Помогите удалить PC Antispyware 2010 [LOG+]

[Groz]

Помогите, пожалуйста, со следующей проблемой.

 

1. Принесли комп с данным вирем (PC Antispyware 2010).

2. Установил на уже зараженный комп KAV2010, не запускается. Переименовал kav в lolop, запустился, но не работает файловый антивирус, да и вообще ничего.

3. Regedit не запускается.

4. AVZ не запускался, переименовал в sdafsdaf. Запустился, поисправлял всякого, но после перезагрузки опять повылезало.

5. HijackThis (переименованный в htlol) показал много всяких подозрительных вещей, включая braviax и Antispyware 2010, на которые я зачем-то нажал Fix, с тех пор их нет в логах, а проблема не исчезла

 

Файлы прилагаются.

Спасибо.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[antispy]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('cru629.dat','');
QuarantineFile('C:\Documents and Settings\САЛТИНСКИЙ\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
QuarantineFile('C:\WINDOWS\system32\logon.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv311239915803.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
DeleteService('ewdmaudn');
QuarantineFile('C:\DOCUME~1\2EBB~1\LOCALS~1\Temp\ewdmaudn.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\o2mmb.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\System32\drivers\91944fa9.sys','');
QuarantineFile('C:\WINDOWS\System32\setrysvc.exe','');
QuarantineFile('c:\documents and settings\САЛТИНСКИЙ\mset.exe','');
TerminateProcessByName('c:\documents and settings\САЛТИНСКИЙ\mset.exe');
QuarantineFile('c:\windows\system32\mset.exe','');
TerminateProcessByName('c:\windows\system32\mset.exe');
QuarantineFile('c:\windows\system32\ati2evxx.exe','');
DeleteFile('c:\windows\system32\mset.exe');
DeleteFile('c:\documents and settings\САЛТИНСКИЙ\mset.exe');
DeleteFile('C:\WINDOWS\System32\drivers\91944fa9.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\DOCUME~1\2EBB~1\LOCALS~1\Temp\ewdmaudn.sys');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe');
DeleteFile('C:\WINDOWS\Temp\wpv311239915803.exe');
DeleteFile('C:\WINDOWS\system32\logon.exe');
DeleteFile('C:\Documents and Settings\САЛТИНСКИЙ\Главное меню\Программы\Автозагрузка\ikowin32.exe');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение.

 

Повторите логи.

[Groz]

Пока ничего не помогло. Предположительно из-за записей типа DOCUME~1 в скрипте, могу ошибаться.

Жду ответа от newvirus.

[snifer67]

Новые логи подготовьте

[ТроПа]

Пока ничего не помогло. Предположительно из-за записей типа DOCUME~1 в скрипте, могу ошибаться.

Жду ответа от newvirus.

 

Ну так за один раз может и не помочь, судя по всему у вас комплексное заражение.

Так что действительно ждём логов и от Malwarebytes' Anti-Malware тоже лог что он удалил нужно увидеть.

[Fasawe]

По памяти скажу, что встречал модификацию этого вируса, но за 2009 год.

Там он прописывался в C:\Documents and Settings\{User}\Application Data\Crusial Soft как файл msas2009.exe

и этот же файл был виден в автозагрузке с полным путем к нему...