[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Windows\explorer.exe','C:\Windows\explorer.exe:*:Enabled:ipsec');
 ExecuteRepair(3);
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteRepair(10);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

+ откройте блокнотом файл

Код:

C:\Windows\tasks\jgxtq.job

и напишите здесь его содержимое, после этого удалите этот файл.

+ VPets.exe -такую программу (скринсейвер с животными) устанавливали ?

а также PCHDPlayer.exe (виртуальные девушки) устанавливали ?

[ath01]

Цитата regist:

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма. »

файл отправил, да только архив пуст.

Цитата regist:

+ откройте блокнотом файл Код: C:\Windows\tasks\jgxtq.job и напишите здесь его содержимое, после этого удалите этот файл. »


€sшГАC‹зPбh€cЂF М <
s Ђ  Ђ!Э 
  ; Ж . C : \ U s e r s \ U s e r \ A p p D a t a \ L o c a l \ T e m p \ w h r l m z g y . e x e
0<5B>20. 
0 Э
 *



Этот самый файл w h r l m z g y . e x e я первым делом нашел на ПК и прибил, но делу это не помогло

Цитата regist:

+ VPets.exe -такую программу (скринсейвер с животными) устанавливали ? а также PCHDPlayer.exe (виртуальные девушки) устанавливали ? »

ПК не мой. адекватно ответить устанавливали или нет мне не могут. файла деинсталляции на эти программы я найти не могу. если только просто удалить с диска C:

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
   QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
   QuarantineFile('C:\Program Files\VPets\VPets.exe','');
   QuarantineFileF('C:\Program Files\VPets','*', true,'',0 ,0);
   QuarantineFileF('C:\Program Files\pchd','*', true,'',0 ,0);
   DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
   DeleteFile('C:\Program Files\VPets\VPets.exe');
   DeleteFile('C:\Windows\tasks\jgxtq.job');
   DeleteFile('C:\Users\User\AppData\Local\Temp\whrlmzgy.exe');
   RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\VPetsPlayer');
   RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\PCHDPlayer');
   DeleteFileMask('C:\Program Files\VPets', '*', true);
   DeleteFileMask('C:\Program Files\pchd', '*', true);
   DeleteDirectory('C:\Program Files\VPets',' ');
   DeleteDirectory('C:\Program Files\pchd',' ');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
    ExecuteRepair(10);
    ExecuteRepair(3);
    ExecuteRepair(4);
    ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

ps/ не забудьте что утилиты надо запускать правой кнопкой от имени админа.

[ath01]

все прикрепил

[thyrex]

Запустите еще раз сканирование МВАМ и после его завершения отметьте и удалите только указанные ниже строки

Код:

Обнаруженные ключи в реестре:  1
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: 튒ℙ引阛鬏폅掙࢖ገ୊寵욪녞洽딶鿇愨绻玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑❹둬줹荅猏㯄ẚ贀ᰆ㰶贲꧉玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑璊䱛扙玥놨쭑Ⅼ쎿弸㡶睰맒￫藍玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑㧃쬑캸� -> Действие не было предпринято.

[ath01]

на этом все?

[regist]

после этого сделайте новый лог сканирования MBAM

+

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.


а также отпишитесь, что с проблемами ?

[ath01]

логи прикрепил. по проблемам пока ничего не понятно, потому как и после моей очистки пк баннеры возникали крайне редко. в общем через несколько дней отпишусь, надо посерфить побольше, потестировать. Вы не могли бы мне отписаться о характере вирусов и троянов? это были чисто смс вымогатели, или было такое вредоносное ПО, которое могло украсть пароли, сертификаты и тд?

[ath01]

Ребята, а появилось ли какое-нибудь автоматизированное средство для удаления этого зловреда?