[MotherBoard]

Здравствуйте.
Выполните скрипт:

Код:

begin
 ExecuteRepair(16);
RebootWindows(true);
end.

Профиксьте в HJT

Код:

F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\ICQ\icq.exe
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

IP- фдреса ваши?
77.40.0.2,77.40.0.3?

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

сделайте логи RSIT

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
 QuarantineFile('c:\program files\common files\icq\icq.exe','');
 TerminateProcessByName('c:\program files\common files\icq\icq.exe');
 DeleteFile('c:\program files\common files\icq\icq.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip отправьте мне на aleksandra.sedakova[antispam]gmail.com

4. Повторите лог virusinfo_syscheck.

[levantin]

Motherboard: Скрипт выполнил, информер пропал, F3 не нашел, 03 пофиксил. 77.40.0.2,77.40.0.3 адреса мои в настройках ADSL. Логи выкладываю. Выполнять рекомендации Александры или уже поздно?

[Drongo]

Цитата levantin:

Выполнять рекомендации Александры или уже поздно? »

Выполняйте.

[levantin]

Обновил KIS, запустил полную проверку, Каспер нашел
Trojan.Win32.Qhost.nji по адресу C:\WIN\SYS32\dr\etc\hosts - удалил,
Trojan.Win32.FraudPack.aybg - C:\PF\CF\ICQ\icq.exe - начал лечение потом пезагрузился.
После перезагрузки снова появился иэтотже информер.
Выполнил скрипты 1 Александры. Информер пропал, но avz больше не запускается, выдает ошибку "Access violation at address 00497D2C(00497E41, 0048FCB0) in module 'avz.exe'. Read of address 000000030." Никакие переименования не помогают.

[levantin]

Выполнил скрипт 2 Александры после перезагрузки в безопасном режиме. Потом сделал лог virusinfo_syscheck - выкладываю, карантин по почте.

[Analyzer]

сделайте логи этой AVZ.

[levantin]

По рекомендации Analyzer cделал логи "его" avz. Внешних признаков заражения не наблюдается.

[Aleksandra]

Выполните скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.

Ничего плохого в логах не увидела. Что с проблемами?