[Sandor]

Здравствуйте!

1)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 TerminateProcessByName('c:\users\brainf~1\appdata\local\temp\cehrp.exe');
 TerminateProcessByName('c:\windows\zmaveamfxhqqbvct.exe');
 QuarantineFile('c:\users\brainf~1\appdata\local\temp\cehrp.exe','');
 QuarantineFile('C:\Users\BRAINF~1\AppData\Local\Temp\gujfpmztmxhiupxpm.exe .','');
 QuarantineFile('C:\Users\BRAINF~1\AppData\Local\Temp\newviiyvrfswljuppbhy.exe','');
 QuarantineFile('C:\Users\BRAINF~1\AppData\Local\Temp\newviiyvrfswljuppbhy.exe .','');
 QuarantineFile('C:\Users\BRAINF~1\AppData\Local\Temp\peurcaojdpacplunlv.exe','');
 QuarantineFile('C:\Users\BrainFreeze\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.pif','');
 QuarantineFile('C:\Windows\system32\newviiyvrfswljuppbhy.exe','');
 QuarantineFile('C:\Windows\system32\peurcaojdpacplunlv.exe','');
 QuarantineFile('c:\windows\zmaveamfxhqqbvct.exe','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\aejvvil.bat','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('D:\aejvvil.bat','');
 DeleteFile('c:\users\brainf~1\appdata\local\temp\cehrp.exe');
 DeleteFile('C:\Users\BRAINF~1\AppData\Local\Temp\gujfpmztmxhiupxpm.exe .');
 DeleteFile('C:\Users\BRAINF~1\AppData\Local\Temp\newviiyvrfswljuppbhy.exe');
 DeleteFile('C:\Users\BRAINF~1\AppData\Local\Temp\newviiyvrfswljuppbhy.exe .');
 DeleteFile('C:\Users\BRAINF~1\AppData\Local\Temp\peurcaojdpacplunlv.exe');
 DeleteFile('C:\Users\BrainFreeze\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.pif');
 DeleteFile('C:\Windows\system32\newviiyvrfswljuppbhy.exe');
 DeleteFile('C:\Windows\system32\peurcaojdpacplunlv.exe');
 DeleteFile('c:\windows\zmaveamfxhqqbvct.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\aejvvil.bat');
 DeleteFile('D:\autorun.inf');
 DeleteFile('D:\aejvvil.bat');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','rcohoisjzhomvn');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gmthjydpa');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','zgodgwcpbf');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ugtnvqbtktbakdj');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','puanocgr');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','uclbfwdrejn');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmthjydpa');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','zgodgwcpbf');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rakbgygvjpuq');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','qaldjclbqxdai');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(8);
 ExecuteRepair(10);
 ExecuteRepair(17);
 RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

2)
Сделайте дополнительно лог HiJackThis.

3)
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:

Цитата:

%appdata%/Malwarebytes/Malwarebytes' Anti-Malware/Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

Повторите логи AVZ (стандартный скрипт 2) и RSIT.

[BrainFreeze]

Возникли сложности. Ссылка на hijackthis в факе - не прямая, и браузер закрывается при попытке открыть страницу. При попытке установить MBAM программа установки сворачивается после выбора языка и первого нажатия кнопки Next и больше не разворачивается. Логи Rsit и AVZ прилагаю, карантин на почту послал.

П.С. АВЗ выполнялся без драйвера АВЗПМ, так как при нажатии на кнопку "установить драйвер АВЗПМ" ничего не происходит.

[regist]

AVZ запускали от имени администратора ? Снова выполните написанное в посте №2. Карантина на почте тоже не вижу, так что продублируйте.

лог MBAM посторайтесь сделать в безопасном режиме.

PS. а разве кто-нибудь просил установить драйвер AVZPM ?! самостоятельно настройки не меняйте и ничего не включайте !

[BrainFreeze]

АВЗ, нет, не от администратора.
Насчет АВЗПМ - это инструкция в ФАКе - 4. Запустите AVZ и обновите базы (Файл - Обновление баз). В меню AVZM выберите "Установить драйвер расширенного мониторинга процессов" (не забудьте после окончания лечения удалить драйвер AVZM). Выберите из меню Файл - Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

Вот у меня этот самый драйвер не ставится

[regist]

Цитата BrainFreeze:

Насчет АВЗПМ - это инструкция в ФАКе »

где ? ссылочку можно ?

На Windows 7 AVZ нужно запускать через контекстное меню проводника "Запустить от имени Администратора" т.к. административная учетная запись понижена в правах. Настройки в АВЗ не трогайте!

так что выполните скрипт заново запустив AVZ от имени администратора и пришлите свежие логи и карантин.

[BrainFreeze]

Насчет АВЗПМ - http://forum.oszone.net/post-717373-2.html - четвертый пункт здесь.

Выполнил скрипт в АВЗ запущенном от администратора. Могу после попробовать в безопасном режиме, если Вы считаете, что это поможет. Новые логи прикрепил.

Карантин перепослал, теперь при помощи формы.

Установить MBAM по прежнему невозможно, даже если запускать сетап от имени администратора.

[regist]

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

5. Подробнее читайте в руководстве Как подготовить лог UVS

[BrainFreeze]

Вот лог.

[regist]

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) ссылку на скачивание пришлите в личные сообщения.