[zirreX]

Отлючите защитное ПО (Антивирус/Файерволл)!

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-F3ED49\Application Data\Microsoft\Internet Explorer\Quick Launch\eBay.lnk','');
 QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\3Pi4B1s4.sys','');
 QuarantineFile('c:\windows.0\system32\ctfmon.exe','');
 QuarantineFile('c:\windows.0\explorer.exe','');
 DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\3Pi4B1s4.sys');
 DeleteFile('C:\Documents and Settings\Admin.MICROSOF-F3ED49\Application Data\Microsoft\Internet Explorer\Quick Launch\eBay.lnk');
 DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
 DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
 DeleteFileMask('C:\RECYCLER\', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.


Сделайте новые логи AVZ

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[alissa_12]

Выполнила скрипты, карантин отправила.
Сделала новые логи AVZ, и после них сканировала MBAM.
В MBAM ничего не удалила... жду распоряжений.

P.S. Проблемной папки в корзине больше не наблюдаю

[zirreX]

В логах чисто.

Проверьте на VirusTotal

Код:

c:\program files\common files\safesurf.exe

[alissa_12]

Цитата zirreX:

Проверьте на VirusTotal c:\program files\common files\safesurf.exe »

Вот результат проверки:
http://www.virustotal.com/file-scan/...b4e-1308002664
Удалить его?

А что на счет MBAM? Можно все удалить, что он нашел?

[zirreX]

SafeSurf устанавливали?

Цитата alissa_12:

А что на счет MBAM? Можно все удалить, что он нашел? »

Не всё, только нижеперечисленное:

Код:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\JetSwap (Adware.JetSwap) -> No action taken.

Зараженные файлы:
c:\program files\common files\safesurf.exe (Trojan.Downloader) -> No action taken.

Проблема решена?

[alissa_12]

Цитата zirreX:

SafeSurf устанавливали? »

Нет, не устанавливала. Название не знакомое, не знаю что это за файл

В MBAM удалила перечисленное. А оставшиеся файлы MBAM же показывает как зараженные. Он ошибается? И теперь при каждой следующей проверке он будет на них "ругаться"?

Проблема решена.
Спасибо!

[zirreX]

Цитата alissa_12:

А оставшиеся файлы MBAM же показывает как зараженные. Он ошибается? И теперь при каждой следующей проверке он будет на них "ругаться"? »

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

Из-за того, что у вас отключены уведомления Центра безопасности - брандмауэра Windows, службы Автоматического обновления и уведомление слежения за антивирусным ПО соотвественно.

Код:

c:\WINDOWS.0\system32\eventvwr.exe (Trojan.FakeMS) -> Not selected for removal.

Ложное срабатывание, файл системный.

[alissa_12]

Ну и последний вопрос:

Цитата zirreX:

Из-за того, что у вас отключены уведомления Центра безопасности - брандмауэра Windows, службы Автоматического обновления и уведомление слежения за антивирусным ПО соотвественно. »

Может стоит эти службы включить? И как это сделать?
Из-за них ко мне пролезли вредоносные объекты?

[zirreX]

Цитата alissa_12:

Может стоит эти службы включить? И как это сделать? Из-за них ко мне пролезли вредоносные объекты? »

alissa_12, нет не из-за них. Это всего лишь оповещения .
Включить можете через Панель управления - Центр обеспечения безопасности - Изменить способ оповещений Центром обеспечения безопасности, отмечаете пункты галочками.