[Arbitr]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Sunforger]

Вот сделал. Так же прикрепляю файл который сделал в avptool, может пригодится.
На диске С у меня создалось куча папок Found - что с ними делать?

[Sunforger]

Хочу отметить, что я нажал нет при запросе на установку консоли восстановления. Я не протупил?
Так же, как я понял в запущенных процессах у меня был нод32, хотя мне казалось, что он полетел.

[Arbitr]

Цитата Sunforger:

Хочу отметить, что я нажал нет при запросе на установку консоли восстановления. Я не протупил »

ничего страшного
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::
File::
c:\windows\system32\cbygvc.exe
c:\windows\system32\d3a8e7dc.exe
c:\program files\Common Files\keylog.txt
c:\windows\system32\config\systemprofile\Application Data\rhjodx.dat
c:\documents and settings\LocalService\Application Data\rhjodx.dat
c:\windows\system32\config\systemprofile\Application Data\gqlidy.dat
c:\documents and settings\NetworkService\Application Data\gqlidy.dat
c:\documents and settings\LocalService\Application Data\gqlidy.dat
Driver::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"c:\windows\system32\d3a8e7dc.exe"=-
"c:\windows\system32\cbygvc.exe"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\persistentroutes]
"82.165.103.0,255.255.255.0,192.168.1.0,1"=-
"82.98.86.0,255.255.255.0,192.168.1.0,1"=-
"83.202.175.0,255.255.255.0,192.168.1.0,1"=-
"83.222.23.0,255.255.255.0,192.168.1.0,1"=-
"83.222.31.0,255.255.255.0,192.168.1.0,1"=-
"83.223.117.0,255.255.255.0,192.168.1.0,1"=-
"84.40.30.0,255.255.255.0,192.168.1.0,1"=-
"85.12.57.0,255.255.255.0,192.168.1.0,1"=-
"85.17.210.0,255.255.255.0,192.168.1.0,1"=-
"85.214.106.0,255.255.255.0,192.168.1.0,1"=-
"85.255.19.0,255.255.255.0,192.168.1.0,1"=-
"85.31.222.0,255.255.255.0,192.168.1.0,1"=-
"87.106.242.0,255.255.255.0,192.168.1.0,1"=-
"87.106.254.0,255.255.255.0,192.168.1.0,1"=-
"87.230.79.0,255.255.255.0,192.168.1.0,1"=-
"87.238.48.0,255.255.255.0,192.168.1.0,1"=-
"87.242.72.0,255.255.255.0,192.168.1.0,1"=-
"87.242.74.0,255.255.255.0,192.168.1.0,1"=-
"87.242.79.0,255.255.255.0,192.168.1.0,1"=-
"88.221.119.0,255.255.255.0,192.168.1.0,1"=-
"89.108.66.0,255.255.255.0,192.168.1.0,1"=-
"89.111.176.0,255.255.255.0,192.168.1.0,1"=-
"89.202.149.0,255.255.255.0,192.168.1.0,1"=-
"89.202.157.0,255.255.255.0,192.168.1.0,1"=-
"90.156.159.0,255.255.255.0,192.168.1.0,1"=-
"90.183.101.0,255.255.255.0,192.168.1.0,1"=-
"91.121.97.0,255.255.255.0,192.168.1.0,1"=-
"91.199.212.0,255.255.255.0,192.168.1.0,1"=-
"91.209.196.0,255.255.255.0,192.168.1.0,1"=-
"92.123.155.0,255.255.255.0,192.168.1.0,1"=-
"93.191.13.0,255.255.255.0,192.168.1.0,1"=-
"92.53.106.0,255.255.255.0,192.168.1.0,1"=-
"93.184.71.0,255.255.255.0,192.168.1.0,1"=-
"94.23.206.0,255.255.255.0,192.168.1.0,1"=-
"94.236.0.0,255.255.255.0,192.168.1.0,1"=-
"95.140.225.0,255.255.255.0,192.168.1.0,1"=-
"74.55.74.0,255.255.255.0,192.168.1.0,1"=-
"75.125.185.0,255.255.255.0,192.168.1.0,1"=-
"174.120.186.0,255.255.255.0,192.168.1.0,1"=-
"208.43.71.0,255.255.255.0,192.168.1.0,1"=-
"74.53.70.0,255.255.255.0,192.168.1.0,1"=-
"74.86.232.0,255.255.255.0,192.168.1.0,1"=-
"74.54.139.0,255.255.255.0,192.168.1.0,1"=-
"174.133.38.0,255.255.255.0,192.168.1.0,1"=-
"174.120.185.0,255.255.255.0,192.168.1.0,1"=-
"174.120.184.0,255.255.255.0,192.168.1.0,1"=-
"74.54.130.0,255.255.255.0,192.168.1.0,1"=-
"74.54.46.0,255.255.255.0,192.168.1.0,1"=-
"75.125.189.0,255.255.255.0,192.168.1.0,1"=-
"75.125.43.0,255.255.255.0,192.168.1.0,1"=-
"74.86.125.0,255.255.255.0,192.168.1.0,1"=-
"75.125.212.0,255.255.255.0,192.168.1.0,1"=-
"207.44.254.0,255.255.255.0,192.168.1.0,1"=-
"83.102.130.0,255.255.255.0,192.168.1.0,1"=-
"87.242.75.0,255.255.255.0,192.168.1.0,1"=-
"81.176.67.0,255.255.255.0,192.168.1.0,1"=-
"212.59.118.0,255.255.255.0,192.168.1.0,1"=-
"188.40.74.0,255.255.255.0,192.168.1.0,1"=-
"208.43.44.0,255.255.255.0,192.168.1.0,1"=-
"62.67.184.0,255.255.255.0,192.168.1.0,1"=-
"74.55.143.0,255.255.255.0,192.168.1.0,1"=-
"195.222.17.0,255.255.255.0,192.168.1.0,1"=-
"81.176.230.0,255.255.255.0,192.168.1.0,1"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56743:TCP"=-
"23589:TCP"=-
Folder::
c:\program files\Common Files\wm

