[URL=http://forum.esetnod32.ru/forum9/topic3998/]Выполните рекомендации[/URL]

удаляем найденное и перезагружаемся
если проблем больше нет - [URL=http://forum.esetnod32.ru/forum9/topic3998/]Выполните рекомендации[/URL]

[b]Здравствуйте![/b]

скачайте дистрибутив с uVS отсюда - http://rghost.ru/44955544 и выполните следующий скрипт:

- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. [b]не нужно запускать ее из самого архива[/b]);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
[CODE];;uVS v3.77.16 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %Sys32%\RPCSS.DLL
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF2­79BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7­D73C6371 8 YandexUP
zoo %Sys32%\NOTEPAD.EXE
addsgn 925277AA136AC1CC0B34574E334BDFFACE9A6C66196A8FE80FC583345791­709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E­0707F900 8 Trojan.Gen.2 [Symantec]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOT\РАБОЧИЙ СТОЛ\SC.EXE
bl 62E10660CAAEBCE10DF515647737406D 1056260
addsgn A7679B1BB96246720B82C4B19BDD9E15648A75730104E08742465942AF29­714C23170412C6549D492B47012BB8E9B6FA7DDFE88D402AA06D2DD4D447­86064A77 8 MaybeVIrus
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOT\РАБОЧИЙ СТОЛ\SVCHOST.EXE
bl 60F10A6646042F96B68F44833D28C6B5 946176
addsgn A7679BF0AA0254DA4CD4C6CD888C1261848AFCF689AA7BF1A0C3C5BC5055­9D6C704194DE5BBD1E2CD780EE9EB90301E93ADFB1F1584EF4662D882722­5F426873 8 a variant of Win32/BitCoinMiner.A
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOT\РАБОЧИЙ СТОЛ\LAST3\SVHOST.EXE
bl DC9AEFFBDD2B74A6CCFAE99BB9A9EB87 946176
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOT\LOCAL SETTINGS\TEMP\SVCHOST.EXE
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83217007FF}
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216029FF}
chklst
delvir
delref %SystemDrive%/DOCUMENTS AND SETTINGS/KOT/LOCAL SETTINGS/APPLICATION DATA/AKAMAI/NETSESSION_WIN.EXE
delref HTTP://BROWSERHELP2.RU
delref HTTP://RU.ASK.COM/?L=DIS&O=102876&GCT=HP
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WWW.PORTAL-WAREZ.INFO
delref HTTP://WWW.RUSSUR.COM/?T=100
regt 14
czoo
deltmp
delnfr
EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old
EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old
EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\rpcss.dll
EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\dllcache\rpcss.dll
restart[/CODE]
- затем слева наверху выбираете пункт [b]Скрипт - Выполнить скрипт находящийся в буфере обмена[/b];
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- [b]обязательно закрываете[/b] все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку [b]Выполнить[/b];
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки [b]Да или Далее[/b];
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
[B]- после перезагрузки делаем лог Mbam[/B] как написано [URL=http://forum.esetnod32.ru/forum9/topic682/]здесь[/URL] (можно выполнить быструю проверку, а не полную). программу можно скачать [URL=http://rghost.ru/users/Angel-iz-Ada/releases/Malwarebytes-Anti-Malware]отсюда[/URL]. ссылку на лог выложить сюда.

удалите найденное, перезагрузитесь, [url=http://forum.esetnod32.ru/forum9/topic2687/]сделайте лог uVS[/url]

[b]Здравствуйте![/b]

