[zirreX]

Здравствуйте! Выполните правила .

[Dimon_Mz]

Файлы выложил. Очень надеюсь на вашу помощь!

[S.R]

Сейчас посмотрю логи.

Отключите:
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, меню Файл\Выполнить скрипт)

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\AppPatch\wjxiyq.exe','');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\d425e2ee\X','');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\d425e2ee\X');
 DeleteFile('C:\Windows\AppPatch\wjxiyq.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell','Explorer.exe');
 DeleteFileMask('C:\Users\Дмитрий\AppData\Roaming\384E7D89', '*.*', true);
 DeleteFileMask('C:\Users\Дмитрий\AppData\Roaming\MicroST', '*.*', true);
 DeleteDirectory('C:\Users\Дмитрий\AppData\Roaming\384E7D89');
 DeleteDirectory('C:\Users\Дмитрий\AppData\Roaming\MicroST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отошлите через веб-форму.


Сделайте новые логи AVZ & RSIT

• Скачайте Malwarebytes' Anti-Malware, установите, обновите базы
• Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
• После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению

[Dimon_Mz]

Сделал.

[thyrex]

Удалите в МВАМ

Код:

C:\Program Files\DrWeb\Infected.!!!\X.5B7B15F8 (Rootkit.Dropper) -> Действие не было предпринято.
C:\Users\Дмитрий\AppData\Local\d425e2ee\U\000000c0.@ (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Дмитрий\AppData\Local\d425e2ee\U\000000cb.@ (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Дмитрий\AppData\Local\d425e2ee\U\800000cb.@ (Backdoor.0Access) -> Действие не было предпринято.
C:\Users\Дмитрий\AppData\Local\Temp\jar_cache6159232467650291031.tmp (Trojan.Agent.BGen5) -> Действие не было предпринято.
C:\Users\Дмитрий\AppData\Local\Temp\0.3491370391514922.exe (Trojan.Agent.BGen5) -> Действие не было предпринято.
D:\System Volume Information\_restore{0EAE8077-4250-4C33-8CF9-51695A6F61F7}\RP171\A0044593.Exe (Trojan.FakeAlert) -> Действие не было предпринято.
F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Autorun) -> Действие не было предпринято.
C:\Users\Дмитрий\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Действие не было предпринято.
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Действие не было предпринято.

[Dimon_Mz]

Удалил. Теперь при установке Оперы выскакивает следующие:

Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: Opera.exe
Версия приложения: 11.61.1250.0
Отметка времени приложения: 4f1d3f70
Имя модуля с ошибкой: StackHash_1849
Версия модуля с ошибкой: 0.0.0.0
Отметка времени модуля с ошибкой: 00000000
Код исключения: c0000096
Смещение исключения: 06902b24
Версия ОС: 6.1.7600.2.0.0.256.1
Код языка: 1049
Дополнительные сведения 1: 1849
Дополнительные сведения 2: 1849c407aa744b99a33024028db9ebe7
Дополнительные сведения 3: 278a
Дополнительные сведения 4: 278a97cc308ba686c6e5e86a61fc7a30

Ознакомьтесь с заявлением о конфиденциальности в Интернете:
http://go.microsoft.com/fwlink/?link...8&clcid=0x0419

Если заявление о конфиденциальности в Интернете недоступно, ознакомьтесь с его локальным вариантом:
C:\Windows\system32\ru-RU\erofflps.txt

хотя опера стоит и работает. Уже за это спасибо!

[S.R]

Повторите логи.

[thyrex]

А также

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe