Здравствуйте. Мой компьютер заражен вирусом. При попытки открыть антивирусные сайты (Dr Web, например) браузер тут же закрывается. Также наличествуют подозрительные файлы в корне на дисках C: и D:, а также в C:\Windows\Syswow64 и еще много где. Во многих папках файлы с расширениями .exe, .bat, .cif и именами, совпадающими с названием папки. Также система утверждает, что у меня в буфере записи на диск есть файлы. Вот логи. Прошу помощи.

Здравствуйте!

1)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\users\brainf~1\appdata\local\temp\cehrp.exe');
TerminateProcessByName('c:\windows\zmaveamfxhqqbvct.exe');
QuarantineFile('c:\users\brainf~1\appdata\local\temp\cehrp.exe','');
QuarantineFile('C:\Users\BRAINF~1\AppData\Local\Temp\gujfpmztmxhiupxpm.exe .','');
QuarantineFile('C:\Users\BRAINF~1\AppData\Local\Temp\newviiyvrfswljuppbhy.exe','');
QuarantineFile('C:\Users\BRAINF~1\AppData\Local\Temp\newviiyvrfswljuppbhy.exe .','');
QuarantineFile('C:\Users\BRAINF~1\AppData\Local\Temp\peurcaojdpacplunlv.exe','');
QuarantineFile('C:\Users\BrainFreeze\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.pif','');
QuarantineFile('C:\Windows\system32\newviiyvrfswljuppbhy.exe','');
QuarantineFile('C:\Windows\system32\peurcaojdpacplunlv.exe','');
QuarantineFile('c:\windows\zmaveamfxhqqbvct.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\aejvvil.bat','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('D:\aejvvil.bat','');
DeleteFile('c:\users\brainf~1\appdata\local\temp\cehrp.exe');
DeleteFile('C:\Users\BRAINF~1\AppData\Local\Temp\gujfpmztmxhiupxpm.exe .');
DeleteFile('C:\Users\BRAINF~1\AppData\Local\Temp\newviiyvrfswljuppbhy.exe');
DeleteFile('C:\Users\BRAINF~1\AppData\Local\Temp\newviiyvrfswljuppbhy.exe .');
DeleteFile('C:\Users\BRAINF~1\AppData\Local\Temp\peurcaojdpacplunlv.exe');
DeleteFile('C:\Users\BrainFreeze\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.pif');
DeleteFile('C:\Windows\system32\newviiyvrfswljuppbhy.exe');
DeleteFile('C:\Windows\system32\peurcaojdpacplunlv.exe');
DeleteFile('c:\windows\zmaveamfxhqqbvct.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\aejvvil.bat');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\aejvvil.bat');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','rcohoisjzho mvn');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gmthjydpa');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','zgodgwcpbf') ;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ugtnvqbtktbakdj ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run ','puanocgr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run ','uclbfwdrejn');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmthjydpa');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','zgodgwcpbf' );
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rakbgygvjpuq');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','qaldjclbqxda i');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(8);
ExecuteRepair(10);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

2)
Сделайте дополнительно лог HiJackThis (http://forum.oszone.net/post-1430293-2.html).

3)
Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%/Malwarebytes/Malwarebytes' Anti-Malware/Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe) Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=16050)

Повторите логи AVZ (стандартный скрипт 2) и RSIT.

Возникли сложности. Ссылка на hijackthis в факе - не прямая, и браузер закрывается при попытке открыть страницу. При попытке установить MBAM программа установки сворачивается после выбора языка и первого нажатия кнопки Next и больше не разворачивается. Логи Rsit и AVZ прилагаю, карантин на почту послал.

П.С. АВЗ выполнялся без драйвера АВЗПМ, так как при нажатии на кнопку "установить драйвер АВЗПМ" ничего не происходит.

AVZ запускали от имени администратора ? Снова выполните написанное в посте №2 (http://forum.oszone.net/post-2161492-2.html). Карантина на почте тоже не вижу, так что продублируйте.

лог MBAM посторайтесь сделать в безопасном режиме.

PS. а разве кто-нибудь просил установить драйвер AVZPM ?! самостоятельно настройки не меняйте и ничего не включайте !

АВЗ, нет, не от администратора.
Насчет АВЗПМ - это инструкция в ФАКе - 4. Запустите AVZ и обновите базы (Файл - Обновление баз). В меню AVZM выберите "Установить драйвер расширенного мониторинга процессов" (не забудьте после окончания лечения удалить драйвер AVZM). Выберите из меню Файл - Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

Вот у меня этот самый драйвер не ставится

Насчет АВЗПМ - это инструкция в ФАКе »
где ? ссылочку можно ?

На Windows 7 AVZ нужно запускать через контекстное меню проводника "Запустить от имени Администратора" т.к. административная учетная запись понижена в правах. Настройки в АВЗ не трогайте!

так что выполните скрипт заново запустив AVZ от имени администратора и пришлите свежие логи и карантин.

Насчет АВЗПМ - http://forum.oszone.net/post-717373-2.html - четвертый пункт здесь.

Выполнил скрипт в АВЗ запущенном от администратора. Могу после попробовать в безопасном режиме, если Вы считаете, что это поможет. Новые логи прикрепил.

Карантин перепослал, теперь при помощи формы.

Установить MBAM по прежнему невозможно, даже если запускать сетап от имени администратора.

Скачайте Universal Virus Sniffer (http://dsrt.dyndns.org/uvsfiles.htm) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS (http://safezone.cc/forum/showpost.php?p=79351&postcount=1)

Вот лог.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ. Выполните обновление баз (Меню Файл - Обновление баз) Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины) В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip Закачайте полученный архив на любой файлообменник, не требующий ввода капчи (например: RGhost (http://rghost.ru/), Zalil (http://zalil.ru/), Dump.Ru (http://dump.ru/) или WebFile (http://webfile.ru/)) ссылку на скачивание пришлите в личные сообщения.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577). Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
;uVS v3.80.1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

