[Arbitr]

выполните след. скрипт в AVZ

Код:

begin SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 QuarantineFile('C:\Documents and Settings\Ира.466B8FCCC8A841B\Рабочий стол\игры\Alawar\Alawar_Wrapper_Protected_Games_UniCrack_v0_5_by_Mysterio.exe','');
QuarantineFile('C:\PROGRA~1\SOLO9R~1\SoloRes.dll','');
 QuarantineFile('C:\WINDOWS\system32\rcltek.exe','');
 QuarantineFile('C:\WINDOWS\system32\21363708.exe',''); 
DeleteFile('C:\WINDOWS\system32\21363708.exe');
 DeleteFile('C:\WINDOWS\system32\rcltek.exe'); 
DeleteFile('G:\autorun.inf'); 
BC_ImportAll;
 ExecuteSysClean; 
BC_Activate; 
ExecuteRepair(1);
 ExecuteRepair(20); 
RebootWindows(true);
 end.

комп. перезагрузится, выполнить еще один скрипт

Код:

begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.

полученный в результате карантин отправить по адресу newvirus@kaspersky.com результат выложить в следующем посте
повторите логи

[thyrex]

А также

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Razey]

Комп нормально загрузился. Логи AVZ сделал, log.txt и info.txt тоже вложил (см. вложенные файлы), quarantine.zip на указанный адрес выслал. Результат об отправке выложу позже. Не сочтите за флуд: 1. Что это было (как называется)? 2. Как от него уберечь комп (что читать, что знать, что применить)?

[Arbitr]

активного заражения не вижу, хочу предложить вам отключить автозапуск для этого выполнить следующий скрипт

Код:

Begin RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '223'); end.

Цитата Razey:

Что это было (как называется) »

заражение автораном (более грамотные хелперы пусть меня поправят)

Цитата Razey:

2. Как от него уберечь комп (что читать, что знать, что применить)? »

я уже предложил вам отключить автозапуск, так же предлагаю регулярно проверять систему cureit или онлайнсканер касперского , ну и конечно же обновления!! не только системы но и браузеров и продуктов Adobe ваши: месенджеры, квиктайм, java
http://www.freedrweb.com/cureit/
http://www.kaspersky.ru/virusscanner

[Arbitr]

простите исправленный скрипт

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll'); DeleteFile('%windir%\system32\sfcfiles.bak');
 BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
 BC_Activate;
 RebootWindows(true);
 end.

[Razey]

Скрипт выполнил. Спасибо :-) . Скрипт для отключения автозапуска тоже выполнил. Пришел ответ от автоматической системы приема писем (прикрепляю, файл otvet_kaspersky.txt). Также возник вот какой вопрос: на одном из форумом (возможно, даже и на oszon'e) увидел скрипт реестра (отмена автозапуска, его ссылание на ветвь в реестре, т.н. "перенаправляемый" автозапуск, который в любом случае будет считываться из реестра, а не с флешки или диска (прилагаю, файл autorun.rar)). Выполнил его на свой страх и риск, не особенно вникая в особенности его работы. Могло ли это стать одной из причин заражения?

[Arbitr]

Цитата Razey:

Могло ли это стать одной из причин заражения? »

нет, данный файл вы сможете открыть с помощью блокнота и увидеть содержимое.

Цитата Razey:

Выполнил его на свой страх и риск, не особенно вникая в особенности его работы »

не советую!! выполнять какие либо файлы, особенно работа с реестром!!!!! систему зарубите на раз. если вы не уверены в том что он делает то что вам нужно.

[Drongo]

Цитата Razey:

Выполнил его на свой страх и риск, не особенно вникая в особенности его работы. Могло ли это стать одной из причин заражения? »

Нет, это некая заглушка против вирусов-авторан.

Если хочется максимально защитить себя от авторанов, могу порекомендовать это средство - NoMoreAutorun - утилита для отключения автозапуска. в скрипте присутствует настройка, которая есть в вашем файле reg.