[SolarSpark]

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msupdate.sys','');
QuarantineFile('cvob473.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\kwhpwftt.dat','');
DeleteFile('C:\WINDOWS\system32\drivers\kwhpwftt.dat');
DeleteFile('cvob473.exe');
DeleteFile('msupdate.sys');
DeleteFileMask('C:\2CyClG1o1LZdFC0', '*.*', true);
DeleteDirectory('C:\2CyClG1o1LZdFC0');
DeleteFileMask('C:\S27n8Mg70K474TR', '*.*', true);
DeleteDirectory('C:\S27n8Mg70K474TR');
DeleteFileMask('C:\Documents and Settings\Дизайнер\Application Data\MicroST', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Дизайнер\Application Data\MicroST');
DeleteService('msupdate');
DeleteService('hsvpagia');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','reszrv');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','reszrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

ЕСЛИ НАСТРОЙКИ ВАМ НЕ ЗНАКОМЫПофиксить в HijackThis следующие строчки:

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://sexydoll.ru/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.100:8080

Пофиксить в HijackThis следующие строчки:

Код:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM
_____________________________________________________________________________

[pasasavin]

Спасибо. Сделал все, как вы сказали. Quarantine.zip отправил. Логи прилагаю.
Вчера, видимо, случайно переименовал файл klpclst.dat в папке C:\S27n8Mg70K474TR, поэтому AVZ его не убил. Удалил папку вручную.
Malwarebytes' Anti-Malware нашел много всякого. Весь мусор удалил. Лог в приложении.
Никаких видимых аномалий не замечаю. Жду вердикта по логам.

[SolarSpark]

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Erencn.sys','');
DeleteFile('c:\WINDOWS\system32\ieunitdrf.inf');
DeleteFile('c:\program files\DrWeb\infected.!!!\igfxtray.exe.620353');
DeleteFileMask('C:\S27n8Mg70K474TR', '*.*', true);
DeleteDirectory('C:\S27n8Mg70K474TR');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Повторите лог RSIT

[pasasavin]

Сделал: quarantine.zip отправил, лог RSIT прикладываю.

[SolarSpark]

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\1B9E~1\LOCALS~1\Temp\15.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\1B9E~1\LOCALS~1\Temp\15.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

В остальном все неплохо

Обновите adobe reader, Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию)
Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

Код:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите enter. Для подтверждения перезаписи нажмите Y

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска
Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

[pasasavin]

Все сделал, обновил, почистил.
Спасибо огромное за помощь и советы.