breg
; D:\AEJVVIL.BAT
bl F365113D864B83B611D7D4DC66DDD656 512000
; C:\AEJVVIL.BAT
; C:\WINDOWS\AQHFRQFBWJVYMJTNMXC.EXE
bl 59FE4AFA46C6373875320C57AA4D16FC 851968
; C:\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\CEHRP.EXE
bl 46AE31D7BA8CC618F7742726221E571C 729088
; C:\WINDOWS\SYSWOW64\CUNNBCTRODRWMLXTUHOGG.EXE
; C:\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\CUNNBCTRODRWMLXTUHOGG.EXE
; C:\WINDOWS\CUNNBCTRODRWMLXTUHOGG.EXE
; C:\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\GUJFPMZTMXHIUPXPM.EXE
; C:\WINDOWS\GUJFPMZTMXHIUPXPM.EXE
; C:\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\PEURCAOJDPACPLUNLV.EXE
; C:\WINDOWS\PEURCAOJDPACPLUNLV.EXE
; C:\USERS\BRAINFREEZE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\STARTUP.PIF
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\STARTUP.PIF
; C:\WINDOWS\TMGHWYQPNDSYPPCZBPXQRK.EXE
; D:\UCLBFWDREJN.BAT
; C:\UCLBFWDREJN.BAT
; C:\WINDOWS\ZMAVEAMFXHQQBVCT.EXE
; C:\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\ZMAVEAMFXHQQBVCT.EXE
zoo D:\AEJVVIL.BAT
delall D:\AEJVVIL.BAT
zoo %SystemRoot%\AQHFRQFBWJVYMJTNMXC.EXE
delall %SystemRoot%\AQHFRQFBWJVYMJTNMXC.EXE
zoo %SystemRoot%\SYSWOW64\CUNNBCTRODRWMLXTUHOGG.EXE
delall %SystemRoot%\SYSWOW64\CUNNBCTRODRWMLXTUHOGG.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\CUNNBCTRODRWMLXTUHOGG.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\CUNNBCTRODRWMLXTUHOGG.EXE
zoo %SystemRoot%\CUNNBCTRODRWMLXTUHOGG.EXE
delall %SystemRoot%\CUNNBCTRODRWMLXTUHOGG.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\GUJFPMZTMXHIUPXPM.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\GUJFPMZTMXHIUPXPM.EXE
zoo %SystemRoot%\GUJFPMZTMXHIUPXPM.EXE
delall %SystemRoot%\GUJFPMZTMXHIUPXPM.EXE
zoo %SystemRoot%\NEWVIIYVRFSWLJUPPBHY.EXE
delall %SystemRoot%\NEWVIIYVRFSWLJUPPBHY.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\PEURCAOJDPACPLUNLV.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\PEURCAOJDPACPLUNLV.EXE
zoo %SystemRoot%\PEURCAOJDPACPLUNLV.EXE
delall %SystemRoot%\PEURCAOJDPACPLUNLV.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\STARTUP.PIF
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\STARTUP.PIF
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\STARTUP.PIF
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\STARTUP.PIF
zoo %SystemRoot%\TMGHWYQPNDSYPPCZBPXQRK.EXE
delall %SystemRoot%\TMGHWYQPNDSYPPCZBPXQRK.EXE
zoo %SystemRoot%\ZMAVEAMFXHQQBVCT.EXE
delall %SystemRoot%\ZMAVEAMFXHQQBVCT.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\ZMAVEAMFXHQQBVCT.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\ZMAVEAMFXHQQBVCT.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\SPOON\SANDBOXES\SPOON.NET SANDBOX MANAGER\3.33.3.13\3.33.3.13.BAT
zoo %SystemDrive%\USERS\BRAINFREEZE\T-ENGINE\4.0\TOME\VAULT\BETODAVENA\BETODAVENA.BAT
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TRAPPED DEAD\MODELS\LVL_CHURCHYARD\CHURCHYARD_BOOK_02_OPEN.VMESH_DATA\CHURCHYARD_BOOK_02_OPEN.VMESH_DATA.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TRAPPED DEAD\MODELS\LVL_CHURCHYARD\CHURCHYARD_STONE_01.VMESH_DATA\CHURCHYARD_STONE_01.VMESH_DATA.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GOG.COM
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\START MENU.EXE
regt 2
czoo
deltmp
restart
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO (http://safezone.cc/forum/showthread.php?t=19310) с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве (http://safezone.cc/forum/showpost.php?p=79352&postcount=1).

---------------
Загрузите SecurityCheck by glax24 отсюда (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение.Подробнее читайте в этом разделе (http://safezone.cc/forum/showthread.php?t=19622) форума поддержки утилиты.

----------------------
+ если компьютер подключён к локальной сети, то до окончания лечения отключите его от неё.

+ сделайте новый образ автозапуска.

Security Check by glax24 version 0.1.6.55 rc2
WebSite: www.safezone.cc
DataLog 04.06.2013 02:24:37
Program directory: C:\Users\BrainFreeze\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionLocal=4.3
Drive C:\ FS: NTFS Capacity: (46.5 Gb) Used: (36.3 Gb) Free: (10.2 Gb)
__________________________________________________

WIN_7(6.1) Build 7600 (x64) Ultimate Lang: English(0409)
Installation Date OS: 16.11.2009 18:51:45
LicenseStatus: Windows(R) 7, Ultimate edition The machine is permanently activated.
Service Pack Not Installed Warning! Download UpDate (http://download.microsoft.com/download/0/A/F/0AFB5316-3062-494A-AB78-7FB0D4461357/windows6.1-KB976932-X64.exe)
Internet Explorer 8.0.7600.16385 Warning! Download UpDate (http://windows.microsoft.com/en-US/internet-explorer/downloads/ie-9/worldwide-languages)
-------------Windows------------------------------
UAC DISABLED
^It is recommended to enable: Win+R typing UserAccountControlSettings and Enter^
Запрос на повышение прав для администраторов disabled
Запрос на повышение прав для обычных пользователей disabled
Automatic Updates disabled (-1)
Windows Update (wuauserv) - The service has stopped
Security Center (wscsvc) - The service has stopped
Regedit Disable
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------OtherUtilities-----------------------
GPL Ghostscript 8.70
-------------Java---------------------------------
Java 7 Update 9 (64-bit) v.7.0.90 Warning! Download UpDate (http://www.oracle.com/technetwork/java/javase/downloads/1880261)
JavaFX 2.0.3 v.2.0.3 Warning! Download UpDate (http://www.oracle.com/technetwork/java/javase/downloads/javafxjdk6-1728173.html)
Java(TM) 6 Update 29 v.6.0.290 Warning! Download UpDate (http://www.oracle.com/technetwork/java/javase/downloads/jdk6downloads-1902814.html)
Java(TM) 7 Update 3 v.7.0.30
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.6.602.180 Warning! Download UpDate (http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_plugin.exe)
-------------Browser------------------------------
Mozilla Firefox 21.0 (x86 en-US) v.21.0
-------------EndLog-------------------------------


Новый лог прилагаю. Зуу отправил на мыло.

C:\USERS\BRAINFREEZE\APPDATA\LOCAL\TRAPPED DEAD\MODELS\LVL_CHURCHYARD\CHURCHYARD_BOOK_02_OPEN.VMESH_DATA
C:\USERS\BRAINFREEZE\APPDATA\LOCAL\SPOON\SANDBOXES\SPOON.NET SANDBOX MANAGER\3.33.3.13
C:\USERS\BRAINFREEZE\T-ENGINE\4.0\TOME\VAULT\BETODAVENA
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\1C-SNOWBALL.RU\ЭАДОР - СОТВОРЕНИЕ\ВИДЕОРОЛИКИ\
Вам эти программы знакомы ? Если да то их потом придётся переустановить, они заражены.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577). Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
;uVS v3.80.1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delmz %SystemDrive%\AEJVVIL.BAT
delmz %SystemDrive%\UCLBFWDREJN.BAT
delmz %SystemRoot%\AQHFRQFBWJVYMJTNMXC.EXE
delmz %SystemDrive%\GMTHJYDPA.BAT
zoo %SystemDrive%\AEJVVIL.BAT
; C:\AEJVVIL.BAT
bl 63377A8AC79B3D2A803EC6F479E8E621 536576
delall %SystemDrive%\AEJVVIL.BAT
delmz %SystemRoot%\AQHFRQFBWJVYMJTNMXC.EXE
zoo %SystemRoot%\AQHFRQFBWJVYMJTNMXC.EXE
; C:\WINDOWS\AQHFRQFBWJVYMJTNMXC.EXE
bl 59FE4AFA46C6373875320C57AA4D16FC 851968
delall %SystemRoot%\AQHFRQFBWJVYMJTNMXC.EXE
delmz %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\CEHRP.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\CEHRP.EXE
; C:\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\CEHRP.EXE
bl 46AE31D7BA8CC618F7742726221E571C 729088
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\CEHRP.EXE
delmz %SystemRoot%\SYSWOW64\CUNNBCTRODRWMLXTUHOGG.EXE
zoo %SystemRoot%\SYSWOW64\CUNNBCTRODRWMLXTUHOGG.EXE
; C:\WINDOWS\SYSWOW64\CUNNBCTRODRWMLXTUHOGG.EXE
delall %SystemRoot%\SYSWOW64\CUNNBCTRODRWMLXTUHOGG.EXE
delmz %SystemRoot%\CUNNBCTRODRWMLXTUHOGG.EXE
zoo %SystemRoot%\CUNNBCTRODRWMLXTUHOGG.EXE
; C:\WINDOWS\CUNNBCTRODRWMLXTUHOGG.EXE
delall %SystemRoot%\CUNNBCTRODRWMLXTUHOGG.EXE
delmz %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\CUNNBCTRODRWMLXTUHOGG.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\CUNNBCTRODRWMLXTUHOGG.EXE
; C:\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\CUNNBCTRODRWMLXTUHOGG.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\CUNNBCTRODRWMLXTUHOGG.EXE
delmz %SystemRoot%\GUJFPMZTMXHIUPXPM.EXE
zoo %SystemRoot%\GUJFPMZTMXHIUPXPM.EXE
; C:\WINDOWS\GUJFPMZTMXHIUPXPM.EXE
delall %SystemRoot%\GUJFPMZTMXHIUPXPM.EXE
delmz %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\NEWVIIYVRFSWLJUPPBHY.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\NEWVIIYVRFSWLJUPPBHY.EXE
; C:\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\NEWVIIYVRFSWLJUPPBHY.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\NEWVIIYVRFSWLJUPPBHY.EXE
delmz %SystemRoot%\NEWVIIYVRFSWLJUPPBHY.EXE
zoo %SystemRoot%\NEWVIIYVRFSWLJUPPBHY.EXE
; C:\WINDOWS\NEWVIIYVRFSWLJUPPBHY.EXE
delall %SystemRoot%\NEWVIIYVRFSWLJUPPBHY.EXE
delmz %SystemRoot%\PEURCAOJDPACPLUNLV.EXE
zoo %SystemRoot%\PEURCAOJDPACPLUNLV.EXE
; C:\WINDOWS\PEURCAOJDPACPLUNLV.EXE
delall %SystemRoot%\PEURCAOJDPACPLUNLV.EXE
delmz %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\PEURCAOJDPACPLUNLV.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\PEURCAOJDPACPLUNLV.EXE
; C:\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\PEURCAOJDPACPLUNLV.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\PEURCAOJDPACPLUNLV.EXE
delmz %SystemRoot%\TMGHWYQPNDSYPPCZBPXQRK.EXE
zoo %SystemRoot%\TMGHWYQPNDSYPPCZBPXQRK.EXE
; C:\WINDOWS\TMGHWYQPNDSYPPCZBPXQRK.EXE
delall %SystemRoot%\TMGHWYQPNDSYPPCZBPXQRK.EXE
delmz %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\ZMAVEAMFXHQQBVCT.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\ZMAVEAMFXHQQBVCT.EXE
; C:\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\ZMAVEAMFXHQQBVCT.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\ZMAVEAMFXHQQBVCT.EXE
delmz %SystemRoot%\ZMAVEAMFXHQQBVCT.EXE
zoo %SystemRoot%\ZMAVEAMFXHQQBVCT.EXE
; C:\WINDOWS\ZMAVEAMFXHQQBVCT.EXE
delall %SystemRoot%\ZMAVEAMFXHQQBVCT.EXE
regt 2
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GOG.COM
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GOG.COM
delmz %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\SPOON\SANDBOXES\SPOON.NET SANDBOX MANAGER\3.33.3.13\3.33.3.13.BAT
; C:\USERS\BRAINFREEZE\T-ENGINE\4.0\TOME\VAULT\BETODAVENA\BETODAVENA.BAT
bl F365113D864B83B611D7D4DC66DDD656 512000
; C:\USERS\BRAINFREEZE\T-ENGINE\4.0\TOME\SAVE\BETODAVENA\BETODAVENA.BAT
zoo %SystemDrive%\USERS\BRAINFREEZE\T-ENGINE\4.0\TOME\VAULT\BETODAVENA\BETODAVENA.BAT
delall %SystemDrive%\USERS\BRAINFREEZE\T-ENGINE\4.0\TOME\VAULT\BETODAVENA\BETODAVENA.BAT
zoo %SystemDrive%\USERS\BRAINFREEZE\T-ENGINE\4.0\TOME\SAVE\BETODAVENA\BETODAVENA.BAT
delall %SystemDrive%\USERS\BRAINFREEZE\T-ENGINE\4.0\TOME\SAVE\BETODAVENA\BETODAVENA.BAT
deltmp
CEXEC REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\1C-SNOWBALL.RU\ЭАДОР - СОТВОРЕНИЕ\ВИДЕОРОЛИКИ\ВИДЕОРОЛИКИ.BAT
czoo
restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO (http://safezone.cc/forum/showthread.php?t=19310) с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве (http://safezone.cc/forum/showpost.php?p=79352&postcount=1).

-----------------------
UAC DISABLED
^It is recommended to enable: Win+R typing UserAccountControlSettings and Enter^
обязательно включите UAC и установите SP1 и остальные обновления системы иначе вирус так и не сможем вылечить.

