[Katharsis]

Цитата:

Database was last updated 12.07.2013

обновите базы авз и повторите логи

[numezmat]

Обновил базу и повторно выкладываю логи

[Katharsis]

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:C:\ProgramData\ViXrArag', '*', true, '', 0, 0);
 QuarantineFile('C:\ProgramData\ViXrArag\ViXrArag.exe','');
 DeleteFile('C:\ProgramData\ViXrArag\ViXrArag.exe','32');
 DeleteFileMask('C:\ProgramData\ViXrArag', '*', true);
 DeleteDirectory('C:\ProgramData\ViXrArag');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Сделайте новые логи AVZ (ст скрипт 2) и RSIT

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

[numezmat]

Результат сканирования МВАМ

[Katharsis]

1. удалите это:

Цитата:

Обнаруженные папки: 2 C:\Users\Иван Хандожко\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Users\Иван Хандожко\AppData\Roaming\OpenCandy\9CF92BE0C17C4B8AA432496492691787 (PUP.Optional.OpenCandy) -> Действие не было предпринято. Обнаруженные файлы: 6 C:\Program Files\4shared Desktop\desktop.exe (PUP.Optional.4Squared) -> Действие не было предпринято. c:\program files\google\desktop\install\{ee42bf05-7134-9148-9c08-2ede70b496b0}\ \...\*ﯹ๛\{ee42bf05-7134-9148-9c08-2ede70b496b0}\u\80000000.@ (Rootkit.0Access) -> Действие не было предпринято. c:\program files\google\desktop\install\{ee42bf05-7134-9148-9c08-2ede70b496b0}\ \...\*ﯹ๛\{ee42bf05-7134-9148-9c08-2ede70b496b0}\u\800000cb.@ (Rootkit.0Access) -> Действие не было предпринято. C:\Users\Иван Хандожко\AppData\Roaming\OpenCandy\9CF92BE0C17C4B8AA432496492691787\hamsterfreeziparchiver.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

2. сделайте новый лог сканирования только диска С

3. Скачайте TDSSKiller, распакуйте, запустите. нажмите "изменить параметры проверки" и отметьте все пункты. перезагрузитесь и сделайте проверку, лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда он находится в корне диска С.

[numezmat]

Проблема осталась. Выкладываю лог TDSSKiller

[Katharsis]

Цитата Katharsis:

2. сделайте новый лог сканирования только диска С »

это тоже

Еще раз запустите TDSSkiller таким образом: Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме.

Потом еще раз просканируйтесь. при обнаружении этого:

Цитата:

detected Rootkit.Win32.BackBoot.gen

нужно выбрать опцию удалить. лог выложите.

[numezmat]

Прикрепил лог TDSSkiller и МВАМ

[Katharsis]

ок, еще лог после удаления Rootkit.Win32.BackBoot.gen выложите

и насчет вот этого -

Цитата:

C:\Users\Иван Хандожко\AppData\Roaming\hymole\dizitTmp404.exe (Trojan.Bitcoin.SFX) -> Действие не было предпринято.

тоже может оказаться тем, чем написано. если знаете этот файл - оставьте себе, нет - лучше избавиться. но теперешнюю проблему вызывает не он