[zirreX]

Здравствуйте!

PCHDPlayer - ваша прога?

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.

• Пофиксить в hijackthis
Поставить галочки напротив указанных строк и нажать Fix Cheked

Код:

R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

• Советую отключить автозапуск со всех съемных носителей, кроме CD-DVD приводов, для этого выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
\Explorer','NoDriveTypeAutoRun',223);
end.

Скачайте Dr.Web Cureit
Подключите флешку к компьютеру и просканируйте её при помощи Cureit. После окончания сканирования не вынимая флешку подготовьте логи AVZ и RSIT
На время сканирования Cureit выключите Nod32

[kot_13]

При сканировании Cureit нашел autoran.inf, сказал что это Win32.HLLW.Autoruner.corrupted. Предложил только один вариант - перемещение (может так и надо, я не знаю - ранее cureit не пользовался). После сканирования я win32/Tifaut.c удалил. Теперь, когда вставляю флэшку, НОД32 также выкидывает сообщение.
Файлы удалить все также не могу. При форматировании - виснет explorer. Пробовал чистить флешку у друга на Suse Linux и у себя на ДОС - файлы "удалились", записать ничего не удалось, а в винде все файлы опять на месте. Пробовал чистить при помощи Flash Memory Toolkit - на 95% виснет Memory Toolkit. А помимо всего при создании логов заметил что у меня сканируется папка C:\Program Files\Opera, хотя у меня ее и быть не должно (я пользуюсь Мазилой). Попробовал удалить, в ответ сообщение (Untitled-2.jpg). В самой папке только 2 файла opera.exe и operaprefs_default.ini.

[kot_13]

Забыл: Когда я пробую посмотреть свойства диска G (он же флеш) то комп долго тормозит (примерно 5 мин) потом выдает свойства: объем-0, занято-0, свободно-0. Потом диск носителя исчезает.

PCHDPlayer установился сам когда я искал где можно скачать RSIT. Но эту прогу яуже удалил.

[zirreX]

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Users\6EDA~1\AppData\Local\Temp\Gu74pb00.sys','');
DeleteFile('C:\Users\6EDA~1\AppData\Local\Temp\Gu74pb00.sys');
DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
DeleteFileMask('C:\pchd','*.*', true);
DeleteDirectory('C:\pchd');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PCHDPlayer');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Gu74pb00');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Повторите логи.

[kot_13]

Результаты с quarantine@virusnet.info пока не пришли

[zirreX]

Удалите в MBAM

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
Зараженные файлы:
C:\ProgramData\HoBo-Group\HoBo-Group.exe (Trojan.FakeAlert) -> No action taken.

Что с проблемой?

[kot_13]

Удалил, сразу после сканирования - проблема осталась

[zirreX]

Отключите восстановление системы!

- нажмите кнопку Пуск
- нажмите правой кнопкой мыши на пункте меню Компьютер
- в контекстном меню выберите пункт Свойства
- в левой части окна Система выберите пункт меню Защита системы
- в окне Свойства системы перейдите на закладку Защита системы
- в блоке Параметры защиты нажмите на кнопку Настроить
- в окне Защита системы для... отметьте пункт Отключить систему защиты
- нажмите кнопку ОК
- в окне подтверждения Защита системы нажмите кнопку Да
- для завершения отключения возможности восстановления системы в окне Свойства системы нажмите кнопку ОК
- перезагрузите компьютер


c:\windows\explorer.exe - проверьте на www.virustotal.com и дайте ссылку с результатом проверки.

[thyrex]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe