exe');
DeleteFile('C:\WINDOWS\Fonts\B76E0E5C.EXE');
DeleteFile('C:\Program Files\Common Files\System\Slsvc.exe');
DeleteFile('C:\WINDOWS\8B3B901K8B8J.exe');
DeleteFile('C:\WINDOWS\6QOGLJMC2JS.exe');
DeleteFile('C:\WINDOWS\system32\jazy.exe');
DeleteFile('C:\WINDOWS\system32\jbzy.exe');
DeleteFile('C:\WINDOWS\system32\jfmy.exe');
DeleteFile('C:\WINDOWS\system32\jfwk.exe');
DeleteFile('C:\WINDOWS\system32\jfzy.exe');
DeleteFile('C:\WINDOWS\system32\jlfk.exe');
DeleteFile('C:\WINDOWS\system32\jlqk.exe');
DeleteFile('C:\WINDOWS\system32\jwmk.exe');
DeleteFile('c:\windows\system32\KERNEL32.exe');
DeleteFile('C:\WINDOWS\system32\sudbc.exe');
DeleteFile('C:\WINDOWS\system32\svchoat.exe');
DeleteFile('C:\WINDOWS\system32\j.exe');
DeleteFile('C:\WINDOWS\system32\k.exe');
DeleteFile('C:\WINDOWS\66O1YLENOEW.exe');
DeleteFile('C:\WINDOWS\system32\mabidwe.exe');
DeleteFile('c:\windows\mfc42.exe');
DeleteFile('C:\WINDOWS\K3FFM26N.exe');
DeleteFile('C:\WINDOWS\system32\Softwar.exe');
DeleteFile('C:\WINDOWS\system32\svchosa.exe');
DeleteFile('C:\WINDOWS\system32\noytcyr.exe');
DeleteFile('C:\WINDOWS\guocyok88.exe');
DeleteFile('C:\WINDOWS\C6N8KBKRRJ.exe');
DeleteFile('C:\WINDOWS\system32\Station.exe');
DeleteFile('C:\WINDOWS\BO7GYTSC.exe');
DeleteFile('C:\WINDOWS\system32\QQZone.exe');
DeleteFile('C:\WINDOWS\system32\RiSing.exe');
DeleteFile('C:\WINDOWS\system32\roytctm.exe');
DeleteFile('C:\WINDOWS\system32\NPC329.exe');
DeleteFile('C:\WINDOWS\system32\WinHelp.exe');
DeleteFile('C:\WINDOWS\system32\soxpeca.exe');
DeleteFile('C:\WINDOWS\system32\XmrwP\001.exe');
DeleteFile('C:\WINDOWS\system32\takjq.exe');
DeleteFile('C:\WINDOWS\system32\tcim.exe');
DeleteFile('C:\WINDOWS\system32\tdydowkc.exe');
DeleteFile('C:\WINDOWS\system32\IM.exe');
DeleteFile('C:\WINDOWS\system32\WinHelp23.exe');
DeleteFile('C:\WINDOWS\system32\WinHelp321.exe');
DeleteFile('C:\WINDOWS\system32\Helper32.exe');
DeleteFile('C:\WINDOWS\system32\WinHelp3x.exe');
DeleteFile('C:\WINDOWS\system32\wsldoekd.exe');
DeleteFile('C:\WINDOWS\SKGGNS.exe');
DeleteFile('C:\WINDOWS\HXQ3LL44RDL.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ssmfr.sys');
DeleteFile('C:\WINDOWS\system32\ztxvpieo.dll');
DeleteFile('C:\WINDOWS\system32\acpi64.sys');
DeleteFile('C:\WINDOWS\system32\drivers\acpidisk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\pnpmem.sys');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys');
DeleteFile('C:\WINDOWS\Fonts\kzhionlr.dll');
DeleteFile('C:\WINDOWS\system32\kepSafe.exe');
DeleteFile('C:\WINDOWS\system32\vmdetdhc.exe');
DeleteFile('C:\WINDOWS\system32\xunleiBHO12.dll');
DeleteFile('C:\Program Files\Common Files\PushWare\cpush0.dll');
DeleteFile('C:\WINDOWS\Intel\baiduc.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2266.dll');
DeleteFile('c:\windows\system32\iexplorer.exe');
DeleteFile('c:\windows\fonts\mcmzsyaj.dll');
DeleteFile('C:\WINDOWS\Fonts\n1234091583k.exe');
DeleteFile('C:\WINDOWS\Fonts\n1234093984k.exe');
DeleteFile('C:\WINDOWS\Fonts\n1234291349k.exe');
DeleteFile('C:\WINDOWS\Fonts\n1234428295k.exe');
DeleteFile('C:\WINDOWS\Fonts\n1234454094k.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=40510[/url]).
Сделайте новые логи.

