[b]Здравствуйте![/b]

Выполните следующий [b]скрипт в uVS[/b]:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. [b]не нужно запускать ее из самого архива[/b]);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
[CODE];;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\GOIHE\NAEM.EXE
bl 683831FC698A219F4C288244E691A2BE 167448
addsgn 1ABD639A5583C58CF42B627DA804DEC9E946303A4536D32BD348819848DD­B1393B9C8F732ADED96D3BB35668B79D917139FBE485A45163C76CFC6CA4­9B2236F8 8 Zbot
chklst
delvir
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /q
deltmp
delnfr
delref HTTP://DREAMLAIR.NET
czoo
regt 14
restart[/CODE]
- затем слева наверху выбираете пункт [b]Скрипт - Выполнить скрипт находящийся в буфере обмена[/b];
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- [b]обязательно закрываете[/b] все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку [b]Выполнить[/b];
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки [b]Да или Далее[/b];
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
[B]- после перезагрузки делаем лог Mbam[/B] как написано [URL=http://forum.esetnod32.ru/forum9/topic682/]здесь[/URL] (можно выполнить быструю проверку, а не полную). программу можно скачать [URL=http://rghost.ru/users/Angel-iz-Ada/releases/Malwarebytes-Anti-Malware]отсюда[/URL]. ссылку на лог выложить сюда.

скачайте отсюда чистый файл rpcss.dll и скопируйте его в папку, откуда запускаете uVS - http://rghost.ru/44940107

только после этого выполните скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. [b]не нужно запускать ее из самого архива[/b]);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
[CODE];;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 456AF036C6282252297DBA9B5F217064 2312224
addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6­993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D0­38F97BF8 8 GuardMail
zoo %Sys32%\RPCSS.DLL
bl 98B31CBC09D671DADEB7C92AEF1CBE29 110592
addsgn 988C1F7A092B4C9A4EC2AEB1DB5C120525013B1E9C9C1F780CA62D37A45F­4F1ADC02BB077F5516073B0989CBE75749713BDB4B12F49BB0A77B7F2D3A­A3A76373 32 OUC
bl 6C973F7DD4F2D0D7C6DACF314E72B8A4 84992
addsgn A7659219B952C52FFF5FF3BDEDBDEA8E5082758B757162680638C4C8135F­0D682B9E9F733ADCA96DC3535C9F4695A5F6F8049D6BDECFB04CC41521FD­C882AC73 64 BitcoinMayner
bl 5088915EF158EEF34E0488DAFA457E33 1664000
addsgn A76592CD0339CF9E275FDBB9EF951E8E589A7F0D888E22F1F9E7CD350CF2­75C517332BC63B559DCAC78C0144330FC2EF7D9FFF11D008BFA8A977A42F­4E43C69B 64 BitcoinMayner
bl 63448B03F769293DB6AF381ED814EC0D 192512
addsgn A76592CC06E9A06280A1A2329AC96642ACFED8F202BF0FF1C1E7CD3715DE­F84807FF896E3E55148AA86C881CB817466EBFEE28F78ED524ECA8B5D168­42F0577F 64 BitcoinMayner
bl 8342ABDB2C64B569B3A7F7C1B871DE64 602624
addsgn A76592CD0339CF9E275FDBB9EF951E8E589A7F0D888E22F1F9E7CD350CF2­75C517332BC60D539DCAC78C0144330FC2EF7D0FC419D008BFA8A977A42F­4E43C69B 64 BitcoinMayner
bl 73D4A9BDC7FA42BCF29F3CDD44DB2622 110094
addsgn A76592CD0339CF9E275FDBB9EF951E8E589A7F0D888E22F1F9E7CD350CF2­75C517332B8A85559DCAC78C0144330FC2EF7D4F8919D008BFA8A977A42F­4E43C69B 64 BitcoinMayner
bl F8D780E7AC6236CC568E9FB6FE20F29C 352768
addsgn A76592CD0339CF9E275FDBB9EF951E8E589A7F0D888E22F1F9E7CD350CF2­75C517332B82EA569DCAC78C0144330FC2EF7DCFAD1CD008BFA8A977A42F­4E43C69B 64 BitcoinMayner
bl EC63F649F7090F885EBD4770FFB92FCB 94208
addsgn A7679B19919AF4663F95AE5978DFEDFA4F8A945ABBBB1F10DDF084BC385A­420D23AE73637F5527AD1FC18427BA2208FA9558688DAA32F229D288A42F­38F9DD8C 8 updatetask
bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 Praetor
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF2­79BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7­D73C6371 8 YandexUP
addsgn 1A8F449A5583E88CF42B627DA804DEC9E946303A4536D3F3C9E7C14B91D5­714C2363E7DD3FD65C48AF40F0D1B1D74AFA7DDF9D9D50DAB02C2DFA000B­C7062273 8 probably a variant of Win32/BitCoinMine
zoo %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\LOCAL\TEMP\CG\SVCHOST.EXE
bl 7A91C470D720045E87752F21F95A1835 598016
addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6­714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A44F­C7062E73 8 probably a variant of Win32/BitCoinMine
zoo %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\LOCAL\TEMP\CG\RUN.EXE
bl 4672B774636D6349B4672D5AC3B796D4 19968
chklst
delvir
EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old"
EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old"
EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll"
EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll"
deltmp
delnfr
delref HTTP://MAIL.RU/CNT/7993/
delref HTTP://SEARCHFUNMOODS.COM/?F=2&A=IRONPUB12&IR=IRONPUB12&CD=2XZUYETN2Y1L1QZUTDTDTC0ETCTD­TC0FTB0BYDTBTA0ETB0FTN0D0TZU0CTAYBZZTN1L2XZUTBTFTBTFTCTFYETD­YB&CR=1782958288
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WWW.MAIL.RU/CNT/5087
delref HTTP://WWW.MAIL.RU/CNT/7227
delref HTTP://WWW.MAIL.RU/CNT/9516
czoo
restart[/CODE]
- затем слева наверху выбираете пункт [b]Скрипт - Выполнить скрипт находящийся в буфере обмена[/b];
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- [b]обязательно закрываете[/b] все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку [b]Выполнить[/b];
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки [b]Да или Далее[/b];
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].

