[Katharsis]

выполните Правила запроса о помощи полностью

[rth]

выполнил все по инструкции.

прилагаю новые файлы логов.

[Katharsis]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение систем от вредоносных программ и выполните Правила запроса о помощи.
_______________________________________________________

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Program Files\Zaxar', '*', true, '', 0, 0);
 QuarantineFile('C:\Users\user\appdata\roaming\flash\cgminer-nogpu.exe','');
 QuarantineFile('C:\Users\user\appdata\roaming\flash\cgminer.exe','');
 QuarantineFile('C:\Temp\10317204','');
 QuarantineFile('C:\Temp\2715478','');
 QuarantineFile('C:\Temp\2649255','');
 QuarantineFile('C:\Temp\5072659.exe','');
 QuarantineFile('C:\Temp\16977994','');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 DeleteFile('C:\Temp\16977994','32');
 DeleteFile('C:\Temp\5072659.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\At2','32');
 DeleteFile('C:\Temp\2649255','32');
 DeleteFile('C:\Temp\2715478','32');
 DeleteFile('C:\Windows\system32\Tasks\At3','32');
 DeleteFile('C:\Temp\10317204','32');
 DeleteFile('C:\Windows\system32\Tasks\At4','32');
 DeleteFile('C:\Users\user\appdata\roaming\flash\cgminer.exe','32');
 DeleteFile('C:\Users\user\appdata\roaming\flash\cgminer-nogpu.exe','32');
 DeleteFile('C:\Users\user\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\system32\Tasks\DSite','32');
 DeleteFile('C:\Windows\Tasks\DSite.job','32');
 DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','32');
 DeleteFile('C:\Program Files\DealPly\DealPlyUpdate.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Сделайте новые логи AVZ и RSIT

3. DealPly и DSite удалите через программы и компоненты

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

[Katharsis]

rth, ждем ответа

[rth]

сделал все. отослал архив карантина.
выкладываю новые логи AVZ и RSIT, а также Malwarebytes' Anti-Malware.
пока ситуация не изменилась.
DealPly и DSite - удалил их каталоги в програм файлс и профиле.
по майлваре - там найдено якобы 2 трояна в софте альта -это спецсосфт.

[Katharsis]

не удивительно, т к за это время вы нового вирья наловили

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\user\cdvttnfs.exe','');
 QuarantineFile('c:\users\user\vxxb.exe','');
 DeleteFile('c:\users\user\vxxb.exe','32');
 DeleteFile('C:\Users\user\cdvttnfs.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
 DeleteFileMask('C:\Program Files\Zaxar', '*', true);
 DeleteDirectory('C:\Program Files\Zaxar');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

2. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." Использование ComboFix без рекомендации специалиста может привести к повреждению операционной системы и потере пользовательских данных


3. сделайте новые логи AVZ (ст скрипт 2) и RSIT

[rth]

все сделал.

[Katharsis]

F:\autorun.inf
H:\autorun.inf - откройте блокнотом, текст скопируйте сюда

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.*

Код:

KillAll::

File::
C:\Program Files\Internet Explorer\iexplore.url

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Компьютер перезагрузится
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению

потом сделайте повторный лог AVZ ст. скрипт 2

сейчас есть доступ к а\в сайтам?

[rth]

Всем ответившим - спасибо

проблему порешал очень давно, вот добрался и до темы, чтоб ее закрыть.
жаль, что большая часть советов и сканирований авз и прочими утилитами оказались бесполезными.

решение вопроса было классическим
------------------------------------------------
- полная очистка машины от всего
- установка правильной венды (образы msdn)
- накатывание 400 мб обновлений (на вин хр сп 3)
- строгая ревизия запущенных служб и отключение всего ненужного
- обязательно! смена пароля стандартного админа (иначе не миновать нового заражения, если в сетке есть хоть одна машина с этой заразой)

удачи в лечении ))

--
модератору - прошу закрыть тему.