[mike 1]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\DOCUME~1\Misha\LOCALS~1\Temp\mdi064.dll','');
 QuarantineFile('C:\DOCUME~1\Misha\LOCALS~1\Temp\iswizard05\indexer.exe','');
 QuarantineFile('C:\DOCUME~1\Misha\LOCALS~1\Temp\UsageTemp.exe','');   
 DeleteFile('c:\docume~1\misha\locals~1\temp\mdi064.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tsiVideo');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
 ExecuteRepair(16);    
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O4 - HKCU..Run: [tsiVideo] rundll32.exe C:DOCUME~1MishaLOCALS~1Temp\mdi064.dll,runme

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

[vazon]

Добрый день, mike 1,

Спасибо за помощь.

1. архив отослал по почте quarantine <at> safezone.cc
2. пофиксить не удалось, как и предупреждали, - нет такой строки.

[mike 1]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
• По окончанию сканирования снимите галочки со следующих строк:
  
  Код:

  File Found : C:\Documents and Settings\Misha\Рабочий стол\TornTV.lnk
  Folder Found C:\Documents and Settings\Misha\Local Settings\Application Data\Mail.Ru
  Folder Found C:\Program Files\Mail.Ru
  Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}

• Нажмите кнопку "Clean" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

[vazon]

Mike 1,

Спасибо.
Компьютер теперь стал перезагружаться без проблем.
Тормоза исчезли
Был троян? А что он еще умел?

[mike 1]

Проверьте эти файлы на virustotal

Код:

C:\Program Files\VLC Player GPU+\UsageLog.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

[vazon]

О-о!
https://www.virustotal.com/ru/file/6...is/1390223556/
Сейчас вспоминаю, что на Рождество у чинков сайты юзал на предмет покупки товаров. Странно, что авира не берет...

Вот еще о нем:
http://news.drweb.com/show/?i=4160&lng=ru&c=5

[vazon]

mike 1,
Решил с авирой проститься. Какой продукт порекомендуете ( из бесплатных)?

Спасибо, еще раз.

[mike 1]

1. Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
2. Запустите OTM by OldTimer (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора)
3. временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
   
   Код:

   :Processes
   explorer.exe
   
   :Services
   
   :Files
   C:\Program Files\VLC Player GPU+\UsageLog.exe
   C:\Program Files\VLC Player GPU+
   C:\DOCUME~1\Misha\LOCALS~1\Temp\UsageTemp.exe
   
   :Reg
   [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UsageLoader]
   [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UsageTemp]
   [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mobilegeni daemon]
   
   :Commands
   [purity]
   [emptytemp]
   [start explorer]
   [Reboot]

4. В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".
5. Компьютер перезагрузится.
6. После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), затем прикрепите его в ваше следующее сообщение.

Сделайте новые логи RSIT.

[vazon]

mike 1,

зависает... до п.5 дело не доходит.
С рабочего стола все слетает...перезагрузился только кнопкой. Логов в папке нет.