блокирование IE

Добрый день!
Проблемы вот какого характера: заблокирован выход на сайты, вылетает ошибка svhost.exe
вот логи

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-6448636360-0402320497-271402763-2822\mwau.exe','');
QuarantineFile('C:\WINDOWS\sysmngsr322.exe','');
DeleteService('ATICDSDr');
QuarantineFile('c:\windows\system32\drivers\zrxmgr.exe','');
QuarantineFile('c:\windows\sysmngsr322.exe','');
DeleteFile('c:\windows\sysmngsr322.exe');
DeleteFile('c:\windows\system32\drivers\zrxmgr.exe');
DeleteFile('C:\DOCUME~1\home\LOCALS~1\Temp\{1735A~1\atiicdxx.sys');
DeleteFile('C:\WINDOWS\sysmngsr322.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6448636360-0402320497-271402763-2822\mwau.exe');
ExecuteRepair(9);
SetAVZPMStatus(true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]

2.Повторить логи

не чего не изменилось(((
на диске С создался файл левый
вот логи

[COLOR="Red"][B]*Если у Вас уже имеется HiJackThis, также убедитесь, что Вы используете последнюю версию программы.[/B][/COLOR]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\sysmngsr322.exe
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\zrxmgr.exe');
TerminateProcessByName('c:\windows\sysmngsr322.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-8731088642-6659013432-578060576-5609\mwau.exe','');
QuarantineFile('c:\windows\system32\drivers\zrxmgr.exe','');
QuarantineFile('c:\windows\sysmngsr322.exe','');
DeleteFile('c:\windows\sysmngsr322.exe');
DeleteFile('c:\windows\system32\drivers\zrxmgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8731088642-6659013432-578060576-5609\mwau.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','TaskMan');
DeleteFileMask('c:\windows\system32','??.scr';false);
DeleteFileMask('c:\windows\system32','?.scr';false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

скрипт не выполняеться....
Ошибка "Ошибка: ')' expected в позиции 13:47"

Замените в скрипте строчки
[QUOTE] DeleteFileMask('c:\windows\system32','??.scr';false);
DeleteFileMask('c:\windows\system32','?.scr';false);
[/QUOTE]
на
[CODE] DeleteFileMask('c:\windows\system32','??.scr',false);
DeleteFileMask('c:\windows\system32','?.scr',false);
[/CODE]
и попробуйте выполнить

нечего не изменилось...
при перезагрузке появляються файлы в корне диска С и в папке темп.
щас выложу логи

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]

вот логи

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\ZrxMgr.exe
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\sysmngsr322.exe');
QuarantineFile('C:\WINDOWS\system32\drivers\ZrxMgr.exe','');
QuarantineFile('C:\WINDOWS\sysmngsr322.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7494533033-5971370913-241040200-4349\mwau.exe','');
QuarantineFile('c:\windows\sysmngsr322.exe','');
DeleteFile('c:\windows\sysmngsr322.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7494533033-5971370913-241040200-4349\mwau.exe');
DeleteFile('C:\WINDOWS\sysmngsr322.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ZrxMgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','TaskMan');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(7);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]. [COLOR="Red"][B]Не забудьте нажать кнопку SCAN после запуска программы!!![/B][/COLOR]
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

начало выдавать ошибку svchost.exe....
карантин выслал

...

[COLOR="Red"][B]*Если у Вас уже имеется HiJackThis, также убедитесь, что Вы используете последнюю версию программы.[/B][/COLOR] 8)

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\ZrxMgr.exe
[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\srwsvc.sys','');
TerminateProcessByName('c:\windows\system32\drivers\zrxmgr.exe');
TerminateProcessByName('c:\windows\sysmngsr322.exe');
TerminateProcessByName('c:\windows\system32\drivers\jwrb.exe');
DeleteFile('c:\windows\system32\drivers\jwrb.exe');
DeleteFile('c:\windows\sysmngsr322.exe');
DeleteFile('c:\windows\system32\drivers\zrxmgr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srwsvc.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-4037529483-1514017758-746233699-9244\mwau.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','TaskMan');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

все тоже самое появилось при рестарте...
ща выложу логи
:(:(

вот логи

[SIZE="1"][COLOR="Red"][B]В архиве 3 файла которые создаються при перезагрузке файлы *.exe[/B][/COLOR] ПРИСЛАТЬ ПО ПРАВИЛАМ ПРИЛОЖЕНИЕ 2 И 3 !!!! В ТЕМУ ФАЙЛЫ НЕ ЛЕПИТЬ.[/SIZE]

ВТОРОЕ НАПОМИНАНИЕ!!!
[COLOR="Red"][B]*Если у Вас уже имеется HiJackThis, также убедитесь, что Вы используете последнюю версию программы.[/B][/COLOR] 8)

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\ZrxMgr.exe
[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\zrxmgr.exe');
DeleteFile('c:\windows\system32\drivers\zrxmgr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srwsvc.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

я этот архив уже присылал, но вы про него ни слова не сказали. Вот решил прям сюда, чтоб наверняка.

[QUOTE=SkY86;447141]я этот архив уже присылал, но вы про него ни слова не сказали. [/QUOTE]Вы ни слова не спрашивали:
[QUOTE]f2o1b6n1y7d4.exe детектируется как Backdoor.Win32.Poison.amoo[/QUOTE]

вот логи

проведите курс лечения: [url]http://virusinfo.info/showthread.php?t=15927[/url]
Потом новые логи :)

все сделал вот логи

Отключите автозапуск с флешек: АВЗ/Файл/Мастер поиска и устранения проблем, Все проблемы...запустить - отметить на устранение - запустить.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\sysmgr.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\winlogon.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\winlogon.exe
[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\sysmgr.exe');
QuarantineFile('J:\autorun.inf','');
QuarantineFile('J:\RECYCLER\S-51-9-25-3434476501-1644491922-601013333-1214\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
QuarantineFile('c:\windows\system32\drivers\winlogon.exe','');
TerminateProcessByName('c:\windows\system32\drivers\winlogon.exe');
QuarantineFile('c:\windows\system32\sysmgr.exe','');
DeleteFile('c:\windows\system32\sysmgr.exe');
DeleteFile('c:\windows\system32\drivers\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
DeleteFile('J:\RECYCLER\S-51-9-25-3434476501-1644491922-601013333-1214\winlogon.exe');
DeleteFile('J:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

вроде все норм...
щас выложу логи

вот логи

в папке IE создаеться файл iedw.exe вот осталось единственное что

Рекомендуется установить Internet Explorer 8, т.к. шестой очень ненадежен

[QUOTE='SkY86;447663']в папке IE создаеться файл iedw.exe[/QUOTE]
Это нормально. Это комнонент, который обрабатывает падения именно IE

а в логах чисто все?

Да

тогда все спс...
спс за помощь:>

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \f2o1b6n1y7d4.exe - [B]Backdoor.Win32.Poison.amoo[/B] ( DrWEB: BackDoor.Poison.767, BitDefender: Trojan.Dialer.VYK, NOD32: Win32/AutoRun.IRCBot.BG worm, AVAST4: Win32:Refroso-B [Drp] )[/LIST][/LIST]