[SolarSpark]

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\ec78c598.exe','');
 QuarantineFile('c:\windows\system32\ggbmju.exe','');
 DeleteFile('c:\windows\system32\ec78c598.exe');
 DeleteFile('c:\windows\system32\ggbmju.exe');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Пофиксить в HijackThis следующие строчки:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ec78c598.exe,C:\WI NDOWS\system32\ggbmju.exe,

Сделайте повторные логи AVZ
+
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[Bushman4OSZ]

Спасибо!
делаю.

MS Essetials: "отключить защиту в реальном времени" - достаточно для отключения антивируса?

UPD: (Немного офтоп) в MS Essentials, действительно, только отключается защита в реальном времени (в трее у него контекстное меню даёт только "открыть") - см. http://portal.san.ru/forums/index.php?showtopic=165297.

[SolarSpark]

не знакома с данным антивирем, отключите и выгрузите из трея

[Bushman4OSZ]

Спасибо большое!

Пока нет ответа по карантинным файлам (письмо получено в 19:48:30 17 марта), отвечаю по другим пунктам:

- Пофиксить в HiJack не получилось (с HiJack я начал - до MBAM и AVZ): он больше не находит этих файлов (F2 в новых логах нет). Прилагаю лог HiJack до запуска MBAM (2145) и сейчас (2234).

- MBAM нашёл несколько проблем, я себе позволил их удалить. Прилагаю два лога.

- Новые логи AVZ тоже прилагаю.

Продолжаем лечение?

[Bushman4OSZ]

Спасибо огромное за помощь!

Как Вы считаете (исходя из логов), стоит мне уже успокаиваться, или надо продолжать искать виновника? Сам я, к сожалению, не разбираюсь совсем

Ещё, Вы не могли бы подсказать - может ли быть связано с вредной активностью следующее:
примерно с месяц в почте (Яндекс) после пересылки искажаются кириллические имена пересылаемых файлов (я получаю файл с нормальным расширением, но неправильным названием, и в отправленных письмах название тоже неправильно показывается), а ещё несколько раз письмо вроде отправлялось, но оказывалось в "черновиках" (тоже стало недавно).
Если не по теме, прошу прощения!

Сайт virustotal.com заработал.

[SolarSpark]

Цитата Bushman4OSZ:

- Пофиксить в HiJack не получилось »

это хорошо

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('mawgqb.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('mawgqb.sys');
BC_DeleteSvc('mawgqb');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Если не выбирали стартовой страницей http://bwrk.startya.com/
Пофиксить в HijackThis следующие строчки:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bwrk.startya.com/?cfg=2-490-0-0&engine_id=3&provider_id=3&product_id=490&country=RU

повторите лог AVZ

Цитата Bushman4OSZ:

Ещё, Вы не могли бы подсказать - может ли быть связано с вредной активностью следующее: примерно с месяц в почте (Яндекс) после пересылки искажаются кириллические имена пересылаемых файлов (я получаю файл с нормальным расширением, но неправильным названием, и в отправленных письмах название тоже неправильно показывается), а ещё несколько раз письмо вроде отправлялось, но оказывалось в "черновиках" (тоже стало недавно). Если не по теме, прошу прощения! »

проверьте после лечения, что с кодировкой в почте... пробуйте отправить письмо самому себе с разных браузеров...и отпишитесь о результате
Вот что пишет Яндекс-почта

Цитата:

Если автоматическое отображение письма не сработало, вы можете вручную выбрать подходящую кодировку. Для этого вам необходимо в выпадающем списке "Дополнительно" (над письмом) выбрать подходящую кодировку.

[Bushman4OSZ]

Спасибо!

Сегодня посмотрел, в почте имена файлов отображаются нормально, даже в тех письмах, где раньше были искажены. Так что, не исключено, какая-то связь могла и быть.


Скрипт сработал, но в конце с ошибкой: "ошибка прямого чтения mawgqb". Я был с правами администратора, а вчера вечером создал отдельного админа и понизил свой статус. Сейчас HiJackThis сообщил, что ему не дали доступа к system32\drivers\etc\hosts.
Добавляю себе админские права обратно и запускаю AVZ.

Новый карантин в лабораторию отправил.

Стартовую страницу - спасибо, пофиксил.

[SolarSpark]

логи повторите, пожалуйста.
Важные пароли (на почту и т.д.) смените

[Bushman4OSZ]

Слава Богу, форум опять заработал! Я очень испугался.

Вот логи, пожалуйста.