Как бы почистить этот раритет?

Здравствуйте!

Вы заражены файловым вирусом! Пожалуйста, пролечитесь как указано в этой теме: Как вылечить систему от файлового вируса? (http://forum.oszone.net/post-1867330-10.html), а после этого сделайте и прикрепите новые логи.

+
На форуме ЛК попросите закрыть тему. Одновременное лечение на разных ресурсах Вам же повредит.

Сделал

Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\System32\svchost','');
QuarantineFile('C:\Documents and Settings\Ira\Local Settings\Application Data\smss.exe','');
DeleteFile('C:\Documents and Settings\Ira\Local Settings\Application Data\smss.exe','32');
DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(10);
ExecuteREpair(17);
RebootWindows(false);
end.Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог МВАМ (http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-2.23670/)

Прошу прощения, не нашел приложение 2 и ссылку Прислать запрошенный карантин вверху темы. Отправил (вернее попытался отправить) через форму
http://www.oszone.net/virusnet/. Скорее всего карантин пустой, по размеру.

не прикрепил в сообщение выше.

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите все, кроме:
Обнаруженные файлы:
C:\Program Files\WinRAR\Patcher.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
D:\avz4\Quarantine\2015-01-15\avz00001.dta (Worm.Autorun.FW) -> Действие не было предпринято.
D:\avz4\Quarantine\2015-01-15\avz00002.dta (Trojan.Agent.FF) -> Действие не было предпринято.

Файлы

C:\WINDOWS\twunk_32.exe
C:\WINDOWS\system32\pentnt.exe


заархивируйте в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

CollectionLog почему-то у Вас не полный. Войдите в папку \AutoLogger\RSIT и запустите файл rsit.exe
Полученные два лога упакуйте и прикрепите к следующему сообщению.

карантин отправил rsit не делал логи скорее всего потому, что его нет в папке названной вами. предположительно, его убивает старенький нод. несмотря на то что нажал кнопку выход, скопировать рсит на компьютер так и не смог.

C:\WINDOWS\twunk_32.exe (Trojan.FakeMS.ED) -> Помещено в карантин и успешно удалено.
C:\WINDOWS\system32\pentnt.exe (Trojan.FakeMS.ED) -> Помещено в карантин и успешно удалено.
Эти файлы не нужно было удалять в MBAM, а
заархивируйте в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы »
Что сейчас с основной проблемой?

C:\WINDOWS\twunk_32.exe (Trojan.FakeMS.ED) -> Помещено в карантин и успешно удалено.
C:\WINDOWS\system32\pentnt.exe (Trojan.FakeMS.ED) -> Помещено в карантин и успешно удалено. »
восстановилЧто сейчас с основной проблемой? »
не видно заражения флешек

Карантин отправляли?

Проделайте также следующее:

Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.

Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)


Введите sfc /scannow и нажмите Энтер.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
После того как закончится проверка в командной строке введите команду:
findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.

Просто было:
Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите все, кроме:
Цитата:
Обнаруженные файлы:
C:\Program Files\WinRAR\Patcher.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
D:\avz4\Quarantine\2015-01-15\avz00001.dta (Worm.Autorun.FW) -> Действие не было предпринято.
D:\avz4\Quarantine\2015-01-15\avz00002.dta (Trojan.Agent.FF) -> Действие не было предпринято. »
Все и удалил кроме указанных

После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению. »
это проблема. найти winxpsp1

c sp3 я так понимаю не пойдет?

Все и удалил кроме указанных »
Виноват, ошибся и не указал те два файла.
Вы сказали
восстановил »
Отправили карантин?

Отправили карантин? »
карантин отправил сразу по форме, не дошел?

продублировал по почте

Первый дошел. Я про эти два файла:
Файлы
Код:
C:\WINDOWS\twunk_32.exe
C:\WINDOWS\system32\pentnt.exe
заархивируйте в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. »

Первый дошел. Я про эти два файла: »
я тоже про них. яндекс к сожалению, не отправил письма. увидел угрозу, несмотря на пароль.
еще раз отправил через форму

Проверьте их на www.virustotal.com
Ссылки на результат покажите.

Проверьте их на www.virustotal.com
Ссылки на результат покажите. »

https://www.virustotal.com/ru/file/7e05c68e784ae025dd2ea472a640ac4a578fcebad372a43b5c29efb98dfaa4c3/analysis/1421401478/
https://www.virustotal.com/ru/file/2d0382641c8a9b413353cf64d332593093aaa1de23126bb7e203549e456a207f/analysis/1421401633/

Скорее всего ложное срабатывание.

Выполните скрипт в AVZ (http://forum.oszone.net/post-1430637-4.html) при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)

Спасибо, попробую все это сделать. Подозреваю, что все упрется в sp3