[iskander-k]

Выложите логи в соответствии с этими инструкциями.
Скачайте свежую версию АВЗ и переделайте логи.

[azz_tec@vk]

Благодарю за поправку.
По вышей ссылке: АВЗ предложен 37, я скачал 39. т.к. сайт Олега у меня не открывается, пришлось тянуть с Софтпортала.
То же самое с обновлениями, с сайта Олега они не тянутся. Спас альтернативный сервер(прописан в АВЗ).
Обновленные логи - по тем же ссылкам в шапке.

Ещё такую штуку заметил. Физический и виртуальные ж.д. потеряли первую букву лейбла. Вместо "Новый том", физический диск и диски Apache называются "овый том".

[thyrex]

Цитата azz_tec@vk:

По вышей ссылке: АВЗ предложен 37 »

Просто забыли поправить номер версии

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\AppPatch\mdkyvb.exe','');
 DeleteFile('C:\Windows\AppPatch\mdkyvb.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пофиксите в HiJack (что останется из предложенного)

Код:

F3 - REG:win.ini: load=C:\Windows\AppPatch\mdkyvb.exe
F3 - REG:win.ini: run=C:\Windows\AppPatch\mdkyvb.exe
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\apppatch\mdkyvb.exe,
O2 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKCU\..\Run: [userinit] C:\Windows\AppPatch\mdkyvb.exe

Удалите вручную C:\Users\Azik\AppData\Roaming\44883406

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

[azz_tec@vk]

2@thyrex
Всё сделал.
* Файл карантина отправил.
* Новые логи, доступны по прежним ссылкам, в шапке.
При проверке Хайджеком, насканило только:

Код:

O2 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

Это пофиксил. Повторная проверка - соответствий не выявила.

[akok]

Цитата thyrex:

Сделайте новые логи »

Нужно для проверки.

[iskander-k]

Цитата azz_tec@vk:

АВЗ предложен 37, я скачал 39. »

поправлено

Цитата azz_tec@vk:

пришлось тянуть с Софтпортала. »

В моей подписи по ссылке Зеркало можно было скачать с депозита...

+

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[azz_tec@vk]

2@Akik:
Я обновлял файлы по старым ссылкам есличо.

2@Iskander-k
Результаты полного сканирования MBAM.

[akok]

MPR сами устанавливали?

Повторите сканирование MBAM и удалите только следующие строки:

Код:

Обнаруженные ключи в реестре: 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
Обнаруженные файлы:  
C:\$Recycle.Bin\S-1-5-21-1277310259-2144098570-1176959628-1000\$R6PZZW7.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Users\Azik\AppData\Local\Temp\CyvBcb1E.exe.part (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Azik\AppData\Local\Thinstall\Cache\Stubs\dbb6d1566997629af094d3c355b417a1f7ca6ca9\VideoAvatar.exe (Trojan.Backdoor) -> Действие не было предпринято.

Цитата thyrex:

Сделайте новые логи »

Будете готовить или нет? Это важно.

[azz_tec@vk]

2@Akok:
Поясню на пальцах:
* У меня есть свой хостинг.
* Я создал там папку LOG.
* Я заливаю туда логи.
* При создании новых логов, я удаляю старые, и заливаю на их место новые.
* На этот раз - старые я переместил в папку "old"
http://caramelca.kz/temp/log/old/info.txt и так далее

А последние, лежат здесь с полпятого утра:
http://caramelca.kz/temp/log/info.txt
http://caramelca.kz/temp/log/log.txt
http://caramelca.kz/temp/log/virusinfo_syscheck.zip
http://caramelca.kz/temp/log/virusinfo_syscure.zip