[B.Brother]

Добрый день. Прошу помощи в лечении от вируса file:C:\lTfyTmneTr8OUAG\klpclst.dat
MSE его не лечит.

[iskander-k]

Приветствую.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\iVAN\AppData\Local\Temp\9eN01fCt.sys','');
 QuarantineFile('Q:\autorun.inf','');
QuarantineFile('C:\Users\iVAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ELYDzeMiWcI.exe','');
 QuarantineFile('C:\Windows\System32\Drivers\amzvil13.SYS','');
 DeleteFile('C:\Users\iVAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ELYDzeMiWcI.exe');
 DeleteFile('C:\Users\iVAN\AppData\Local\Temp\9eN01fCt.sys');
 DeleteFile('Q:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[B.Brother]

Сканирование утилитой МВАМ показала:

Код:

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Версия базы данных:  v2012.02.27.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
iVAN :: IVAN-THINK [администратор]

27.02.2012 21:11:32
mbam-log-2012-02-27 (21-11-32).txt

Тип сканирования:  Быстрое сканирование 
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  180072
Времени прошло:  5 минут , 2 секунд 

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные ключи в реестре:  2
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Помещено в карантин и успешно удалено.
HKCR\bonus.eProtocol (Trojan.WebMoner) -> Помещено в карантин и успешно удалено.

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено) 

Объекты реестра обнаружены:  0
(Вредоносных программ не обнаружено) 

Обнаруженные папки:  0
(Вредоносных программ не обнаружено) 

Обнаруженные файлы:  3
C:\Users\iVAN\Desktop\Patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
C:\Users\iVAN\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Помещено в карантин и успешно удалено.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Помещено в карантин и успешно удалено.

(конец)

[iskander-k]

Обновите АВЗ и повторите логи АВЗ и RSIT/

[B.Brother]

Этот вирус вновь появился и дал о себе знать в MSE, несмотря на то, что в интернете за последние сутки я был только на этом форуме.
Как было указано: обновил АВЗ и выполнил скрипты в АВЗ и запустил RSIT. во вложении новые логи. Прошу помощи!

[iskander-k]

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\iVAN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk','');
 QuarantineFile('C:\Users\iVAN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk','');
 QuarantineFile('C:\Program Files\Microsoft Security Client\Backup\en-us\epploc_x86.msi','');
 QuarantineFile('C:\Program Files\Microsoft Security Client\Backup\ru-ru\epploc_x86.msi','');
 QuarantineFile('C:\Windows\Installer\2125e2.msi','');
QuarantineFile('C:\plg.txt',''); 
  DeleteFile('C:\plg.txt');
 DeleteFileMask('C:\lTfyTmneTr8OUAG', '*.*', true);
 DeleteFileMask('C:\Users\iVAN\AppData\Roaming\lTfyTmneTr8OUAG', '*.*', true);
 DeleteDirectory('C:\lTfyTmneTr8OUAG');
 DeleteDirectory('C:\Users\iVAN\AppData\Roaming\lTfyTmneTr8OUAG');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму


• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[B.Brother]

Malwarebytes Anti-Malware

Код:

1.60.1.1000
www.malwarebytes.org

Версия базы данных:  v2012.02.27.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
iVAN :: IVAN-THINK [администратор]

28.02.2012 0:47:29
mbam-log-2012-02-28 (00-47-29).txt

Тип сканирования:  Быстрое сканирование 
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  180019
Времени прошло:  4 минут , 47 секунд 

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные ключи в реестре:  0
(Вредоносных программ не обнаружено) 

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено) 

Объекты реестра обнаружены:  0
(Вредоносных программ не обнаружено) 

Обнаруженные папки:  0
(Вредоносных программ не обнаружено) 

Обнаруженные файлы:  1
C:\Users\iVAN\Desktop\Patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.

(конец)

[iskander-k]

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
   Код:

   tdsskiller.exe -silent -qmbr -qboot

3. Запустите файл fix.bat;
4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
6. Запустите файл TDSSKiller.exe;
7. Нажмите кнопку "Начать проверку";
8. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
13. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

[B.Brother]

Добрый день.
Выслал по почте архив.
Произвел проверку TDSSKiller'ом.
Лог во вложении.