Выполните следующий [b]скрипт в uVS[/b]:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. [b]не нужно запускать ее из самого архива[/b]);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
[CODE];;uVS v3.77.16 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 751C3F58A618CF7DE40042D44AD06590 2295328
addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6­993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D0­38F97BF8 8 GuardMail
bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 Praetor
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT CORPORATION\TERDENT.FXP
bl 8A9E241DCBE595220E667A509D35ED43 538112
addsgn A7679BCBDE2F40FB4E282DCC98D86607CE8796F7768F0F87F0CB2D62AC29­8E26224F0A953255C8C2C7D1EE9C2C1623FA9517148DAA53F5D0AE0A582F­B308DD06 8 C0rikow
bl A4AB86F07E4053A4FCC7AFC4CA3C14F2 27680
addsgn 0DF9BFCA156A43C5036E8CB164C8743EF4FFEEF93EB21DFB45C1FE762486­17C9EA6233BC013318805FA80904461649FAC7FFE87255BC8BFD596F1E26­C7062215 8 Html5
bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2­482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC49­42CF5795 8 HTml5Up
bl 87BC119573BC6FA50C422988FDF74A6D 1354056
addsgn BA6F9BB2BD495B730B9C2D754C2104FBDA75303A4536D3B4490F09709C1A­172A2C0847573E559D49670B5DD76DC74678E3DEE8721C5948245F1652EE­C0721485 16 YaUpdat
bl D5AEE350B993766E03F6BC38D2AC81D2 506752
addsgn 1A5FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D4­8694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EF­B0E311B3 8 YandexUPD
chklst
delvir
delref HTTP://G.UK.MSN.COM/HPALL/36
delref HTTP://START.ALAWAR.RU/?PID=14111
delref HTTP://WWW.MAIL.RU/CNT/5089
delref HTTP://WWW.MAIL.RU/CNT/7227
deltmp
delnfr
exec "C:\PROGRAM FILES (X86)\TROJAN REMOVER\UNINS000.EXE"
czoo
restart[/CODE]
- затем слева наверху выбираете пункт [b]Скрипт - Выполнить скрипт находящийся в буфере обмена[/b];
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- [b]обязательно закрываете[/b] все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку [b]Выполнить[/b];
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки [b]Да или Далее[/b];
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].

[B]- после перезагрузки делаем лог Mbam[/B] как написано [URL=http://forum.esetnod32.ru/forum9/topic682/]здесь[/URL] (можно выполнить быструю проверку, а не полную). программу можно скачать [URL=http://rghost.ru/users/Angel-iz-Ada/releases/Malwarebytes-Anti-Malware]отсюда[/URL]. ссылку на лог выложить сюда.

значит какую-то программу ставите с Пандорой на борту
Выполните следующий [b]скрипт в uVS[/b]:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. [b]не нужно запускать ее из самого архива[/b]);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
[CODE];;uVS v3.77.16 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref HTTP://WWW.MAIL.RU/CNT/9134
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83217009FF}
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F86417009FF}
exec "C:\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\UNINS000.EXE"
deltmp
delnfr
restart[/CODE]
- затем слева наверху выбираете пункт [b]Скрипт - Выполнить скрипт находящийся в буфере обмена[/b];
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- [b]обязательно закрываете[/b] все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку [b]Выполнить[/b];
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки [b]Да или Далее[/b];
- по окончанию выполнения скрипта компьютер перезагрузится.

[b]Здравствуйте![/b]

Выполните следующий [b]скрипт в uVS[/b] на проблемном ПК:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. [b]не нужно запускать ее из самого архива[/b]);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
[CODE];;uVS v3.77.16 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref /C
deltmp
delnfr
regt 14
restart[/CODE]
- затем слева наверху выбираете пункт [b]Скрипт - Выполнить скрипт находящийся в буфере обмена[/b];
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- [b]обязательно закрываете[/b] все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку [b]Выполнить[/b];
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки [b]Да или Далее[/b];
- по окончанию выполнения скрипта компьютер перезагрузится.
[B]- после перезагрузки делаем лог Mbam[/B] как написано [URL=http://forum.esetnod32.ru/forum9/topic682/]здесь[/URL] (можно выполнить быструю проверку, а не полную). программу можно скачать [URL=http://rghost.ru/users/Angel-iz-Ada/releases/Malwarebytes-Anti-Malware]отсюда[/URL]. ссылку на лог выложить сюда.

ну хорошо что разобрались
для зачистки можете еще сделать лог Mbam как написано [URL=http://forum.esetnod32.ru/forum9/topic682/]здесь[/URL] (можно выполнить быструю проверку, а не полную). программу можно скачать [URL=http://rghost.ru/users/Angel-iz-Ada/releases/Malwarebytes-Anti-Malware]отсюда[/URL]. ссылку на лог выложить сюда.
если будет чисто - [URL=http://forum.esetnod32.ru/forum9/topic3998/]Выполните рекомендации[/URL]

Антивирус самостоятельно с ним справился.
[URL=http://forum.esetnod32.ru/forum9/topic3998/]Выполните рекомендации[/URL]

Ну тогда [url=http://forum.esetnod32.ru/forum9/topic2687/]сделайте лог uVS[/url] с вашего WinPE
Можете запустить блокнот (notepad.exe), а оттуда уже будет легко запустить любую программу.