[ONprazdnik]

Удалите в МВАМ только указанные строки
Код:
.....

Таких нет
______________________
Мои документы снова открываются после загрузки Виндоус

[zirreX]

Запустите OTL. Скопируйте ниже написанный скрипт в окно Custom Scans/Fixes и нажмите кнопку Run Fix

Код:

:OTL
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Admin\cbzvl.exe) - C:\Documents and Settings\Admin\cbzvl.exe ()
O32 - AutoRun File - [2011.06.02 22:36:34 | 000,000,279 | ---- | M] () - E:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2011.06.02 22:36:34 | 000,000,279 | ---- | M] () - G:\autorun.inf -- [ FAT32 ]
O33 - MountPoints2\{3e6dfbc3-3745-11e0-98de-001d72122ad3}\Shell - "" = AutoRun
O33 - MountPoints2\{3e6dfbc3-3745-11e0-98de-001d72122ad3}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{5bf832e0-b755-11df-9761-001e4c43b448}\Shell\AutoRun\command - "" = LITAR\\krvi.exe
O33 - MountPoints2\{5bf832e0-b755-11df-9761-001e4c43b448}\Shell\explore\command - "" = LITAR\\\krvi.exe
O33 - MountPoints2\{5bf832e0-b755-11df-9761-001e4c43b448}\Shell\open\command - "" = LITAR\\\krvi.exe
O33 - MountPoints2\{68029ada-7925-11df-96db-001e4c43b448}\Shell\AutoRun\command - "" = evonocas/nisamtebe.exe
O33 - MountPoints2\{68029ada-7925-11df-96db-001e4c43b448}\Shell\Explore\command - "" = evonocas/nisamtebe.exe
O33 - MountPoints2\{68029ada-7925-11df-96db-001e4c43b448}\Shell\Open\command - "" = evonocas/nisamtebe.exe
O33 - MountPoints2\{7e2e2c62-6c12-11e0-9975-001d72122ad3}\Shell\AutoRun\command - "" = E:\vlada/budala.exe
O33 - MountPoints2\{7e2e2c62-6c12-11e0-9975-001d72122ad3}\Shell\Explore\command - "" = E:\vlada/budala.exe
O33 - MountPoints2\{7e2e2c62-6c12-11e0-9975-001d72122ad3}\Shell\Open\command - "" = E:\vlada/budala.exe
O33 - MountPoints2\{89b4a75c-d0f9-11df-97bb-001d72122ad3}\Shell\AutoRun\command - "" = E:\evonocas/nisamtebe.exe -- [2011.05.19 09:40:28 | 000,202,752 | RHS- | M] ()
O33 - MountPoints2\{89b4a75c-d0f9-11df-97bb-001d72122ad3}\Shell\Explore\command - "" = E:\evonocas/nisamtebe.exe -- [2011.05.19 09:40:28 | 000,202,752 | RHS- | M] ()
O33 - MountPoints2\{89b4a75c-d0f9-11df-97bb-001d72122ad3}\Shell\Open\command - "" = E:\evonocas/nisamtebe.exe -- [2011.05.19 09:40:28 | 000,202,752 | RHS- | M] ()
MsConfig - StartUpFolder: C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^chkntfs.exe -  - File not found
[2011.06.02 11:18:20 | 000,202,752 | RHS- | C] () -- C:\Documents and Settings\Admin\cbzvl.exe
[2010.09.19 19:47:41 | 000,418,705 | ---- | C] () -- C:\Program Files\Common Files\jqyrg4inedzz13m
[2010.08.31 00:40:39 | 000,000,056 | RHS- | C] () -- C:\WINDOWS\System32\1BC08526BD.sys
[2010.08.11 21:02:19 | 000,000,088 | RHS- | C] () -- C:\Documents and Settings\All Users\Application Data\4923ADECE9.sys


:Files
autorun.inf /alldrives 
recycler /alldrives
ipconfig /flushdns /c

:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[EMPTYFLASH]
[Reboot]

Компьютер перезагрузится.
Прикрепите полученный лог к вашему сообщению.

[ONprazdnik]

Перед получением последнего сообщения, удалял все контрольные точки восстановления.

После выполнения предложенных действий
Компьютер не перезагрузился, исчезли все ярлыки с рабочего стола, диспетчер задач тоже не запускался, через F4 перезагрузиться тоже не удалось...
Сделал принудительное выключение.
После загрузки папка мои документы опять открылась.
На "G" файла авторана - нет. На "F" - снова создался

[ONprazdnik]

ссылка по прежнему периодически открывается

[zirreX]

Цитата ONprazdnik:

После загрузки папка мои документы опять открылась. »

Для решения этой проблемы сделайте следующее.

Скопируйте следующий текст в блокнот и сохраните с расширением .reg
Запустите этот файл и согласитесь с внесением информации в реестр.

Код:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"PersistBrowsers"=dword:00000000

Какое устройство обозначается буквой F:?

[ONprazdnik]

Цитата zirreX:

Какое устройство обозначается буквой F:? »

Флешка на 2Гб

[zirreX]

● Выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('G:\evonocas/nisamtebe.exe','');
 QuarantineFile('G:\autorun.inf','');
 QuarantineFile('C:\Documents and Settings\Admin\cbzvl.exe','');
 QuarantineFile('E:\evonocas/nisamtebe.exe','');
 QuarantineFile('E:\autorun.inf','');
 DeleteFile('C:\Documents and Settings\Admin\cbzvl.exe');
DeleteFile('F:\autorun.inf');
 DeleteFile('E:\autorun.inf');
 DeleteFile('E:\evonocas/nisamtebe.exe');
 DeleteFile('G:\autorun.inf');
 DeleteFile('G:\evonocas/nisamtebe.exe');
DeleteFileMask('G:\evonocas/','*.*', true);
DeleteFileMask('F:\evonocas/','*.*', true);
DeleteFileMask('E:\evonocas/','*.*', true);
DeleteDirectory('G:\evonocas/');
DeleteDirectory('F:\evonocas/');
DeleteDirectory('E:\evonocas/');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи формы http://oszone.net/virusnet

Сделайте новые логи AVZ & RSIT.

Что с проблемой после выполнения скрипта?

[ONprazdnik]

Карантин отправил.
Логи подготавливаю...
Файл авторана на флешке ("F") - остался, но открывается флешка нормально, хотя обозначается в моем компьютере по прежнему как папка, а не как съемный диск, форматировать ее не получается, мешает запущенный процесс.

По поводу пресловутой ссылки - открывается опять

[ONprazdnik]

готовы логи

[zirreX]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Подробнее в "ComboFix. Руководство по применению."

Сделайте новый лог полного сканирования MBAM.