[zirreX]

Добрый вечер!
Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

Предварительно вставьте в привод дистрибутив вашей копии Windows. Это нужно на тот случай если понадобится заменить заражённый системный файл.

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

Procedure SysFileRecoverFromDistrib (Path, Name : string);
begin
 if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then
  begin   
    ExecuteFile('sfc /scannow', '', 1, 0, true);
    AddToLog('Пользователь выполнил "sfc /scannow"');
    SaveLog('Recover_' + Name + '.log');
  end
 else
  begin
    AddToLog('Пользователь выбрал самостоятельный способ замены.');
    SaveLog('Recover_' + Name + '.log');
  end;
end;

Procedure CompleteFix(Path, Name : string);
begin
   RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak');
   CopyFile(Path + Name, '%windir%\system32\' + Name);
   DeleteFile('%windir%\system32\' + Name + '.bak');
end;

Procedure SysFileRecoverFromBackup(Path, Name : string);
begin
  if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then
   begin
     AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - разные файлы в папках. Запрошен дистрибутив.');
     SaveLog('Recover_' + Name + '.log');
     SysFileRecoverFromDistrib(Path, Name);
   end
  else if FileExists('%windir%\system32\dllcache\' + Name) then
   begin
    if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
      begin
        CompleteFix('%windir%\system32\dllcache\', Name); 
        AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\');
        SaveLog('Recover_' + Name + '.log');
      end
    else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then
     begin
       if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
        begin
          CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name);
          AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\');
          SaveLog('Recover_' + Name + '.log');
        end
     end
   end;
 if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then 
  begin
    AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.');
    SaveLog('Recover_' + Name + '.log');
    SysFileRecoverFromDistrib(Path, Name);
  end;
end;

var SourcePath : String;
begin
 SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll'); // Указываем имя файла.
end.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%windir%\system32\drivers\sfc.sys','');
 QuarantineFile('frostUpdater.dll','');
 QuarantineFile('C:\WINDOWS\TEMP\rldF.tmp','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\reptile.exe','');
 QuarantineFile('C:\WINDOWS\system32\wmitxjr.exe','');
 QuarantineFile('C:\WINDOWS\system32\wmiptsx.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\esp9063.tmp','');
 QuarantineFile('c:\windows\system32\79329d4a.exe','');
 QuarantineFile('c:\windows\system32\791ed4bf.exe','');
 QuarantineFile('c:\windows\system32\14181675.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\9tnbkxt.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll','');
 QuarantineFile('C:\WINDOWS\SystemRoot\System32\Drivers\sptd.sys','');
 QuarantineFile('UrlLogger.sys','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\v1s1UO0j.sys','');
 DeleteFile('%windir%\\system32\drivers\sfc.sys');
 DeleteFile('C:\WINDOWS\TEMP\rldF.tmp');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\v1s1UO0j.sys');
 DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
 DeleteFile('\\?\globalroot\systemroot\system32\9tnbkxt.exe');
 DeleteFile('c:\windows\system32\14181675.exe');
 DeleteFile('c:\windows\system32\791ed4bf.exe');
 DeleteFile('c:\windows\system32\79329d4a.exe');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\reptile.exe');
 DeleteFile('C:\WINDOWS\system32\wmitxjr.exe');
 DeleteFile('C:\WINDOWS\system32\wmiptsx.exe');
 DeleteFile('C:\WINDOWS\TEMP\esp9063.tmp'); 
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll');    
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

После выполнения скрипта в папке AVZ будет создан файл Recover_sfcfiles.log. Прикрепите его пожалуйста к вашему следующему посту!

