[iskander-k]

Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
• Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.




• Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\gc4cw3qz.exe','');
 DeleteFile('C:\Program Files\gc4cw3qz.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы.

Обновите базы АВЗ и сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

[kostr24]

Файл C:\Program Files\gc4cw3qz.exe - это CureIt, можно его не удалять?

[alex_sev]

Можно, выполняйте дальше по списку

[kostr24]

Выполнила, вот логи.

[iskander-k]

Цитата kostr24:

Файл C:\Program Files\gc4cw3qz.exe - это CureIt, можно его не удалять? »

обычно курейт туда не ставится. .. и он должен был найти и удалить js.siggen.192

ФТП где появился js.siggen.192 - это ваш сайт и находится на вашем компьютере или сторонний хостер к которому вы имеете доступ ?



Какая программа видит что у вас JS.Siggen.192 ?


Файлы

Код:

C:\WINDOWS\system32\javaws.exe 
C:\WINDOWS\system32\javaw.exe 
C:\WINDOWS\system32\java.exe 
 C:\Program Files\jxpiinstall.exe

проверьте на https://www.virustotal.com/ru/ если будет выбор - выберите проверить заново.
Ссылки на проверку выложите в сообщение.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
 SetAVZGuardStatus(true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
RebootWindows(true);
end.

Обновите JAVA на новую версию по
инструкции

[kostr24]

CureIt я скачала туда сама. Теперь он удален, все равно устарел. Java вчера переустановила новую.
Файлы проверила - говорит, что они уже проверены. Строку пофиксила. Скрипт запустила.

Вирус был не у меня, а у стороннего хостера, но в моем разделе. На своем компе я ничего не нашла, но как-то же он туда попал! Хостер утверждает, что пароль украли у меня. Больше его ни у кого не было.

[iskander-k]

Этот вирус в основном заражает сайты. И вирус сидит у хостера. Он должен почистить у себя.

Цитата kostr24:

Java вчера переустановила новую. »

А где вы её взяли ? По логам у вас староватая версия. пройдите по ссылке и проверьте и установите новую версию.

Цитата kostr24:

Файлы проверила - говорит, что они уже проверены. »

Я уточнил вам

Цитата iskander-k:

если будет выбор - выберите проверить заново. »

Цитата kostr24:

Хостер утверждает, что пароль украли у меня. »

поменяйте пароль.

у вас нет активного заражения , видны следы старого трояна carberp который ворует пароли. возможно тогда у вас и украли пароль.

[kostr24]

Ну, спасибо.
Java я взяла по ссылке с virusinfo на обновление плагинов firefox, последнюю, что там была.

Последний раз я лечилась до того, как получила новый пароль, где-то за 2 месяца. Может быть, правда у хостера. Пароль поменяла. Спасибо за помощь.

[iskander-k]

обязательно пройдите по ссылке и обновите Java . По логам у вас 6 версия , на сайте есть 7. Есть и средство проверки вашей версии.

Цитата kostr24:

обновление плагинов firefox »

плагины это одно а полная версия это совершенно другое.