[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Илья\Application Data\7 9\rundll32.exe','');
 QuarantineFile('C:\Documents and Settings\ ;LO\Local Settings\Application Data\zamkope.dll','');
 QuarantineFile('C:\Documents and Settings\Илья\Application Data\7 9\l3.lnk','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msazzh.exe','');
 DeleteService('amsint32');
 DeleteFile('C:\WINDOWS\system32\drivers\mpkmro.sys');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msazzh.exe');
 DeleteFile('C:\Documents and Settings\Илья\Application Data\7 9\l3.lnk');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','adobeupdate');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','adobeupdate');
 DeleteFile('C:\Documents and Settings\Илья\Application Data\7 9\rundll32.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','adobeupdater');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','adobeupdater');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[DummyCorp]

thyrex, прикрепляю логи.
ОСь начала себя вести крайне неадекватно, видимо, после "лечения" от каспера, ибо было затронуто много, а точнее, чуть ли не все, системный файлы. Спустя 10-15 минут после старта ОС что-то происходит, теряются почти все пункты из контекстного меню проводника, все exe файлы теряют иконку, а любое действие (даже выключение/перезагрузка) пресекается сообщением о нехватке прав/отказе в доступе/невозможности получить доступ.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msazzh.exe');
 DeleteFile('C:\Documents and Settings\ ;LO\Local Settings\Application Data\zamkope.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\zamkope','DLLName');
 DeleteFile('2wygbqgp.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

[regist]

+ к выше написанному поменяйте пароли, один из файлов который попал в карантин Зловред Trojan.PWS.Spy.12768

[akok]

+ + Когда лечение будет завершено

[DummyCorp]

Так-с, снова были проблемы, как оказалось, каспер кинул дочерние приложения explorer.exe в недоверенные, в связи с чем все крэшилось спустя 1-2 минуты работы ОС (ох у намучился, пока выяснил). Теперь все окей, симптомов нет, системные файлы восстановил. Обновляю логи:

[thyrex]

Остальные логи где?

[DummyCorp]

thyrex, следует сделать что-то кроме AVZ? Прикрепляю RSIT.

[thyrex]

Пофиксите в HiJack

Код:

O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O20 - Winlogon Notify: zamkope - Invalid registry found

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.