[zirreX]

Здравствуйте!

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Подробнее в "ComboFix. Руководство по применению."

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[Ka4aHoK]

Вот лог от Malwarebytes' Anti-Malware а от Combofix лог снять не получилось

[zirreX]

Цитата Ka4aHoK:

Combofix лог снять не получилось »

Почему?

Удалите все найденные объекты в MBAM, кроме указанныех ниже:

Код:

Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые файлы:
c:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\greenfields.scr (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> No action taken.
c:\program files\half-open\tools\CertMgr.Exe (Malware.Packer.Gen) -> No action taken.
c:\program files\half-open\tools\makecert.exe (Malware.Packer.Gen) -> No action taken.
c:\program files\total commander\Utils\7z\Upack.exe (Malware.Packer.Gen) -> No action taken.
d:\Games\FS\LFS\lfst-y18plusrader_pl.exe (PUP.HackTool.HotKeysHook) -> No action taken.
d:\Всячина\дистрибутивы\Network\keygen.exe (Trojan.Dropper) -> No action taken.

Сделайте новый лог сканирования MBAM.

Internet Explorer обновить до восьмой версии, даже если его не используете!

[Ka4aHoK]

Combofix зависал на процессе сканирования,пробовал раза 3,ждал долго но толку не было.Internet Explorer обновил,вот новый лог MBAM

[zirreX]

Удалить в MBAM:

Код:

Заражённые файлы:
c:\WINDOWS\Temp\913.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\Temp\294.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\Temp\513.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\Temp\072.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020724.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020725.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020726.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020727.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020728.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020729.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020730.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020731.exe (Trojan.Dropper) -> No action taken.

Цитата Ka4aHoK:

Combofix зависал на процессе сканирования,пробовал раза 3,ждал долго но толку не было »

При использовании ComboFix не забывайте пожалуйста про инструкции:
Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

Если не получается подготовить лог ComboFix в нормальном режиме, то попробуйте подготовить лог загрузившись в безопасном режиме [Safe Mode].

[Ka4aHoK]

Всё удалил,а Combofix в безопасном режиме тоже не работает

[zirreX]

Подготовьте пожалуйста лог OTL by Oldtimer

[Ka4aHoK]

Вот логи от OTL by Oldtimer

[zirreX]

Проверьте файлы на www.virustotal.com и дайте ссылку на результат проверки.

Код:

C:\windows\sbsystem.dat
C:\windows\System32\ezsidmv.dat

Запустите OTL. Скопируйте ниже написанный скрипт в окно Custom Scans/Fixes и нажмите кнопку Run Fix

Код:

:OTL
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://eroshal.ucoz.ru
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eroshal.ucoz.ru
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://eroshal.ucoz.ru
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eroshal.ucoz.ru
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://eroshal.ucoz.ru
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eroshal.ucoz.ru
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://eroshal.ucoz.ru
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eroshal.ucoz.ru
IE - HKU\S-1-5-21-682003330-1284227242-1417001333-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://eroshal.ucoz.ru [binary data]
IE - HKU\S-1-5-21-682003330-1284227242-1417001333-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eroshal.ucoz.ru
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKU\S-1-5-21-682003330-1284227242-1417001333-1004\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O32 - AutoRun File - [2010.11.16 20:29:42 | 000,000,000 | -H-D | M] - C:\AUTORUN.INF -- [ FAT32 ]
O32 - AutoRun File - [2010.08.15 19:46:00 | 000,000,000 | -H-D | M] - D:\AUTORUN.INF -- [ NTFS ]
O33 - MountPoints2\{b7547c92-1c25-11e0-84a7-001fc6c5bab1}\Shell\AutoRun\command - "" = J:\PMBP_Win.exe
MsConfig - StartUpFolder: C:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^6k81whi.exe -  - File not found
MsConfig - StartUpFolder: C:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^ezav081cno.exe -  - File not found
MsConfig - StartUpFolder: C:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^upll2rsn0.exe -  - File not found
MsConfig - StartUpFolder: C:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^xnndj60lghm.exe -  - File not found

:Files
autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c
 
:Commands
[purity]
[emptytemp]
[resethosts]
[CREATERESTOREPOINT]
[emptyflash]
[Reboot]

Внимание! Компьютер перезагрузится!

Прикрепите полученный лог к вашему сообщению.

Прикрепите пожалуйста новый лог сканирования MBAM.