Восстановление вроде отключил, но через реестр, так что не уверен. Вот логи:

Прогресс есть. Продолжим.

Пофиксите в HijackThis:
[code]
O2 - BHO: Info cache - {296AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\WINDOWS\Intel\baiduc.dll (file missing)
O4 - HKLM\..\Run: [vmdetdhc.exe] C:\WINDOWS\system32\vmdetdhc.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
[/code]
Выполните скрипт в AVZ:
[code]
begin
SetAVZGuardStatus(True);
BC_DeleteSvc('wmpobj');
BC_DeleteSvc('V1ASCSI');
BC_DeleteSvc('pnpmem');
BC_DeleteSvc('gwhuf');
BC_DeleteSvc('acpidisk');
BC_DeleteSvc('acpi64Drv');
BC_DeleteSvc('ZI6CHKT1V');
BC_DeleteSvc('XM8O02IB2UYX');
BC_DeleteSvc('wsldoekd');
BC_DeleteSvc('WinHelp3x');
BC_DeleteSvc('WinHelp323444');
BC_DeleteSvc('WinHelp321');
BC_DeleteSvc('WinHelp23');
BC_DeleteSvc('WinDuuBa');
BC_DeleteSvc('tdydowkc');
BC_DeleteSvc('tcim');
BC_DeleteSvc('takjq');
BC_DeleteSvc('Switcwaysver');
BC_DeleteSvc('Storm ccsk Service');
BC_DeleteSvc('soxpeca');
BC_DeleteSvc('Seagate Sync Service');
BC_DeleteSvc('RpcS');
BC_DeleteSvc('roytctm');
BC_DeleteSvc('RiSingKaKa');
BC_DeleteSvc('QQZone');
BC_DeleteSvc('QQ4FQ9LIE');
BC_DeleteSvc('Proceduresever');
BC_DeleteSvc('P5GC87PI');
BC_DeleteSvc('NVIDIA Dissplay Drilverv');
BC_DeleteSvc('noytcyr');
BC_DeleteSvc('Network');
BC_DeleteSvc('MS Softwar Provider');
BC_DeleteSvc('MO705X');
BC_DeleteSvc('mfc42');
BC_DeleteSvc('mabidwe');
BC_DeleteSvc('M95GAEW7HFY4');
BC_DeleteSvc('Kingk');
BC_DeleteSvc('Kingj');
BC_DeleteSvc('KingDuuBc');
BC_DeleteSvc('kinagdu');
BC_DeleteSvc('kernel32');
BC_DeleteSvc('jwmk');
BC_DeleteSvc('jlqk');
BC_DeleteSvc('jlfk');
BC_DeleteSvc('jfzy');
BC_DeleteSvc('jfwk');
BC_DeleteSvc('jfmy');
BC_DeleteSvc('jbzy');
BC_DeleteSvc('jazy');
BC_DeleteSvc('IDESRvb');
BC_DeleteSvc('I5M6JNTPB');
BC_DeleteSvc('H1CGNHGPQ');
BC_DeleteSvc('FLEXnet');
BC_DeleteSvc('FE5BC86E');
BC_DeleteSvc('Event Logs');
BC_DeleteSvc('Even Log');
BC_DeleteSvc('DSHDB');
BC_DeleteSvc('DmPnSN');
BC_DeleteSvc('Computer Browser Soft Remote');
BC_DeleteSvc('boorserver');
BC_DeleteSvc('BETWF9');
BC_DeleteSvc('BackGround switch');
BC_DeleteSvc('AuthISvc');
BC_DeleteSvc('aint');
BC_DeleteSvc('afisicx');
BC_DeleteSvc('acpi64');
BC_DeleteSvc('75LZS6ZPU2Q');
BC_DeleteSvc('6C00FYOWO7Q');
BC_DeleteSvc('63AOLV0');
BC_DeleteSvc('2SMMP5');
BC_DeleteSvc('1LZG5PNJ');
BC_DeleteSvc('1239');
BC_DeleteSvc('0Z65L0TQ');
BC_DeleteSvc('0HX142SM8JD');
DeleteFile('C:\WINDOWS\HI9TG4.exe');
DeleteFile('C:\WINDOWS\XR4MBGLB.exe');
DeleteFile('C:\WINDOWS\system32\friend.dll');
DeleteFile('C:\WINDOWS\system32\kepSafe.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.

