[Farger]

Здравствуйте,

Сейчас посмотрю логи.

[Farger]

Файл C:\WINDOWS\system32\drivers\ArcSec.sys проверьте на virustotal и дайте ссылку на результат.

Mobile Service Ltd – ваш провайдер?

C:\112 – что в папке?

1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\aadrive32.exe');
QuarantineFile('C:\WINDOWS\system32\41.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\Documents and Settings\DarK\Application Data\Vlbsbn.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\Documents and Settings\DarK\Application Data\Vlbsbn.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vlbsbn');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксить в HJT

Код:

 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe
O4 - HKCU\..\Run: [Tnaww] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ и RSIT

[Darkan]

Farger, Спасибо за ответ!

Цитата Farger:

Mobile Service Ltd – ваш провайдер? »

Нет, не мой... У меня оптоволоконная городская сеть...

Цитата Farger:

C:\112 – что в папке? »

Там нет ничего противозаконного Эта папка с утилитами (AVZ, RSIT и т.д.)

Начинаю выполнять скрипты!
__________________________________

Virustotal.com - отчет о файле

В HJT пофиксил только первый две строчки (R0, R3), остальных не нашел!
___________________________________
Всё время пытаются подконнектиться левые айпи

читать дальше »

___________________________________

Всё, сканирование завершил, логи прилагаю!

[Farger]

1. Намеренно заблокировали активацию Adobe?

2. Переделайте лог RSIT

3. Еще раз повторите полное сканирование с помощью утилиты Malwarebytes’

4. Выполните скрипт AVZ:

меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Повторите логи AVZ.

Итого: новые логи AVZ, новый лог RSIT и новый лог MBAM.

[Darkan]

Готово!

Цитата Farger:

Намеренно заблокировали активацию Adobe? »

Да!

Папка system32 по прежнему скрыта и убрать галочку нельзя!

И почему процессы занимают так много памяти? Ведь раньше процессов, занимающих больше мегабайта было около 30-40% от всех процессов! Может это последствия вирусов?

читать дальше »

[SolarSpark]

TeamViewer.exe пользуетесь?

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\tmp5173.tmp','');
 QuarantineFile('C:\WINDOWS\system32\tmp5174.tmp','');
 QuarantineFile('C:\WINDOWS\system32\SET1283.tmp','');
 QuarantineFile('C:\WINDOWS\system32\SET1285.tmp','');
 QuarantineFile('C:\Documents and Settings\DarK\Application Data\701.tmp','');
 QuarantineFile('C:\Documents and Settings\DarK\Application Data\9E9.tmp','');
 QuarantineFile('C:\Documents and Settings\DarK\Application Data\145.tmp','');
 DeleteFile('C:\WINDOWS\system32\tmp5173.tmp');
 DeleteFile('C:\WINDOWS\system32\tmp5174.tmp');
 DeleteFile('C:\WINDOWS\system32\SET1283.tmp');
 DeleteFile('C:\WINDOWS\system32\SET1285.tmp');
 DeleteFile('C:\Documents and Settings\DarK\Application Data\701.tmp');
 DeleteFile('C:\Documents and Settings\DarK\Application Data\9E9.tmp');
 DeleteFile('C:\Documents and Settings\DarK\Application Data\145.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(8);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:

Код:

O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - (no file)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)

Ставим все последние обновления для SP3.

Сделайте повторные логи RSIТ

[Darkan]

Цитата SolarSpark:

TeamViewer.exe пользуетесь? »

Да, в системе установлены две версии (5 и 6 версии). Эм... последнее время пока ими не пользуюсь.

Скрипты выполнил, архив отправил, всё пофиксил, логи RSIT обновил, сейчас буду ставить обновления!

[SolarSpark]

Цитата Darkan:

Папка system32 по прежнему скрыта и убрать галочку нельзя! И почему процессы занимают так много памяти? Ведь раньше процессов, занимающих больше мегабайта было около 30-40% от всех процессов! Может это последствия вирусов? »

что с проблемой?

[Darkan]

Всё ещё

читать дальше »

Насчет процессов, всё по прежнему...

И ещё, какие именно обновления мне качать?