[Farger]

Здравствуйте,

Я сейчас проверю логи.

[Farger]

MegaFon – ваш провайдер?

1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\explorer.exe','');
QuarantineFile('C:\Windows\system32\uagjuch.dll','');
DeleteFile('C:\Windows\system32\explorer.exe');
 DeleteFile('C:\Windows\system32\uagjuch.dll');
RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2001', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксите в HJT следующие строки:

Код:

 	
R3 - URLSearchHook: (no name) - - (no file)

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

7. Обновите базу AVZ и повторите логи AVZ+RSIT

[koctorez]

Сделал всё как написано вот результаты:

http://www.fayloobmennik.net/818537
RSIT

http://www.fayloobmennik.net/818539
checkup.txt

http://www.fayloobmennik.net/818540
mbam-log-2011-07-22 (21-02-16)

Цитата Farger:

7. Обновите базу AVZ и повторите логи AVZ+RSIT »

Это что просто ущё раз проверить

[SolarSpark]

koctorez, еще раз выполните стандартные скрипты 2,3 в AVZ, логи прикрепите к сообщению

[Farger]

koctorez, не забудьте перед выполнением повторных логов AVZ, обновить само AVZ!

[koctorez]

http://www.fayloobmennik.net/818815
virusinfo_syscheck.zip

http://www.fayloobmennik.net/818816
virusinfo_syscure.zip

Вроде больше баннер не вылазит и в соц сети заходит огромное вам спасибо...

[Farger]

Мы еще не закончили лечение. Скоро составлю дальнейшие рекомендации.

[Farger]

MegaFon – ваш провайдер?

C:\Windows\F9835182794B4F24902AE2CA9D43380F.TMP - что в папке? Использовали ли вы ранее антивирус McAfee или утилиту Wise Installer?

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\SysWOW64\E64.tmp','');
QuarantineFile('C:\Windows\SysWOW64\2233.tmp','');
DeleteFile('C:\Windows\SysWOW64\E64.tmp');
 DeleteFile('C:\Windows\SysWOW64\2233.tmp');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин

Запустите еще раз полное сканирование MBAM и удалите эти строки (в конце сканирования отметьте их и нажмите «Удалить»)

Код:

Заражённые ключи в реестре:
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

Заражённые файлы:
c:\Users\Лёха\AppData\Local\Google\Chrome\user data\Default\Cache\f_006e51 (Trojan.Agent) -> No action taken.
c:\Users\Лёха\AppData\Local\Mozilla\Firefox\Profiles\00gq7o1z.default\Cache\2\D8\D8501d01 (Trojan.Agent) -> No action taken.

Сделайте еще раз 2-й стандартный скрипт, лог virusinfo_syscheck.zip приложите к посту, а также сделайте новый лог RSIT.

Обновите Adobe Reader

[koctorez]

Мой провайдер ТТК ЗАО "Урал-ТрансТелеКом"


C:\Windows\F9835182794B4F24902AE2CA9D43380F.TMP вот что в этой папке WiseCustomCalla.dll