[Sandor]

1.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteAVUpdate;
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Documents and Settings\Матрица\Application Data\Microsoft\Fdhqhv.exe','');
 QuarantineFile('C:\Documents and Settings\Матрица\Application Data\ScreenSaverPro.scr','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-10259\proxzy109.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17251\proxzy12.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17253\proxzy13.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17254\proxzy14.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17255\proxzy15.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17256\proxzy16.exe','');
 QuarantineFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-17257\proxzy17.exe','');
 QuarantineFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-17258\proxzy18.exe','');
 QuarantineFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-17259\proxzy19.exe','');
 QuarantineFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-95590\c2gbsf9.exe','');
 QuarantineFile('C:\WINDOWS\system32\calvnql.dll','');
 DeleteFile('C:\WINDOWS\system32\calvnql.dll');
 DeleteFile('C:\Documents and Settings\Матрица\Application Data\Microsoft\Fdhqhv.exe');
 DeleteFile('C:\Documents and Settings\Матрица\Application Data\ScreenSaverPro.scr');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-10259\proxzy109.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17251\proxzy12.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17253\proxzy13.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17254\proxzy14.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17255\proxzy15.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17256\proxzy16.exe');
 DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-17257\proxzy17.exe');
 DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-17258\proxzy18.exe');
 DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-17259\proxzy19.exe');
 DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-95590\c2gbsf9.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17258\proxzy18.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17259\proxzy19.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17257\proxzy17.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fdhqhv');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','proxzy0209');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','proxzy022');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','proxzy023');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','proxzy024');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','proxzy025');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','proxzy026');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','proxzy027');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-117609710-963894560-1606980848-1005\Software\Microsoft\Windows\CurrentVersion\Run','proxzy027');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','proxzy028');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-117609710-963894560-1606980848-1005\Software\Microsoft\Windows\CurrentVersion\Run','proxzy028');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','proxzy029');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-117609710-963894560-1606980848-1005\Software\Microsoft\Windows\CurrentVersion\Run','proxzy029');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2gbs29dd');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221'); 
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

2.
После перезагрузки, выполните такой скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3.

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки.
3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
5. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ;uVS v3.81 script [http://dsrt.dyndns.org]
   
   adddir %SystemDrive%\Documents and Settings\Матрица\
   crimg

6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

9. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

10. Подробнее читайте в руководстве Как подготовить лог UVS

4.
В AVZ:

Цитата:

Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.39.

Пожалуйста обновите базы и сделайте новые логи.

[Andr100]

лог UVS

лог AVZ доделываю с обновленной базой

[Andr100]

лог AVZ

[Sandor]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ;uVS v3.80.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv5.1
   
   OFFSGNSAVE
   
   sreg
   
   zoo E:\OHHQVSSORPDXJOW.EXE
   bl FAAF6CF5B3A40F9F3979F97B6D21D5C0 125440
   addsgn A7679B1991CEC74FDB51EFB14FF54E98648AFDCBC10A5E780EDE1D4C11D65A519F6082571748E9A96A800FA20EE608FA7EE290E714DAB11155E2E52F4E538AF8 16 BackDoor.IRC.NgrBot.42 [DrWeb]
   
   zoo %SystemDrive%\DOCUMENTS AND SETTINGS\МАТРИЦА\APPLICATION DATA\14.EXE
   bl 7AEDA63CC0F24C620D43E19389B0EBBA 44575
   addsgn A7679BF0AA029C224BD4C6F946881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0FD0C49F75C4C32EF4CA801415DA3BE4AC965B2FC706AB7E 8 BackDoor.Gurl.2 [DrWeb]
   
   zoo %SystemDrive%\DOCUMENTS AND SETTINGS\МАТРИЦА\APPLICATION DATA\15.EXE
   bl B83506982520C0866C50FEE4285A7841 43715
   zoo %SystemDrive%\DOCUMENTS AND SETTINGS\МАТРИЦА\APPLICATION DATA\F.EXE
   bl E2342D2E17FE5E4DE3EDAFEC6FEA86DE 43880
   zoo %SystemDrive%\DOCUMENTS AND SETTINGS\МАТРИЦА\APPLICATION DATA\10.EXE
   bl 560FDD2E24BB2E3717383909A1EBC8CA 44260
   zoo %SystemDrive%\DOCUMENTS AND SETTINGS\МАТРИЦА\APPLICATION DATA\11.EXE
   bl B1D158217751806A804C4ECAEA333F60 41990
   zoo %SystemDrive%\DOCUMENTS AND SETTINGS\МАТРИЦА\APPLICATION DATA\12.EXE
   bl 8546F0D0A921ABC2A9E48973C7605FBB 41210
   zoo %SystemDrive%\DOCUMENTS AND SETTINGS\МАТРИЦА\APPLICATION DATA\13.EXE
   bl CAFED638C1B3341C34198EDC05FE7A95 45430
   zoo %SystemDrive%\DOCUMENTS AND SETTINGS\МАТРИЦА\APPLICATION DATA\C.EXE
   bl 939E55FBCF61EB903FD4F5E1F8CF6C35 42235
   zoo %SystemDrive%\DOCUMENTS AND SETTINGS\МАТРИЦА\APPLICATION DATA\D.EXE
   bl 8FB9E793040BB6D62E50400E6F4D3396 45750
   zoo %SystemDrive%\DOCUMENTS AND SETTINGS\МАТРИЦА\APPLICATION DATA\E.EXE
   bl 65507B1465546E3C35E93751E7F5B039 44735
   
   delref %Sys32%\CALVNQL.DLL
   delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17257\PROXZY17.EXE
   delref %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17259\PROXZY19.EXE
   chklst
   delvir
   
   deltmp
   czoo
   areg

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
   

   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

Повторите образ автозапуска в uVS.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:

Цитата:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

По окончании лечения не забудьте сменить все важные пароли на веб-ресурсах.

[Andr100]

7 пункт выполнил - отправил на почту

Повторите образ автозапуска в uVS. - не могу выполнить. Перезагружается компьютер при сохранении полного образа автозапуска, два раза пробЫвал, постоянно перезагрузка
После перезагрузки лог 1 Kb - думаю не смысла его отправлять
Третий раз пробывать ?

[Sandor]

Цитата Andr100:

Третий раз пробывать ? »

Попробуйте в безопасном режиме.

И давайте посмотрим лог MBAM.

[Andr100]

при построении списка на 78% в третий раз - перезагрузка
пробую в безопасном

к MBAM можно перейти пропустив выше шаг , если не получится в безопасном ?

[thyrex]

Цитата Andr100:

к MBAM можно перейти пропустив выше шаг , если не получится в безопасном ? »

Можно

[Andr100]

выключился компьютер в безопасном режиме
перехожу к следующему пункту