[iskander-k]

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Сохраните реестр:
Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.


• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

F2 - REG:system.ini: UserInit=\.globalrootsystemrootsystem32userinit.exe,

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('globalroot\systemroot\system32\userinit.exe','');
 BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

И сделайте лог
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[seman]

iskander-k
после скрипта войти в систему невозможно,
поскольку не стало userinit. скопировал со здоровой системы - сейчас все ок.

[iskander-k]

А лог МБАМ вы не сделали.

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\WINDOWS\system32\bkzxvz.dll','');
DeleteFile('H:\WINDOWS\system32\bkzxvz.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сохраните текст ниже как cleanup.bat в ту же папку, где находится mfbdb93l.exe (gmer)

Код:

mfbdb93l.exe -del service rrxcbnaag
mfbdb93l.exe -del file "H:\WINDOWS\system32\bkzxvz.dll"
mfbdb93l.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rrxcbnaag"
mfbdb93l.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rrxcbnaag"
mfbdb93l.exe -reboot

И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

Цитата seman:

после скрипта войти в систему невозможно, »

Цитата iskander-k:

globalroot\systemroot\system32\userinit.exe »

Странный путь для userinit (хотя возможен глюк АВЗ и в хиджаке сразу ?)

У вас сборка - чья?

[seman]

Цитата iskander-k:

Странный путь для userinit (хотя возможен глюк АВЗ и в хиджаке сразу ?) У вас сборка - чья? »

да... путь какой-то странный.
сборка стандартная лицензионная home edition.
комп малость подвисает. похоже еще что-то с файловой системой.
chkdsk не работает. при запланированной загрузке на проверку пишет Cannot open volume for direct access.
если вирусного ничего не осталось, попробую накатить sp3.

Цитата:

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

вот это сделать не получилось. скачал базы, установил при запуске пишет базы не подходят для этой версии продукта, хотя скачал последнюю версию программы с сайта.

[iskander-k]

По логам МБАМ - чисто

И нашло и удалило что удалил доктор веб(удалило из его карантина.).

По логу гмер - чисто .
Гмер удалил руткита.

Цитата seman:

вот это сделать не получилось »

Возможно сетевой экран заблокировал доступ.

[thyrex]

Логи AVZ еще раз сделайте

Цитата seman:

Все банально - при загрузке баннер с просьбой разориться. »

В зависимости от версии вымогателя в ход пускают разные версии утилиты get. В данном случае в системе скорее всего остался драйвер, подмененный вымогателем

[iskander-k]

Скачайте get3 - распакуйте и запустите в следующем сообщении присоедините файлик drv.sys который появляется в папке, откуда вы запускали get3.

[seman]

iskander-k
запустил, комп перезагрузился, однако файла drv.sys не создалось!!!!
интересно следующее - раньше комп загружался до приветствия с пользовательской иконкой.
по которой щелкали и входили.
после выполнения get3- происходит автологон.

thyrex,

[iskander-k]

Цитата seman:

запустил, комп перезагрузился, однако файла drv.sys не создалось!!!! »

Файлик появится если в системе есть драйвер подмененный зловредом. Если его нет значит зловреда уже удалили.