[alex_sev]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('C:\Users\artemka\Documents\Iterra', '*.*', true, '', 0, 0);
 QuarantineFileF('C:\Users\artemka\Documents\Iterra', '*.*', true, '', 0, 0);
 QuarantineFileF('C:\Users\artemka\AppData\Local\Webalta Toolbar', '*.*', true, '', 0, 0);
 QuarantineFileF('C:\Windows\System32\YNLOKX\', '*.*', true, '', 0, 0);
 QuarantineFileF('E:\Windows\assembly\GAC_MSIL\WebAltaSearch\', '*.*', true, '', 0, 0);
 QuarantineFile('C:\Users\artemka\AppData\Roaming\Intel\Intel(R)GraphicsControls.exe','');
 QuarantineFile('C:\Users\artemka\AppData\Local\Application Data:wa','');
 DeleteFile('C:\Users\artemka\AppData\Local\Application Data:wa');
 DeleteFile('C:\Windows\SysWow64\operaprefs_fixed.ini');
 DeleteFile('C:\Users\artemka\AppData\Roaming\mozilla\firefox\profiles\412th0ch.default\searchplugins\ticno.xml');
 DeleteFile('C:\Users\artemka\AppData\Roaming\mozilla\firefox\profiles\412th0ch.default\searchplugins\webalta-search.xml');
 DeleteFileMask('C:\Users\artemka\Documents\Iterra', '*.*', true);
 DeleteDirectory('C:\Users\artemka\Documents\Iterra');
 DeleteFileMask('C:\Users\artemka\AppData\Roaming\Ticno', '*.*', true);
 DeleteDirectory('C:\Users\artemka\AppData\Roaming\Ticno');
 DeleteFileMask('E:\Windows\assembly\GAC_MSIL\WebAltaSearch\', '*.*', true);
 DeleteDirectory('E:\Windows\assembly\GAC_MSIL\WebAltaSearch\');
 DeleteFileMask('C:\Users\artemka\AppData\Local\Webalta Toolbar', '*.*', true);
 DeleteDirectory('C:\Users\artemka\AppData\Local\Webalta Toolbar');
 DeleteFileMask('C:\Windows\System32\YNLOKX\', '*.*', true);
 DeleteDirectory('C:\Windows\System32\YNLOKX\');
 DeleteFileMask('C:\Program Files (x86)\Ticno', '*.*', true);
 DeleteFileMask('C:\Users\artemka\AppData\Local\TempDir', '*.*', true);
 DeleteFileMask('C:\Users\artemka\AppData\Local\Ticno', '*.*', true);
 DeleteFileMask('C:\Users\artemka\AppData\Roaming\Ticno', '*.*', true);
 DeleteDirectory('C:\Program Files (x86)\Ticno');
 DeleteDirectory('C:\Users\artemka\AppData\Local\TempDir');
 DeleteDirectory('C:\Users\artemka\AppData\Local\Ticno');
 DeleteDirectory('C:\Users\artemka\AppData\Roaming\Ticno');
 RegKeyDel('HKCR','CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}');
 RegKeyDel('HKCU','SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}');
 RegKeyDel('HKCU','SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{77ADC42B-B55F-443B-A930-B4DF37EB2C84}');
 RegKeyDel('HKCU','Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}');
 RegKeyDel('HKCU','SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}');
 RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar');
 RegKeyDel('HKCU','Software\Ticno Multibar');
 RegKeyDel('HKLM','SOFTWARE\Software');
ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

[alex_sev]

Часть 2

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFile('C:\Users\artemka\AppData\Roaming\Intel\Intel(R)GraphicsControls.exe');
ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится.

• Подготовьте лог OTL by OldTimer, как описано на этой странице.
• Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
• Если логи не прикрепляются запакуйте их в архив.

[VENSEDOR]

alex_sev, вроде это.

[alex_sev]

• Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.
  
  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  
• В окно Custom Scans/Fixes скопируйте следующую информацию:
  
  
  Код:

  :processes
  :OTL
  FF - prefs.js..browser.search.selectedEngine: "Webalta Search"
  FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
  FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
  O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
  [2005.04.08 06:16:43 | 000,000,000 | -H-D | M] -- C:\Users\artemka\AppData\Roaming\E0963277
  @Alternate Data Stream - 72 bytes -> C:\Users\artemka\AppData\Local\Application Data:wa
  :Services
  
  :Files
  
  ipconfig /flushdns /c
  
  :Reg
  
  :Commands
  [EMPTYTEMP]
  [purity]
  [start explorer]
  [Reboot]

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Будьте внимательнее, поскольку в прошлый раз вы скрипт не выполнили!

[VENSEDOR]

alex_sev, ЭТО ?

Код:

All processes killed
========== PROCESSES ==========
========== OTL ==========
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Low Rights\ not found.
Folder C:\Users\artemka\AppData\Roaming\E0963277\ not found.
Unable to delete ADS C:\Users\artemka\AppData\Local\Application Data:wa .
========== SERVICES/DRIVERS ==========
========== FILES ==========
< ipconfig /flushdns /c >
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.
C:\Users\artemka\Downloads\cmd.bat deleted successfully.
C:\Users\artemka\Downloads\cmd.txt deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: artemka
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2678141 bytes
->FireFox cache emptied: 11954850 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 492 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Все пользователи
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 51099 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 14,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 01192013_215301

Files\Folders moved on Reboot...
File\Folder C:\Users\artemka\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

alex_sev,

там еще файл есть текстовый

[alex_sev]

Есть изменения в работе?

Поймали-таки зловреда BackDoor.Blackshades.3

[VENSEDOR]

alex_sev, по-моему не особо изменилось что-то. еще и с браузером теперь эта проблема ,когда просто пытаюсь открыть новую вкладку пустую. да и из закладок что-то. тоже что ли эта штука постаралась


Неизвестный тип адреса
Firefox не может определить, как открыть данный адрес, так как протокол (yafd) не связан ни с одним приложением.
Для открытия данного адреса вам, возможно, понадобится установить стороннее программное обеспечение.

alex_sev, хотя нет,изменения сильные. вру.

alex_sev, а что с барузером стало ?

alex_sev, но все же не все сайты работают нормально ...половина на половину

[alex_sev]

1 Откройте FireFox, наберите в адресной строке --->>> about:config
2 Выберите "Я обещаю, что буду осторожен !"
3 Открывается страничка....чуть ниже адресной строки открывается поле поиска. Введите yafd
4 правой кнопкой мыши выберите - сбросить значение

[VENSEDOR]

alex_sev, там 2 строчки. какую из них сбрасывать ?

[alex_sev]

Скрин можете сделать?