+ так же скачайте обновления остальных программ по ссылкам из вашего сообщения и установите их.

+ программа 1ClickDownloader - у вас установлена ?

После этого сделайте новый образ UVS

после этого обязательно установите какой-нибудь хотя бы бесплатный антивирус.

UAC отключается через несколько секунд после его включения.
Поставил SP1, обновил все что просил обновить секьюрити чек, кроме шестой джавы.
Новый Zoo послал на почту.
Новый образ автозапуска прилагаю.
Из перечисленныйх Вами в цитате програм две мне незнакомы, одна знакома, но, как я думал, удалена, одна знакома и установлена.
1-clickdownloader, скорее всего не установлен.
Аваст не ставится, программа установки сворачивается после запуска, так же, как это делает MBAM.
Новый лог секьюрити чека(на всякий случай):
Security Check by glax24 version 0.1.6.55 rc2
WebSite: www.safezone.cc
DataLog 04.06.2013 15:12:09
Program directory: C:\Users\BrainFreeze\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=4.3
Drive C:\ FS: NTFS Capacity: (46.5 Gb) Used: (39.1 Gb) Free: (7.4 Gb)
__________________________________________________

WIN_7(6.1) Build 7601 (x64) Ultimate Lang: English(0409)
Installation Date OS: 16.11.2009 18:51:45
LicenseStatus: Windows(R) 7, Ultimate edition The machine is permanently activated.
Service Pack 1
Internet Explorer 9.10.9200.16576
-------------Windows------------------------------
UAC DISABLED
^It is recommended to enable: Win+R typing UserAccountControlSettings and Enter^
Запрос на повышение прав для администраторов disabled
Запрос на повышение прав для обычных пользователей disabled
Automatically download and notify of installation
Windows Update (wuauserv) - The service has stopped
Security Center (wscsvc) - The service has stopped
Regedit Disable
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------OtherUtilities-----------------------
GPL Ghostscript 8.70
-------------Java---------------------------------
JavaFX 2.2.21 (64-bit) v.2.2.21
Java(TM) 6 Update 45 (64-bit) v.6.0.450
Java 7 Update 21 (64-bit) v.7.0.210
Java(TM) SE Development Kit 6 Update 45 (64-bit) v.1.6.0.450 Warning! Download UpDate (http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downloads-1880260.html)
JavaFX 2.0.3 v.2.0.3 Warning! Download UpDate (http://www.oracle.com/technetwork/java/javase/downloads/javafxjdk6-1728173.html)
Java(TM) 6 Update 29 v.6.0.290 Warning! Download UpDate (http://www.oracle.com/technetwork/java/javase/downloads/jdk6downloads-1902814.html)
Java(TM) 7 Update 3 v.7.0.30
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.7.700.202
-------------Browser------------------------------
Mozilla Firefox 21.0 (x86 en-US) v.21.0
-------------RunningProcess-----------------------
C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.21.0.0.4879
-------------EndLog-------------------------------

Попробуйте повторить скрипт из предыдущего (http://forum.oszone.net/post-2162004-13.html) сообщения в безопасном режиме (http://safezone.cc/forum/showthread.php?t=19645).
После этого в нормальном режиме сделайте новый образ uVS.

Из перечисленныйх Вами в цитате програм две мне незнакомы, одна знакома »
какие именно незнакомы ?

Послал новый ZOO.
Новый образ автозапуска здесь.

На вопрос я ответил, возможно Вы не заметили

"Из перечисленныйх Вами в цитате програм две мне незнакомы, одна знакома, но, как я думал, удалена, одна знакома и установлена."

подробней можете пояснить, какие ? в частности какая знакома и установлена ? остальное почистим.

Знакома и установлена - Эадор. Сотворение, остальные могут гореть синим пламенем.

