klpclst.dat в папке с абракадаброй вместо названия, корневой каталог системного диска

S.R · Отправлено: **23:03, 15-02-2012** | #2

Сейчас посмотрим

Отключите:
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, меню Файл\Выполнить скрипт)

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yrRXYmjESGE.exe','');
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\Zu557QI2.sys','');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\Zu557QI2.sys');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yrRXYmjESGE.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteFileMask('C:\Users\Администратор\AppData\Roaming\kFv3DjpT2zoZLEm', '*', true);
 DeleteFileMask('C:\Users\Администратор\AppData\Roaming\li8WjK1eDBouBd2', '*', true);
 DeleteDirectory('C:\Users\Администратор\AppData\Roaming\kFv3DjpT2zoZLEm');
 DeleteDirectory('C:\Users\Администратор\AppData\Roaming\li8WjK1eDBouBd2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отошлите через веб-форму.

Сделайте новые логи AVZ & RSIT

denbrough · Отправлено: **15:10, 16-02-2012** | #3

Сделано!

thyrex · Конфигурация компьютера

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

denbrough · Отправлено: **17:45, 16-02-2012** | #5

Сделано!

S.R · Отправлено: **18:02, 16-02-2012** | #6

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол

Код:

KillAll::


Folder::
C:\vYLArp0oAm8oKla
c:\users\Администратор\AppData\Roaming\vYLArp0oAm8oKla

ClearJavaCache::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

Когда сохранится новый отчет ComboFix, прикрепите его к сообщению.

denbrough · Отправлено: **18:23, 16-02-2012** | #7

Сделано!

S.R · Отправлено: **14:04, 17-02-2012** | #8

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол

Код:

KillAll::

Folder::
C:\vYLArp0oAm8oKla
c:\users\Администратор\AppData\Roaming\vYLArp0oAm8oKla

Reboot::

Переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, прикрепите его к сообщению.

denbrough · Отправлено: **15:31, 17-02-2012** | #9

Сделано!

thyrex · Конфигурация компьютера

Попробуйте сохранить файл со скриптом в корне диска С и перетащить на пиктограмму утилиты