[Farger]

Здравствуйте,

Сейчас посмотрю логи.

[nusia555555]

спасибо, жду
мучаюсь уже с этим не первый день!(

[Farger]

Ваш провайдер - "Ростелеком-Северо-Запад" (north-west telecom)?

1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\apppatch\ceymqvs.dat','');
QuarantineFile('C:\Users\User\AppData\Local\Temp\Rfj9601O.sys','');
QuarantineFile('C:\Windows\system32\koruilh.dll','');
QuarantineFile('C:\Windows\system32\9EBF.tmp','');
QuarantineFile('C:\Windows\system32\7348.tmp','');
DeleteFile('C:\Windows\system32\9EBF.tmp');
DeleteFile('C:\Windows\system32\7348.tmp');
DeleteFile('C:\Windows\system32\koruilh.dll');
DeleteFile('C:\Windows\apppatch\ceymqvs.dat');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Users\User\AppData\Local\Temp\Rfj9601O.sys');
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Запустите HiJackThis -> Do a system scan only и проверьте наличие в логе этих строк (если есть, пофиксите их в HJT

Код:

 	
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\apppatch\ceymqvs.dat,
O20 - AppInit_DLLs: C:\Windows\system32\koruilh.dll

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ+RSIT

[nusia555555]

Да) Верно!

1. Сделано
2. Из лаборатории ещё не ответили
3. Таких строк не обнаружено
4. mbam прикрепила
5. checkup.txt тоже)
6. в комплекте) но info.txt не обновилось почему то - так надо?

жду указаний)

[Farger]

Здравствуйте,

1. Что с проблемами?

2. Запустите еще раз полное сканирование в MBAM, дождитесь результатов сканирования и отметьте эту строку:

Код:

Зараженные ключи в реестре:  
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

нажмите "Remove selected"

3. Что в папках C:\Users\User\AppData\Roaming\7f5b9780 и C:\Users\User\AppData\Roaming\80b567e8a?

[nusia555555]

Доброе утро, Farger)

1. Вроде бы всё нормализовалось! спасибо большое)

2. 6 инфицированных объектов

3.Папки не нашла - может они скрытые
через поиск нашла - первая папки пуста, а во второй находится файл pass.log, где прописан мой пароль на сайт жёлтых страниц, то есть ничего страшного

4. В пятницу я нашла у себя 7 троянов
после чего скачала фильм с рутрекера - и уже в понедельник нашла 18 троянов, не считая всего что обнаружила с вашей помощью

МВАМ постоянно говорит что рутрекер - вредоносный сайт, но я часто им пользуюсь , а мой родной AVG молчит по поводу вирусов, что делать?

5. У меня работают одновременно AVG и МВАМ - так вообще можно?

[SolarSpark]

Цитата nusia555555:

МВАМ постоянно говорит что рутрекер - вредоносный сайт »

мвам вообще много чего говорит, поэтому пользуйтесь утилью только под руководством хелпера
rutracker - нормальный сайт, иногда мой веб ругается на постеры/скрины, заливаемые аплоадерами на сомнительные хостинги... но от этого количество зловредов не прибавляется
по окончании лечения Даниил вам даст рекомендации по зачистке временных файлов, зараженных контрольных точек и настройке браузеров, чтобы не хватали эксплоиты

[Farger]

Здравствуйте,

1) Мы еще не закончили.

2) Это во время последней полной проверки MBAM? Лог приложите, посмотрим.

3) Ок.

4) Сейчас ситуация получше...

5) Да.

[nusia555555]

1. Хорошо)
2. Да, во время полной проверки, лог загрузила