[iskander-k]

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.


• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\Temp\pi.exe','');
 DeleteFile('C:\Windows\Temp\pi.exe');
DelCLSID('TBAS4856-38FG-OJ3Q-36U5-18J8HJ6G3EHV');
DelCLSID('D426290F-9A6A-297C-2B6F-ECA500E88E2F');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

В хост файл сами прописали адреса ?

И сделайте этот лог
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[DmitryOlenin]

Спасибо за оперативный ответ.

1. Скрипт AVZ выполню, однако смысла особенного в нём не вижу, т.к. файл (а так же ключи реестра) давно удалил руками.

2. Карантин, как я понимаю, мне нужен тот, который уже есть на данный момент?
То есть если, условно, я сейчас переустановлю AVZ (то есть почищу директорию карантина) и выполню скрипты стандартные скрипты 2,3.
А потом выполню скрипт сбора карантина, будет нормально?

Дело в том, что в нём нет вируса никакого, как я понимаю Файла pi.exe, повторюсь, давно уже нет на диске.

3. В файл hosts прописывал строки сам, да.

4. Очистку при помощи ATF Cleaner сделаю для чистоты эксперимента, логи Malwarebytes Anti-Malware выложу ближе к ночи.


Надеюсь, что удастся найти причину проблемы.
Пока что я склоняюсь к тому, что либо поврждены какие-то системные файлы (понять бы какие),
либо в загрузке стоит кривой драйвер, который рушится в SafeMode по какой-то причине.

[iskander-k]

Цитата DmitryOlenin:

1. Скрипт AVZ выполню, однако смысла особенного в нём не вижу, т.к. файл (а так же ключи реестра) давно удалил руками. »

А зачем тогда вы выложили старый лог ? Даже если вы удалили файл в реестре остались следы, а скрипт подчистит эти следы.

Цитата DmitryOlenin:

Перестал работать SafeMode. »

Это последствия действия вируса - таким образом он защищает себя. Скрипт данный вам должен исправить и восстановить безопасный режим. После выполнения скрипта сделайте новые логи.

[DmitryOlenin]

Спасибо, вы меня выручили.
Скрипт полностью восстановил работоспособность SafeMode.
Проблему Safe Mode можно считать решённой.

Malwarebytes Anti-Malware нашёл мне какой-то троян ещё в реестре - почистил.
Полную проверку сделать пока не решился, ибо это займёт часов 8 минимум.
К слову, на безобидный newtstop.dll (из коплекта пилюлек для Radmin) ругается.
А Лаборатория Касперского ещё 29.04.2008 исключила этот файл из базы троянов.

Логи приложу чуть ниже.

[iskander-k]

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
 ExecuteRepair(16);
RebootWindows(true);
end.

Цитата DmitryOlenin:

К слову, на безобидный newtstop.dll (из коплекта пилюлек для Radmin) ругается. »

МБАМ не любит креки.
А где лог МБАМ ?

[DmitryOlenin]

Спасибо.
Хотя, как я понял, проблема решена была с вашей помощью ещё вчера.

Скрипт выполнил.
Скажите пожалуйста, а что он делал?
Просто хочется понимать, может в будущем пригодится.

Выполнил быструю проверку Malwarebytes Anti-Malware (30 минут).
Нашёл 8 якобы угроз, и ни одной реальной, к счастью.
Лог прилагаю.

[iskander-k]

Цитата DmitryOlenin:

Скрипт выполнил. Скажите пожалуйста, а что он делал? »

Первый скрипт почистил следы зловреда и восстановил ключи запуска безопасного режима.

Код:

ExecuteRepair(10);

второй скрипт должен исправить ключи запуска explorer - вы жаловались на его работу.

Цитата DmitryOlenin:

2. Стали появляться глюки с explorer.exe (система "висла" после щелчка правой кнопкой на любом файле, помогало только убитие и запуск снова процесса explorer.exe). »

Цитата DmitryOlenin:

Просто хочется понимать, может в будущем пригодится. »

Почитайте темуОбучение методам грамотного лечения от вредоносных программ

[DmitryOlenin]

Спасибо за советы и объяснения.

Explorer вроде стал работать нормально после того, как восстановил работу ивентлога.

Сейчас проверил ещё раз - опять перестал работать
Правая клавиша на файле - система "задумалась" и всё...
Explorer умер опять

Причём происходит это не каждый раз.
То есть сейчас перезапустил процесс - нормально работает правый щёлчок на том же файле.

Теперь вновь жду ваших советов.
Логи только что сделал - прилагаю.

P.S.
Кроме всего прочего произвёл чистку и сжатие реестра при помощи TuneUp.
Также проверил полностью (5 этапов) чекдиском все локальные диски.



---------Добвлено несколько часов спустя---------

Выполнил скрипт AVZ (по совету с форума virusinfo):

Код:

begin
ExecuteRepair(13);
end.

Вроде проблема решена.
Точно сказать не могу, но первые ощущения такие.

[Drongo]

DmitryOlenin, Прикольно получилось. Если бы вы этого не написали.

Цитата DmitryOlenin:

3. В файл hosts прописывал строки сам, да. »

То команду 13 - которая очищает файл hosts вам бы дали наши хелперы.

Цитата DmitryOlenin:

Выполнил скрипт AVZ (по совету с форума virusinfo): Код: begin ExecuteRepair(13); end. »

Если же вы не понимаете назначение команд, то лучше никогда не выполнять скриптов которые были написаны для других участников.