• Выполните скрипт AVZ

Код:

var ListRegSearch : TStringList;
  i : Integer;
  FileName, RegKeyName : string;
begin
  ClearLog;
  FileName := 'c:\avz00.log';
  RegSearch('HKLM', '', 'esp9063.tmp');
  SaveLog(FileName);
  ClearLog;
  ListRegSearch := TStringList.Create;
  ListRegSearch.LoadFromFile(FileName);
  AddToLog('Найдено записей: ' + IntToStr(ListRegSearch.Count));
  for i := 0 to ListRegSearch.Count - 1 do
   begin
    RegKeyName := ListRegSearch.Strings[i];
    if Pos('\esp', RegKeyName) > 0 then
      begin
        Delete(RegKeyName, 1, Pos('\\', RegKeyName) + 1);
        Delete(RegKeyName, Pos(' Name=', RegKeyName), Length(RegKeyName));
        RegKeyDel('HKLM', RegKeyName);
        AddToLog('Удален ключ реестра HKLM\' + RegKeyName);
      end;
   end;
 ListRegSearch.Free;
 SaveLog('c:\avz01.log');
end.

Затем выполните в AVZ такой скрипт.

Сделайте новые логи AVZ и RSIT. Обязательно обновите базы в AVZ (Файл/Обновление баз)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Не понял, кто из них ваш провайдер, Adtechnology Sia (Latvia) или OJSC Uralsvyazinform?

Код:

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (потребуется активация).

Обновите Internet Explorer до восьмой версии даже если им не пользуетесь.

[Mikelya]

Выполнил всё что вы сказали.Кидаю новые логи.

[Mikelya]

Провайдер мой OJSC Uralsvyazinform
Эксплорер и SP обновлю)

[Mikelya]

Не крепится((

[Mikelya]

При установке SP3 при извлечении файла vssvc.exe файл повреждён(Прикладываю логи RSIT

[zirreX]

В MBAM удалить все объекты, кроме:

Код:

c:\documents and settings\User\мои документы\файлы mail.ru агента\mikelya-kun@mail.ru\pekelnii@mail.ru\adobe.photoshop.cs5.extended.v12.0.keymaker-embrace.exe (Malware.Packer.Gen) -> No action taken.

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 ClearQuarantine;
 QuarantineFile('frostUpdater.dll','');
 QuarantineFile('UrlLogger.sys','');     
 QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');                                       
 QuarantineFile('C:\WINDOWS\system32\wmitxjr.exe','');
 QuarantineFile('C:\WINDOWS\system32\wmiptsx.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\rldF.tmp','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\reptile.exe','');
 QuarantineFile('c:\windows\system32\79329d4a.exe','');
 QuarantineFile('c:\windows\system32\791ed4bf.exe','');
 QuarantineFile('c:\windows\system32\14181675.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\9tnbkxt.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\v1s1UO0j.sys','');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\v1s1UO0j.sys');
 DeleteFile('C:\WINDOWS\system32\wmitxjr.exe');
 DeleteFile('C:\WINDOWS\system32\wmiptsx.exe');
 DeleteFile('C:\WINDOWS\TEMP\rldF.tmp');
 DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
 DeleteFile('\\?\globalroot\systemroot\system32\9tnbkxt.exe');
 DeleteFile('c:\windows\system32\14181675.exe');
 DeleteFile('c:\windows\system32\791ed4bf.exe');
 DeleteFile('c:\windows\system32\79329d4a.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

• Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите Fix Checked.

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124
O17 - HKLM\System\CS10\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124
O17 - HKLM\System\CS11\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124
O17 - HKLM\System\CS12\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124
O17 - HKLM\System\CS13\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124
O17 - HKLM\System\CS14\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124
O17 - HKLM\System\CS15\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124

Сделайте новые логи AVZ & RSIT

Проверьте файл на www.virustotal.com

Код:

C:\WINDOWS\system32\sfcfiles.dll

Дайте ссылку на результат проверки.

[Mikelya]

Мой карантин весит более 8мб,поэтому не грузится
Прикрепляю логи
Ссылка на проверку на sfcfiles.dll.За что вообще отвечает этот файл?
http://www.virustotal.com/file-scan/...126-1301753212

[goredey]

Цитата Mikelya:

Мой карантин весит более 8мб,поэтому не грузится »

Запакуйте его и попробуйте отправить снова.

[Mikelya]

Сорри забыл прикрепить логи xD

Цитата goredey:

Запакуйте его и попробуйте отправить снова. »

запаковать архив?о_О