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\d3a8e7dc.exe','');
 QuarantineFile('C:\WINDOWS\system32\cbygvc.exe','');
 QuarantineFile('C:\Documents and Settings\Артём\Главное меню\Программы\Автозагрузка\sisgbi32.exe','');
 DeleteFile('C:\Documents and Settings\Артём\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
 DeleteFile('C:\WINDOWS\system32\cbygvc.exe');
 DeleteFile('C:\WINDOWS\system32\d3a8e7dc.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
и пожалуйста ко всему лог RSIT

[Sunforger]

Спасибо, помогло. Вот логи.
После того как комбофикс сделал ребут и у меня наконец запустился нод32 он сразу же начал находить в папке system32/drivers кучу заражённых файлов, троян Bubins вроде как то так. И только четверть удалял - остальные писал, что очистка невозможно.
Сделал скрипт в авз, сообщения от нода пропали, надеюсь он убил заразу.

Malwarebytes Anti-Malware нашёл 11 файлов, я их все удалил.(лог сделан до их удаления)

И что делать с папками FOUND.xxx у меня их на диске С 50 штук комбофикс понасоздавал. В них какие-то фрагменты восстановленных файлов.

[Arbitr]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::
File::
c:\windows\system32\drivers\vwzwahg.sys
c:\windows\system32\config\systemprofile\Application Data\rhjodx.dat

Driver::
vwzwahg

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
проверьте пож. на virustotal.com два файла ссылки на результат приложите

Цитата:

C:\Documents and Settings\Артём\Application Data\avdrn.dat C:\Documents and Settings\Валера\Application Data\fieryads.dat

с помощью MBAM удалите все что есть в первом логе MBAM, два файла что дал решить по результату првоерки на virustotal

[Sunforger]

В общем так, сейчас после после того как комбофикс сделал ребут нод32 опять видит кучу Win32/Bubnix.AU и не может удалить - пишет очистка невозможна. Причём файлов возможно больше сотни.

[Sunforger]

Сделал перезагрузку, вроде помогло. Может это так нод 32 не ладит с комбофикс. (как отключить нод я не знаю, завершаю процесс, но он тут же восстанавливается, в самой проге выхода нет)

Те два файла
C:\Documents and Settings\Артём\Application Data\avdrn.dat
C:\Documents and Settings\Валера\Application Data\fieryads.dat
я не нашёл.

[Arbitr]

Цитата Sunforger:

В общем так, сейчас после после того как комбофикс сделал ребут »

в коде нет команды перезагрузки..может вы сами или вышла ошибка и комп перегрузился??
давайте что там сформировал по отчету комбо плюс сделайте пож лог AVZ +RSIT
MbaM удалили все??