[S.R]

Сейчас посмотрю логи.

[S.R]

Отключите:
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, меню Файл\Выполнить скрипт)

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Documents and Settings\Администратор\Application Data\MicroST', '*.*', true, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Администратор\Application Data\BNkzjIFsaeZiofM', '*.*', true, '', 0, 0);
 DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\MicroST', '*.*', true);
 DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\BNkzjIFsaeZiofM', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\MicroST');
 DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\BNkzjIFsaeZiofM');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(10);
 ExecuteRepair(6);
 ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отошлите через веб-форму.

• Скачайте ComboFix по одной из этих ссылок. Сохраните программу на рабочий стол.
  
  • ComboFix.exe
  • ComboFix.exe
• Важно! На время работы программы отключите всё защитное программное обеспечение.
• Дважды щёлкните по значку, чтобы запустить программу. Убедитесь, что все остальные программы закрыты.
• Во время работы ComboFix не нажимайте кнопки мыши, это может стать причиной зависания программы.
• Когда сканирование завершится, файл C:\ComboFix.txt прикрепите к сообщению.

прим. В случае, если ComboFix не запускается, переименуйте combofix.exe в svchost.exe

[Андрей 87]

Огромное Спасибо за помощь!
Выполнил скрипты в AVZ, отослал архив quarantine.zip

А вот с ComboFix возникли некоторые проблемы. На втором шаге (stage 2) вылетело окно (1.jpg) информирующее, что в системе отсутствует Microsoft Windows recovery console и, что эта консоль нужна и ComboFix загрузит её был бы интернет, я нажал "Ок". Но интернет я не смог подключить: выходило окно "ошибка подключения", вышло новое окно (2.jpg) о неудаче загрузки требуемых файлов, нажал "Ок" и сразу ещё одно окно (3.jpg) "Ошибка приложения", нажал "Ок". Потом всё пошло дальше в самом конце после выполнения 50 шагов ещё вылезло 2 окна (4.jpg) и (5.jpg). Работу ComboFix завершил нормально без обрыва.

И, что радует злосчастная папка с klpclst.dat перестала появляться при запуске total-а!!!

[Андрей 87]

Проблема не исчезла! После перезагрузки папка с klpclst.dat появилась вновь, но стала скрытной т.е. её видно только если в total-e зайти в папку "мой компьютер" и из неё на диск С, через некоторое время она снова скрывается. Ещё исчезла языковая панель...

[alex_sev]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\PYHLownUthE.exe

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[Андрей 87]

Всё сделал, на этот раз не стал отключать интернет и Microsoft Windows recovery console успешно установилась. На 2-ом шаге снова вылезло окно (3.jpg в сообщении #4). В конце компьютер перезагрузился и после ComboFix создал отчёт.

Благодарю Вас, что уделяете мне своё время!

[alex_sev]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\PYHLownUthE.exe

Folder::
C:\7a6vHav3hoMzgRQ
c:\documents and settings\Администратор\Application Data\7a6vHav3hoMzgRQ

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[Андрей 87]

Всё сделал, окно "Ошибка приложения" так же вылезло на 2-ом шаге, остальное всё нормально.

[alex_sev]

Уже лучше, теперь по порядку:

Первое: Файл c:\windows\system32\srsvc.dll проверьте на Virustotal результат сообщите

Второе: Скопируйте текст ниже в блокнот и сохраните, как файл, с названием CFScript.txt на рабочий стол:

Код:

DeQuarantine:: 
C:\Qoobox\Quarantine\C\windows\system32\msconfig.exe.vir
C:\Qoobox\Quarantine\C\windows\system32\odbcad32.exe.vir

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe"
Quit::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe:

Когда ComboFix завершит работу, то создаст в корне системного диска лог DeQuarantine.txt, содержимое которого необходимо скопировать в свое сообщение.

Третье: Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Четвертое: подготовьте новые логи AVZ и RSIT по правилам.