[SolarSpark]

Здравствуйте.

Цитата NATALI NVCH:

virusinfo_cure.zip »

прикреплять не нужно

а нужны логи virusinfo_syscure.zip, virusinfo_syscheck.zip

Проверьте сами на http://www.virustotal.com файл

Код:

C:\Documents and Settings\All Users.WINDOWS\Application Data\DatacardService\HWDeviceService.exe
c:\program files\ea games\need for speed hot pursuit 2\nfshp2.bak
c:\program files\iso commander\isocomm.exe.bak
C:\Program Files\\Outlook Express\setup50.exe

ссылку на результат запостите здесь

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\ea games\need for speed hot pursuit 2\nfshp2.bak','');
 QuarantineFile('c:\program files\iso commander\isocomm.exe.bak','');
 QuarantineFile('C:\Program Files\\Outlook Express\setup50.exe','');
 DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
 DeleteFile('c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
 DeleteFile('c:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\rp11\a0021422.com');
 DeleteFile('c:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\rp11\a0021463.com');
 DeleteFile('c:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\rp11\a0021465.com');
 DeleteFile('d:\autorun.inf');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Пофиксить в HijackThis следующие строчки:

Код:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

если не устанавливали http://webalta.ru стартовой и поисковой страницей
пофиксить в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

Сделайте повторные логи AVZ с обновленными базами + лог RSIR

+
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[NATALI NVCH]

http://www.virustotal.com/file-scan/report.html?id=5182a740ed50a59d3b3a8ed8b3a12b95367b011c2a31c76bff75c49fc960c676-1300639060#
http://www.virustotal.com/file-scan/report.html?id=0cafc21994fe5fbe30bcea730a0772241e25e479b0abe375cb8edf1565a8e653-1300444853
https://www.virustotal.com/file-scan/report.html?id=fea51d523f39013af8f8e863385d384ec2fb8fd7d9f86ae75f0fecbc92079dc4-1301404415
http://www.virustotal.com/file-scan/report.html?id=9498e3dee72c2b0385a74cc667b351589421ac942ad6c05f5c4d798b12e0f18f-1301405900

Сделала все как сказали. Не поняла, что делать с ответом от Лаборатории Касперского, надо еще раз файлы отправить?

Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского , Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию.
Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди.

A0021422.COM,
A0021463.COM,
A0021465.COM,
NFSHP2.bak

Вредоносный код в файлах не обнаружен.

autorun.inf,
avp.com,
ISOComm.exe.bak

Файлы в процессе обработки.

+ лог RSIR это тоже не поняла (извините, чайник)

[NATALI NVCH]

еще один лог

[zirreX]

Удалите в MBAM:

Код:

Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.

Заражённые папки:
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\RP5\A0005102.exe (PUP.PSWTool.ProductKey) -> No action taken.
c:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\RP5\A0009161.exe (Trojan.Downloader) -> No action taken.
c:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\RP5\A0009200.exe (Trojan.Downloader) -> No action taken.
c:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\RP6\A0014870.exe (RiskWare.Tool.CK) -> No action taken.
d:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\RP26\A0034132.exe (PUP.Casino) -> No action taken.
d:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\RP28\A0043707.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.

Цитата NATALI NVCH:

+ лог RSIR это тоже не поняла (извините, чайник) »

Пункт 6 правил

Adobe Reader обновите до актуальной версии или деинсталлируйте.

[iskander-k]

Цитата NATALI NVCH:

Не поняла, что делать с ответом от Лаборатории Касперского, надо еще раз файлы отправить? »

Нет . Когда вам сообщают результаты проверки вы сообщаете их нам.

[NATALI NVCH]

в MBAM удалита, Adobe Reader старую удалила, загрузила новую версию. Всеми программами комп проверила, вот новые логи.
И еще такой вопрос: виндос делает автоматическое обновление и выдает такое сообщение :Уведомление о результатах проверки подлинности Windows (KB905474), Это что, какая то неполадка в системе?

[thyrex]

Цитата NATALI NVCH:

Уведомление о результатах проверки подлинности Windows (KB905474) »

Это одно из обновлений

[SolarSpark]

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\86a9~1\locals~1\temp\v2ar89pk.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\docume~1\86a9~1\locals~1\temp\v2ar89pk.sys');
BC_DeleteSvc('v2ar89pk');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

повторите лог AVZ

[NATALI NVCH]

Все сделала, вот новые логи