Внимание! Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов (http://forum.oszone.net/forum-87.html) и подготовьте логи.
________________________________________
На время выполнения скриптов/сбора логов отключайте антивирусы и сетевые экраны!
Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'В процессе выполнения скрипта компьютер будет перезагружен.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFileF('C:\53W0hlPrv20', '*', true, '', 0, 0);
QuarantineFileF('C:\Users\1\AppData\Roaming\winzipsoft', '*', true, '', 0, 0);
QuarantineFileF('C:\Users\1\AppData\Roaming\53W0hlPrv20', '*', true, '', 0, 0);
QuarantineFile('C:\Windows\tasks\At2.job','');
QuarantineFile('C:\Windows\tasks\At1.job','');
QuarantineFile('C:\Users\1\AppData\Local\Temp\4202900FDoh','');
QuarantineFile('C:\Users\1\AppData\Local\Temp\2442928FdOh','');
QuarantineFile('C:\Users\1\AppData\Roaming\winzipsoft\wzipstart.exe','');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Qrs5QmfZhyE.exe','');
DeleteFile('C:\Users\1\AppData\Local\Temp\2442928FdOh');
DeleteFile('C:\Users\1\AppData\Local\Temp\4202900FDoh');
DeleteFileMask('C:\53W0hlPrv20', '*', true);
DeleteFileMask('C:\Users\1\AppData\Roaming\winzipsoft', '*', true);
DeleteFileMask('C:\Users\1\AppData\Roaming\53W0hlPrv20', '*', true);
DeleteFile('C:\Windows\tasks\At2.job');
DeleteFile('C:\Windows\tasks\At1.job');
DeleteFile('C:\Users\1\AppData\Roaming\winzipsoft\wzipstart.exe');
DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Qrs5QmfZhyE.exe');
DeleteFileMask('C:\53W0hlPrv20', '*', true);
DeleteFileMask('C:\Users\1\AppData\Roaming\winzipsoft', '*', true);
DeleteFileMask('C:\Users\1\AppData\Roaming\53W0hlPrv20', '*', true);
DeleteDirectory('C:\53W0hlPrv20');
DeleteDirectory('C:\Users\1\AppData\Roaming\winzipsoft');
DeleteDirectory('C:\Users\1\AppData\Roaming\53W0hlPrv20');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winxarj');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2447250');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4211340');
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQ uarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
________________________________________
Скачайте и запустите HiJackThis (http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe). Нажмите кнопку Do a system scan only.
В открывшемся логе сканирования поставьте галочки напротив указанных строк (некоторых строк может не быть) и нажмите кнопку Fix сhecked.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
Архив quarantine.zip из папки с AVZ отправьте через веб-форму (http://www.oszone.net/virusnet).
Удалите все незнакомые записи из файла C:\Windows\system32\drivers\etc\hosts.
Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.
________________________________________
Скачайте Malwarebytes' Anti-Malware (http://www.malwarebytes.org/mbam-download-exe.php), установите, обновите базы.
Если программа уже установлена - обновите базы.
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
После сканирования откроется лог. Если он не открылся, нажмите Ok - Показать результаты
Сохраните лог и прикрепите к сообщению.
________________________________________
Скачайте архив TDSSKiller.zip (http://support.kaspersky.ru/downloads/utils/tdsskiller.zip) и распакуйте его в отдельную папку; Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:tdsskiller.exe -silent -qmbr -qboot Запустите файл fix.bat; Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine; Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь. Запустите файл TDSSKiller.exe; Нажмите кнопку "Начать проверку"; В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. Прикрепите лог утилиты к своему следующему сообщениюПо умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
Смените все пароли!