pasha281282, Явных зловредов не видно, ОС вроде не стандартная (какая-то сборка), попробуйте деинсталлировать VistaDriveIcon. Если ставили антивирус касперского версии выше KIS7 ,
удалите полностью антивирус касперского и поставьте заново (или временно, для проверки, поработайте без него).
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\z629oy11.default\FlashGot.exe','');
QuarantineFile('E:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\z629oy11.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}\chrome\flashgot.jar','');
QuarantineFile('C:\Мои документы\ШАРА\Bonus\OPEN PASS\OPENPASS.RAR','');
QuarantineFile('E:\Program Files\Kristanix\Right Click Image Converter\extRCIC.dll','');
QuarantineFile('E:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DeleteFile('C:\Мои документы\ШАРА\Bonus\OPEN PASS\OPENPASS.RAR');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('OMSCAN')
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
если файл OPENPASS.RAR вам очень нужен (PSWTool.Win32.OpenPass.10), можете удалить из скрипта строчку
Код:
DeleteFile('C:\Мои документы\ШАРА\Bonus\OPEN PASS\OPENPASS.RAR');
можно пофиксить в hijackthis строчки
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = start.qip.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection E:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection E:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection E:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection E:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
