[alex_sev]

Привет, сейчас погляжу логи

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\apppatch\cyhbtro.exe','');
 DeleteFile('C:\WINDOWS\apppatch\cyhbtro.exe');
 DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\cyhbtro.exe,

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[momo2000]

alex_sev,
quarantine.zip отправил,

Цитата alex_sev:

Пофиксите в HJT: Код: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\cyhbtro.exe, »

такого не нашёл

В GMER всё ещё проверяет диск С, комп на работе, захламлен ппц.
Malwarebytes' Anti-Malware сделал быстрое(умное) сканирование, т.к. всё бы он проверил к моей пенсии, то что он нашёл, я удалил
Но сайты уже открывает!

[thyrex]

Запустите полное сканирование МВАМ, после сканирования - Ok - Show Results (показать результаты) - отметьте только указанные ниже строки - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и прикрепите к сообщению.

Код:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\MSrtn (Trojan.Agent) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Зараженные папки:
c:\documents and settings\all users\application data\srtserv (Worm.AutoRun) -> No action taken.

Зараженные файлы:
c:\documents and settings\all users\application data\srtserv\task.dat (Worm.AutoRun) -> No action taken.
c:\documents and settings\all users\application data\srtserv\set.dat (Worm.AutoRun) -> No action taken.

1. Откройте Блокнот и скопируйте в него текст скрипта

Код:

6yzx4w31.exe -del service xfawu
6yzx4w31.exe -reboot

2. Нажмите Файл - Сохранить как
3. Выберите папку, в которую сохранили 6yzx4w31.exe (gmer)
4. Укажите Тип файла - Все файлы (*.*)
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat

ВНИМАНИЕ: Компьютер перезагрузится!!!

Сделайте новый лог gmer