По крайней мере avz dsod-ом уже не выбивает.
Вот логи:

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\M1NDJB9.exe','');
QuarantineFile('C:\WINDOWS\YJX80BV7M.exe','');
QuarantineFile('c:\windows\system32\wuauserv.dll','');
QuarantineFile('c:\windows\system32\rhmwtfc.dll','');
DeleteFile('C:\WINDOWS\YJX80BV7M.exe');
DeleteFile('C:\WINDOWS\M1NDJB9.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('QBUYI');
BC_DeleteSvc('AZJNC7K');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Повторите логи.

Вот:

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\rhmwtfc.dll');
DeleteFile('C:\WINDOWS\YMDNEI5UXJ37.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('OH9B6ID4ZU');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте логи еще раз, надеюсь - последний ;).

Логи:

Хм, все равно вылазят, непонятно откуда!
Давайте последний раз попробуем:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\7U1ZVF7GO.exe');
DeleteFile('C:\WINDOWS\ADIMHH2QPQ.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('T4ZS2GL1');
BC_DeleteSvc('JEP5DVW');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Если опять мимо - будем консилиум созывать ;)

Вот логи...

Опять вылезли.
Эту зверушку уже добавили в базы Касперского. Скачайте свежий AVPTool и сделайте полную проверку. Должен справиться.

Логи после AVPTool-а... Неужто все? :)

В логе только остатки. Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('VNKRQMX1');
BC_DeleteSvc('F29DS9OW');
BC_DeleteSvc('1JCR4');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать лог Хиджака.
Можно еще подчистить остатки от AVPTool.

После скрипта:

Упустил одного:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('ZBID7QM37P');
BC_Activate;
RebootWindows(true);
end.[/CODe]
Вот это можно профиксить:
[CODe]
O4 - Startup: is-02JDA.lnk = C:\AVIR\Virus Removal Tool\is-02JDA\startup.exe
O4 - Startup: is-CHRI4.lnk = ?
O4 - Startup: is-I0S5U.lnk = C:\AVIR\Virus Removal Tool\is-I0S5U\startup.exe
[/CODe]

Вот:

Установите SP3+all updates...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]34[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\bo7gytsc.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[*] c:\windows\c6n8kbkrrj.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[*] c:\windows\hxq3ll44rdl.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[*] c:\windows\intel\baiduc.dll - [B]not-a-virus:AdWare.Win32.Cinmus.almg[/B]( DrWEB: Adware.Cinmus.1490, BitDefender: Adware.Cinmus.AAL )[*] c:\windows\klch7qhp.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[*] c:\windows\kzl258bsiy.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[*] c:\windows\k3ffm26n.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[*] c:\windows\ly86t2d.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[*] c:\windows\m1ndjb9.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[*] c:\windows\nc1k7ny4e.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[*] c:\windows\ocv71.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[*] c:\windows\rfvf3.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[*] c:\windows\skggns.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[*] c:\windows\system32\angnvw.dll - [B]Backdoor.Win32.PcClient.adyd[/B]( BitDefender: Gen:Trojan.Heur.GM.1140830E28 )[*] c:\windows\system32\drivers\ssmfr.sys - [B]Trojan-Downloader.Win32.RtkDL.gcw[/B]( BitDefender: Trojan.Obfuscated.MQ )[*] c:\windows\system32\instbum.exe - [B]HEUR:Trojan.Win32.Generic[/B]( BitDefender: GenPack:Generic.Rincux2.77F74FC2 )[*] c:\windows\system32\rhmwtfc.dll - [B]Trojan.Win32.Agent.bsls[/B]( BitDefender: Gen:Rootkit.Heur.406E918181 )[*] c:\windows\yjx80bv7m.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[*] c:\windows\278yc4u.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[*] c:\windows\6qogljmc2js.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[*] c:\windows\66o1ylenoew.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[*] c:\windows\8b3b901k8b8j.exe - [B]Worm.Win32.Agent.tj[/B]( BitDefender: Worm.Generic.48286 )[/LIST][/LIST]