+ Установите Установите Adobe Acrobat XI или удалите старый (http://get.adobe.com/reader/otherversions/)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577). Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
;uVS v3.80.1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\SPOON\SANDBOXES\SPOON.NET SANDBOX MANAGER\3.33.3.13\3.33.3.13.BAT
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\SPOON\SANDBOXES\SPOON.NET SANDBOX MANAGER\3.33.3.13\3.33.3.13.BAT
zoo %SystemDrive%\AEJVVIL.BAT
delall %SystemDrive%\AEJVVIL.BAT
zoo D:\AEJVVIL.BAT
delall D:\AEJVVIL.BAT
zoo %SystemRoot%\AQHFRQFBWJVYMJTNMXC.EXE
delall %SystemRoot%\AQHFRQFBWJVYMJTNMXC.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\AQHFRQFBWJVYMJTNMXC.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\AQHFRQFBWJVYMJTNMXC.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TRAPPED DEAD\MODELS\BUILDINGS\BOUTIQUE1-2.VMESH_DATA\BOUTIQUE1-2.VMESH_DATA.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TRAPPED DEAD\MODELS\BUILDINGS\BOUTIQUE1-2.VMESH_DATA\BOUTIQUE1-2.VMESH_DATA.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TRAPPED DEAD\MODELS\BUILDINGS\BUILDINGS.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TRAPPED DEAD\MODELS\BUILDINGS\BUILDINGS.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\CEHRP.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\CEHRP.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TRAPPED DEAD\MODELS\LVL_CHURCHYARD\CHURCHYARD_BOOK_02_OPEN.VMESH_DATA\CHURCHYARD_BOOK_02_OPEN.VMESH_DATA.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TRAPPED DEAD\MODELS\LVL_CHURCHYARD\CHURCHYARD_BOOK_02_OPEN.VMESH_DATA\CHURCHYARD_BOOK_02_OPEN.VMESH_DATA.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TRAPPED DEAD\MODELS\LVL_CHURCHYARD\CHURCHYARD_STONE_01.VMESH_DATA\CHURCHYARD_STONE_01.VMESH_DATA.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TRAPPED DEAD\MODELS\LVL_CHURCHYARD\CHURCHYARD_STONE_01.VMESH_DATA\CHURCHYARD_STONE_01.VMESH_DATA.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TRAPPED DEAD\MODELS\LVL_CHURCHYARD\CHURCHYARD_STONE_02.VMESH_DATA\CHURCHYARD_STONE_02.VMESH_DATA.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TRAPPED DEAD\MODELS\LVL_CHURCHYARD\CHURCHYARD_STONE_02.VMESH_DATA\CHURCHYARD_STONE_02.VMESH_DATA.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GOG.COM
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GOG.COM
zoo %SystemRoot%\GUJFPMZTMXHIUPXPM.EXE
delall %SystemRoot%\GUJFPMZTMXHIUPXPM.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\GUJFPMZTMXHIUPXPM.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\GUJFPMZTMXHIUPXPM.EXE
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TRAPPED DEAD\MODELS\LVL_GASSTATION\LVL_GASSTATION.BAT
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TRAPPED DEAD\MODELS\LVL_GASSTATION\LVL_GASSTATION.BAT
zoo %SystemRoot%\NEWVIIYVRFSWLJUPPBHY.EXE
delall %SystemRoot%\NEWVIIYVRFSWLJUPPBHY.EXE
zoo %SystemRoot%\PEURCAOJDPACPLUNLV.EXE
delall %SystemRoot%\PEURCAOJDPACPLUNLV.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE\REPORTQUEUE.SCR
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\ROAMING\MICROSOFT\WINDOWS\SENDTO\SENDTO.SCR
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\NEWVIIYVRFSWLJUPPBHY.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\LOCAL\TEMP\NEWVIIYVRFSWLJUPPBHY.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\STARTUP.PIF
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\STARTUP.PIF
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\STARTUP.PIF
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\STARTUP.PIF
zoo %SystemDrive%\USERS\BRAINFREEZE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\START MENU.EXE
delall %SystemDrive%\USERS\BRAINFREEZE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\START MENU.EXE
exec C:\Program Files (x86)\1ClickDownload\uninst.exe
regt 2
restart
czoo В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO (http://safezone.cc/forum/showthread.php?t=19310) с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве (http://safezone.cc/forum/showpost.php?p=79352&postcount=1).


на вопрос об удаление программы рекомендую соглашаться.

Сделайте новый образ автозапуска.