Помогите избавиться...

[Telcos]

Всем привет. Помогите, пожалуйста избавиться от мерзости.
Началось все с блокировки с СМС активаций. AVZ не запускался. Снял блокировку генератором кода. Прогнал AVZ, еще какие-то антивирусы. В итоге NOD32 'C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe'
А при загрузке RUNDLL окошко ругается на tapi.info.

Прогнал AVZ согласно http://pchelpforum.ru/f26/t6442/#post37758.
В папке LOG получилось два файла virusinfo_syscheck и virusinfo_files_Acer-
Соответственно первый:
http://exfile.ru/77630


Заранее спасибо!

[01pump]

Telcos,
Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
DeleteService('Nups');
DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('tapi.nfo');
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(16);
RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!
После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог hijackthis

[Telcos]

Спасибо большое!

virusinfo_syscheck.zip:
http://exfile.ru/77639
hijackthis:
http://exfile.ru/77641

[01pump]

Telcos,

Выполнить этот скрипт

Код:

 
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else 
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin 
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

После перезагрузки снова выполнить стандартный скрипт №2 (virusinfo_syscheck.zip) и еще прислать из папки avz файл fystemRoot.log

[Telcos]

Забыл сказать, что после первого скрипта ошибка про tapi.info пропала и пока больше не появлялась.
После выполнения последнего скрипта машина сама на перезагрузку не ушла. Перегрузил вручную.

Новый virusinfo_syscheck.zip:
http://exfile.ru/77644
fystemRoot.log:
http://exfile.ru/77645

[01pump]

Telcos,
Последним скриптом мы исправили проблему с обновлением системы (которое погрыз один из вирусов). Там перезагрузки и не должно было быть

Итак что с вашими проблемами? Судя по логам исправлены.

[Telcos]

Пока все в порядке.
Если что-то проявится, напишу в этот же трек.
Спасибо еще раз!