[B]- после перезагрузки делаем лог Mbam[/B] как написано [URL=http://forum.esetnod32.ru/forum9/topic682/]здесь[/URL] (можно выполнить быструю проверку, а не полную). программу можно скачать [URL=http://rghost.ru/users/Angel-iz-Ada/releases/Malwarebytes-Anti-Malware]отсюда[/URL]. ссылку на лог выложить сюда.

[url=http://forum.esetnod32.ru/forum9/topic2687/]Сделайте лог uVS[/url]

[URL=http://forum.esetnod32.ru/forum9/topic3998/]Выполните рекомендации[/URL]

Удалить найденное в свежем логе, перезагрузиться, сказать что с проблемой

Лог Мбам делайте

папку ZOO упакуйте в архив с паролем virus и отправьте на адрес что выше написан
затем [URL=http://forum.esetnod32.ru/forum9/topic3998/]Выполните рекомендации[/URL]

Выполните следующий [b]скрипт в uVS[/b]:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. [b]не нужно запускать ее из самого архива[/b]);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
[CODE];;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl F082C76CF8A1C41DB23EC397B4B5B03B 1618304
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 Praetor
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\МОИ ДОКУМЕНТЫ\APPLICATION DATA\EXPLORER.EXE
bl E840B2BBE140F68A7C2D757F31F8737F 81920
addsgn A7679BF0AA02E4824BD4C635A2881261848AFCF689AA7BF1A0C3C5BC5055­9D14704194DE5BBD625C7F70C49F75C4C32EF4CA04E314DA3BE4AC965B2F­C706AB7E 8 viruse
bl 594CB699E78B4ADF1052CFA89489315E 790528
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF2­79BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7­D73C6371 8 YandexUP
bl 7FB282509685C53EDF1BE190353913FB 507776
addsgn 1A8FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D4­8694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EF­B0E311B3 8 YandexUPD
chklst
delvir
deltmp
delnfr
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WEBALTA.RU/SEARCH?FROM=FF&Q=
czoo
restart[/CODE]
- затем слева наверху выбираете пункт [b]Скрипт - Выполнить скрипт находящийся в буфере обмена[/b];
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- [b]обязательно закрываете[/b] все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку [b]Выполнить[/b];
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки [b]Да или Далее[/b];
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].

[B]- после перезагрузки делаем лог Mbam[/B] как написано [URL=http://forum.esetnod32.ru/forum9/topic682/]здесь[/URL] (можно выполнить быструю проверку, а не полную). программу можно скачать [URL=http://rghost.ru/users/Angel-iz-Ada/releases/Malwarebytes-Anti-Malware]отсюда[/URL]. ссылку на лог выложить сюда.

Выполните скрипт:
[CODE];uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE
bl CC1D302DD393B6B84DCFDF01E0C9AAD4 81920
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE
delref %Sys32%\EXPLORER.DLL
restart[/CODE]

[url=http://forum.esetnod32.ru/forum9/topic2687/]Сделайте лог uVS[/url]