[alex_sev]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\1\appdata\local\temp\houbkn.exe');
 QuarantineFile('D:\ucjrbfs.bat','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\ucjrbfs.bat','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\Windows\Temp\TS_709D.tmp','');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\corpffrusii.exe','');
 QuarantineFile('C:\Windows\system32\wsnjhzaqornaiieavrphi.exe','');
 QuarantineFile('C:\Windows\system32\jcunixviddwglibumf.exe','');
 QuarantineFile('C:\Windows\system32\hcwroffurtoahgbwqliz.exe','');
 QuarantineFile('C:\Windows\system32\asjbvjgsmldmqmewn.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\ForceSleep.cmd','');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\uohbxnmawxrcigaunhd.exe .','');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\uohbxnmawxrcigaunhd.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\tkarkxtexvmuxsja.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\hcwroffurtoahgbwqliz.exe .','');
 QuarantineFile('c:\users\1\appdata\local\temp\houbkn.exe','');
 DeleteFile('c:\users\1\appdata\local\temp\houbkn.exe');
 DeleteFile('C:\Users\1\AppData\Local\Temp\hcwroffurtoahgbwqliz.exe .');
 DeleteFile('C:\Users\1\AppData\Local\Temp\tkarkxtexvmuxsja.exe');
 DeleteFile('C:\Users\1\AppData\Local\Temp\uohbxnmawxrcigaunhd.exe');
 DeleteFile('C:\Users\1\AppData\Local\Temp\uohbxnmawxrcigaunhd.exe .');
 DeleteFile('C:\Windows\system32\asjbvjgsmldmqmewn.exe');
 DeleteFile('C:\Windows\system32\hcwroffurtoahgbwqliz.exe');
 DeleteFile('C:\Windows\system32\jcunixviddwglibumf.exe');
 DeleteFile('C:\Windows\system32\wsnjhzaqornaiieavrphi.exe');
 DeleteFile('C:\Users\1\AppData\Local\Temp\corpffrusii.exe');
 DeleteFile('C:\Windows\Temp\TS_709D.tmp');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\ucjrbfs.bat');
 DeleteFile('D:\autorun.inf');
 DeleteFile('D:\ucjrbfs.bat');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','teozmtjobt');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','jsajuznq');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oetjbniskhxegaq');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aktdpvkoa');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','laodufzizvkqrk');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','aktdpvkoa');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','teozmtjobt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','kylzpzsaqlzee');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lykxmvnujdqu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','oalxltkqexj');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
 ExecuteRepair(3);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

[Jerzy]

Проделал все этапы, согласно инструкции.

[SolarSpark]

Удалите все найденное в МВАМ (потребуется повторное сканирование)

Цитата:

Мастер поиска и устранения проблем >> Нарушение ассоциации SCR файлов >> Блокировка редактора реестра >> Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы >> Повреждено меню настройки отображения папок >> Повреждены настройки SafeBoot

AVZ - Файл - Мастер поиска и управления и устранения проблем

В появившемся окне выберите системные проблемы – все проблемы и нажмите кнопку пуск.
По окончанию проверки просмотрите список выделите нужные проблемы галочкой и надавите в кнопочку “Исправить отмеченные проблемы“.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом руководстве.

[alex_sev]

+ к предыдущему сообщению:

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O4 - Startup: adobe_flash_player.exe
O20 - AppInit_DLLs:

Файлы:

Код:

2013-01-08 20:48:16 ----RSH---- C:\Windows\wsnjhzaqornaiieavrphi.exe
2013-01-08 20:48:16 ----RSH---- C:\Windows\uohbxnmawxrcigaunhd.exe
2013-01-08 20:48:16 ----RSH---- C:\Windows\tkarkxtexvmuxsja.exe
2013-01-08 20:48:16 ----RSH---- C:\Windows\system32\uohbxnmawxrcigaunhd.exe
2013-01-08 20:48:16 ----RSH---- C:\Windows\system32\tkarkxtexvmuxsja.exe
2013-01-08 20:48:16 ----RSH---- C:\Windows\system32\nkgdcvxonroclmjgczyrtk.exe
2013-01-08 20:48:16 ----RSH---- C:\Windows\nkgdcvxonroclmjgczyrtk.exe
2013-01-08 20:48:16 ----RSH---- C:\Windows\jcunixviddwglibumf.exe
2013-01-08 20:48:16 ----RSH---- C:\Windows\hcwroffurtoahgbwqliz.exe
2013-01-08 20:48:16 ----RSH---- C:\Windows\asjbvjgsmldmqmewn.exe

если такие найдутся удалите вручную

[Jerzy]

Выполнил все пункты сообщения от SolarSpark.
Содержимое SecurityCheck.txt:

Security Check by glax24 version 0.1.6.51 rc1
WebSite: www.safezone.cc
DataLog 12.01.2013 16:34:13
Program directory: C:\Users\1\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionLocal=2.1
Диск C:\ ФС: NTFS Емкость: (86.3 Гб) Занято: (53.3 Гб) Свободно: (33 Гб)
__________________________________________________

WIN_7(6.1) Build 7600 (x86) Ultimate Lang: Russian(0419)
Дата установки ОС: 20.11.2010 10:26:04
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
Автоматическое обновление отключено
Дата установки обновлений: 2011-02-27 11:52:32
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
JavaFX 2.1.1 v.2.1.1 Внимание! Скачать обновления
^Скачайте javafx-2_2_4-windows-i586.exe^
Java(TM) 6 Update 22 v.6.0.220 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^
Java 7 Update 9 v.7.0.90 Внимание! Скачать обновления
^Скачайте jre-7u10-windows-i586.exe^
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.5.502.146
Adobe Flash Player 11 Plugin v.11.5.502.146
Adobe Reader X (10.1.5) - Russian v.10.1.5 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.24.0.1312.52
Opera 12.12 v.12.12.1707
-------------RunningProcess-----------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.24.0.1312.52
-------------EndLog-------------------------------

Профиксил в HijackThis что было.
Только O4 - Startup: adobe_flash_player.exe
Остальное отсутствовало в списке.

Скачивать и устанавливать обновления о которых говорится в SecurityCheck.txt?

[alex_sev]

Да конечно, кроме Java 6 версии - ее просто деинсталлируйте, а вот 7 Java обновляйте.

На сайты антивирусов появился доступ?

[Jerzy]

Да, появился доступ и компьютер стал порезвее. Благодарю за помощь. Чем я вам теперь обязан?

[iskander-k]

Цитата Jerzy:

Чем я вам теперь обязан? »

Сказать спасибо(нажав Полезное сообщение ) !!!