Все банально - при загрузке баннер с просьбой разориться.
после запуска get.exe. - баннера не стало.
Вручную удалил из автозагрузки вирусный экзешник.
avz многое не нравится.
логи в прицепе.

Отключите интернет и локальную сеть если таковая имеется.
Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1).
• Скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой (http://virusnet.info/forum/showthread.php?t=2065) теме.

• Сохраните реестр:
Скачайте ERUNT (http://www.geekstogo.com/forum/index.php?autocom=downloads&showfile=113), установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.


• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

F2 - REG:system.ini: UserInit=\.globalrootsystemrootsystem32userinit.exe,



• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('globalroot\systemroot\system32\userinit.exe','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com (mailto:newvirus@kaspersky.com). Результаты ответа, сообщите здесь, в теме.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

И сделайте лог
• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://www.malwarebytes.org/mbam/database/mbam-rules.exe).

iskander-k
после скрипта войти в систему невозможно,
поскольку не стало userinit. скопировал со здоровой системы - сейчас все ок.

А лог МБАМ вы не сделали.

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\WINDOWS\system32\bkzxvz.dll','');
DeleteFile('H:\WINDOWS\system32\bkzxvz.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Сохраните текст ниже как cleanup.bat в ту же папку, где находится mfbdb93l.exe (gmer)
mfbdb93l.exe -del service rrxcbnaag
mfbdb93l.exe -del file "H:\WINDOWS\system32\bkzxvz.dll"
mfbdb93l.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rrxcbnaag"
mfbdb93l.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rrxcbnaag"
mfbdb93l.exe -rebootИ запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

после скрипта войти в систему невозможно, »

globalroot\systemroot\system32\userinit.exe »
Странный путь для userinit (хотя возможен глюк АВЗ и в хиджаке сразу ?)

У вас сборка - чья?

Странный путь для userinit (хотя возможен глюк АВЗ и в хиджаке сразу ?)
У вас сборка - чья? »
да... путь какой-то странный.
сборка стандартная лицензионная home edition.
комп малость подвисает. похоже еще что-то с файловой системой.
chkdsk не работает. при запланированной загрузке на проверку пишет Cannot open volume for direct access.
если вирусного ничего не осталось, попробую накатить sp3.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
вот это сделать не получилось. скачал базы, установил при запуске пишет базы не подходят для этой версии продукта, хотя скачал последнюю версию программы с сайта.

По логам МБАМ - чисто

И нашло и удалило что удалил доктор веб(удалило из его карантина.).

По логу гмер - чисто .
Гмер удалил руткита.

вот это сделать не получилось »
Возможно сетевой экран заблокировал доступ.

Логи AVZ еще раз сделайте

Все банально - при загрузке баннер с просьбой разориться. »В зависимости от версии вымогателя в ход пускают разные версии утилиты get. В данном случае в системе скорее всего остался драйвер, подмененный вымогателем :(

Скачайте get3 (http://depositfiles.com/files/0trzoz6ec) - распакуйте и запустите в следующем сообщении присоедините файлик drv.sys который появляется в папке, откуда вы запускали get3.

iskander-k
запустил, комп перезагрузился, однако файла drv.sys не создалось!!!!
интересно следующее - раньше комп загружался до приветствия с пользовательской иконкой.
по которой щелкали и входили.
после выполнения get3- происходит автологон.

thyrex,

запустил, комп перезагрузился, однако файла drv.sys не создалось!!!! »
Файлик появится если в системе есть драйвер подмененный зловредом. Если его нет значит зловреда уже удалили.

iskander-k
а слогами avz все ок?
после выполнения 3 скрипта он выдал сообщение, что сделал какие то изменения, комп надо перезагрузить.

а слогами avz все ок? »
По логам я больше ничего не вижу.
после выполнения 3 скрипта он выдал сообщение, что сделал какие то изменения, комп надо перезагрузить. »
Восстановлено 2 функций KiST в ходе работы антируткита


Программы МБАМ и Gmer можете удалить с компьютера.

Восстановлено 2 функций KiST в ходе работы антируткита »
именно это.

По логам я больше ничего не вижу. »
спасибо за помощь.