[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\PROGRA~3\Mozilla\kahkjjj.dll','');
 DeleteFile('C:\PROGRA~3\Mozilla\kahkjjj.dll');
DeleteFileMask('C:\PROGRA~3\Mozilla', '*.exe', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

+ сделайте скриншот содержимого папки windows\system32\tasks

[kehtmupa]

quarantine.zip скинул по форме.
новые логи и скрин выкладываю сюда.

Все заработало, огромное спасибо!

[S.R]

kehtmupa,
Откройте файл C:\windows\system32\tasks\frzolri блокнотом и напишите его содержимое здесь.

Удалите через панель управления - Программы и компоненты 111 222 333 444 555 666 777 888 999 000 - приложение.

Пофиксите с помощью HiJackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Удалите файл C:\Users\КЕЙ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\webalta-search.xml

Прикрепите файл C:\TDSSKiller.2.8.17.0_09.06.2013_14.27.43_log.txt к следующему сообщению.

Подготовьте лог полного сканирования Malwarebytes Anti-Malware (MBAM) => FAQ по работе с Malwarebytes Anti-Malware

[kehtmupa]

Содержимое frzolri

Цитата:

<?xml version="1.0" encoding="UTF-16"?> <Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task"> <RegistrationInfo /> <Triggers> <LogonTrigger id="1"> <Enabled>true</Enabled> <UserId>КЕЙ</UserId> </LogonTrigger> </Triggers> <Settings> <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy> <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries> <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries> <AllowHardTerminate>true</AllowHardTerminate> <StartWhenAvailable>true</StartWhenAvailable> <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable> <IdleSettings> <Duration>PT10M</Duration> <WaitTimeout>PT1H</WaitTimeout> <StopOnIdleEnd>true</StopOnIdleEnd> <RestartOnIdle>false</RestartOnIdle> </IdleSettings> <AllowStartOnDemand>true</AllowStartOnDemand> <Enabled>true</Enabled> <Hidden>false</Hidden> <RunOnlyIfIdle>false</RunOnlyIfIdle> <WakeToRun>false</WakeToRun> <ExecutionTimeLimit>PT72H</ExecutionTimeLimit> <Priority>7</Priority> </Settings> <Actions Context="Author"> <Exec> <Command>C:\PROGRA~3\Mozilla\agkbydi.exe</Command> <Arguments>-lvepcgj</Arguments> </Exec> </Actions> <Principals> <Principal id="Author"> <UserId>КЕЙ-ПК\КЕЙ</UserId> <LogonType>InteractiveToken</LogonType> <RunLevel>LeastPrivilege</RunLevel> </Principal> </Principals> </Task>

Файл удалил. Логи прикрепил.

[thyrex]

frzolri удалите

Запустите сканирование МВАМ, отметьте и удалите все найденное, кроме

Код:

Обнаруженные процессы в памяти:  1
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> 2116 -> Действие не было предпринято.


C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\FoxTabPDFConverter\Uninstall\Uninstall.exe (Adware.Agent) -> Действие не было предпринято.
C:\Program Files (x86)\Microsoft Office\activator.exe (PUP.Hacktool) -> Действие не было предпринято.

Смените все пароли

[kehtmupa]

Все сделал. Большое спасибо!