[SolarSpark]

Привет, зловред известный, щас полечим и все пройдет) аккуратно выполните все рекомендации

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\EdaHUta4uv2vB.dll','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\EdaHUta4uv2vB.dll');
 DeleteFile('C:\plg.txt');
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\EdaHUta4uv2vB.dll', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\EdaHUta4uv2vB.dll');
 DeleteFileMask('C:\HtigL0VV7iks4zU', '*.*', true);
 DeleteDirectory('C:\HtigL0VV7iks4zU');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\HtigL0VV7iks4zU', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\HtigL0VV7iks4zU');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(13);
ExecuteRepair(14);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe;
3. Нажмите кнопку "Начать проверку";
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
9. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Выполните сканирование. Лог приложите

Меняем все пароли

Цитата Bafun:

И ещё. У меня вопрос по двум процессам. praetorian.exe FsUsbExService.Exe »

нормальные процессы, ничего не надо с ними делать

чищу вам Hosts
не забудьте восстановить записи

Код:

127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com204.9.178.11 typepad.com

[Bafun]

Спасибо, что так быстро откликнулись.

Прежде чем приступить, мне хотелось бы узнать

Цитата:

чищу вам Hosts не забудьте восстановить записи

Где и как именно могу их восстановить?

[SolarSpark]

Цитата Bafun:

Где и как именно могу их восстановить? »

по этому пути C:\WINDOWS\system32\drivers\etc открываете файл блокнотом и вставляете туда ниже записи

Код:

127.0.0.1       localhost

вышеперечисленное от adobe.com

[Bafun]

Хорошо, только у меня в папке etc 2 hоsts.
Один размером 3кб, другой 1кб.
По содержанию один пустой после

Код:

127.0.0.1       localhost

а у другого далее значится полно сайтов.

[SolarSpark]

оставьте пустой, второй со списком удалите

[Bafun]

Все сделала, кроме hоsts. Их снова 2, одного размера и одного содержания.

После выполнения первого скрипта и перезагрузки появилась табличка "ошибка инициализации скачивания".
В то же время пропал интернет. "Подключение по локальной сети ограничено или отсутствует."
Я позвонила своему провайдеру и мы некоторое время выдергивали, вставляли кабель, проверяли подключение всех устройств, ip итд. Перезагрузки так же ничего не приносили, но когда подключился технический специалист и попросил выдернуть на какое-то время кабели и с чем-то там пошаманил на том конце провода, инет заработал после перезагрузки, правда, мы закончили с ним разговор на том, что ко мне завтра приедет специалист, перезагрузку он мне так и не предложил, а она оказалась завершающим элементом.
Сейчас интернет работает без проблем. Download Master качает все, что ранее не качал. Базы обновляются автоматически, а не вручную, как раньше.
WebMoney так же перестал считать, что я не в интернете.
Пока все здорово. В Firefox пока не захожу, не уверена, что время пришло.
Спасибо.

[SolarSpark]

Удалите в МВАМ (потребуется повторное сканирование)

Код:

Registry Keys Detected: 4
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> No action taken.
HKCR\forgive.eProtocol (Trojan.WebMoner) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\offsidepoker (PUP.Casino) -> No action taken.
HKLM\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.


Files Detected: 18
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\dgm.exe (Adware.Agent) -> No action taken.
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\pdwa.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\uhcd.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\wtsx.exe (Trojan.Agent) -> No action taken.

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\EdaHUta4uv2vB.dll','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\EdaHUta4uv2vB.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(14);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!


Сделайте повторные логи AVZ + RSIT

______________________________________

Пароли смените, особенно на WebMoney

[Bafun]

Сделано.

[SolarSpark]

после скрипта проблемы с сетью были?

как самочувствие системы?