[alex_sev]

Выложите на файлообменнике.

[Jegin]

залил на яндекс народ архив в нём 2 архива virusinfo_syscure.zip и virusinfo_syscheck.zip

[alex_sev]

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\1Go4a9PTzdQR2YW', '*.*', false, '', 0, 0);
 QuarantineFileF('C:\4VlJRUKP0ZcLBvE', '*.*', false, '', 0, 0);
 QuarantineFile('C:\Documents and Settings\user1\Главное меню\Программы\Автозагрузка\vjEgy1QYDDk.exe','');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\E407D5.exe','');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\B437AD.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\dokan.sys','');
 QuarantineFile('C:\Temp\i24hjvHl.sys','');
 QuarantineFile('d:\documents and settings\Рабочий стол\kabauth.exe','');
 DeleteFile('C:\Temp\i24hjvHl.sys');
 DeleteFile('C:\Documents and Settings\user1\Application Data\B437AD.exe');
 DeleteFile('C:\Documents and Settings\user1\Application Data\E407D5.exe');
 DeleteFile('C:\Documents and Settings\user1\Главное меню\Программы\Автозагрузка\vjEgy1QYDDk.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Sony Ericsson');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Jetico');
 DeleteFileMask('C:\Documents and Settings\user1\Application Data\30953BDA', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\user1\Application Data\30953BDA');
 DeleteFileMask('C:\Documents and Settings\user1\Application Data\30953C68', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\user1\Application Data\30953C68');
 DeleteFileMask('C:\4VlJRUKP0ZcLBvE', '*.*', true);
 DeleteDirectory('C:\4VlJRUKP0ZcLBvE');
 DeleteFileMask('C:\1Go4a9PTzdQR2YW', '*.*', true);
 DeleteDirectory('C:\1Go4a9PTzdQR2YW');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\Temp\i24hjvHl.sys');
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

[Jegin]

Скрипты выполнил, письмо отправил на email, лог malwarebytes приложил. Я в шоке от лога. После перезагрузки файл не появляется, в автозагрузке тоже ничего нет. Кажись сработало

[SolarSpark]

Удалите в МВАМ

Код:

Обнаруженные файлы:  
C:\Documents and Settings\user1\Doctor Web\DrWeb CureIt Quarantine\05\F0510CD82DB5336D38A17FA3A357D9A30A97AF112F648D8C449BF84D02394E7A (Trojan.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\user1\Doctor Web\DrWeb CureIt Quarantine\94\F943C66242B1D461433ECCECC704F77DDD86CABB909D77E30EF1BD0E46A5180B (Trojan.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\user1\Doctor Web\DrWeb CureIt Quarantine\AB\FABDBC0C7C03BCECBFA4A7E63DDE19D0D12827844094CA99E0C7573E390A147C (Trojan.Downloader) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\avz00001.dta (Spyware.Passwords.XGen) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\avz00002.dta (Trojan.Downloader) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\avz00003.dta (Spyware.Zeus) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00001.dat (Spyware.Passwords.XGen) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00002.dat (Spyware.Passwords.XGen) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00003.dat (Trojan.Downloader) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00004.dat (Trojan.Downloader) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00005.dat (Spyware.Zeus) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00006.dat (Spyware.Zeus) -> Действие не было предпринято.
C:\Documents and Settings\user1\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\IEUNITDRF.INF (Malware.Trace) -> Действие не было предпринято.

Если не ваша сознательная установка Rubar-Toolbar, то и его тоже

Код:

Обнаруженные ключи в реестре:  6
HKCR\AppID\{6A44A601-E455-47D9-9712-0B79EEE39A9C} (PUP.Rubar) -> Действие не было предпринято.
HKCR\AppID\{9285AB27-8BD7-421A-9AA5-2523C00D4E4A} (PUP.Rubar) -> Действие не было предпринято.
HKCR\AppID\{D17B4854-A796-4173-9775-5FB684E40ADA} (PUP.Rubar) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|RubarToolbar2714 (PUP.Rubar) -> Параметры:  -> Действие не было предпринято.

Обнаруженные папки:  2
C:\Documents and Settings\LocalService\Application Data\Rubar-Toolbar (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\user1\Application Data\Rubar-Toolbar (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\LocalService\Application Data\Rubar-Toolbar\Service.log.log (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\user1\Application Data\Rubar-Toolbar\Broker.log.log (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\user1\Application Data\Rubar-Toolbar\MsiHelper.log.log (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\user1\Application Data\Rubar-Toolbar\Toolbar.log (PUP.Rubar) -> Действие не было предпринято.

Затем повторите логи AVZ+RSIT

[alex_sev]

+ к вышесказанному:

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe;
3. Нажмите кнопку "Начать проверку";
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
9. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

• Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
• Прикрепите файл к следующему сообщению.

Подробнее читайте в руководстве.

[Jegin]

Логи AVZ и RSIT сделал, AVZ выложил тут
TDSSkiller логи прикрепил, нашёл подозрительный sptd.sys, решил его удалить так как в AVZ было написано что он перехватывает какие-то функции.
SecurityCheck логи прикрепил.



И у меня вопрос, в АВЗ в протоколе было это:

\FileSystem\ntfs[IRP_MJ_CREATE] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86DD41E8 -> перехватчик не определен

Что это значит?

[Jegin]

Кстати malwarebytes пишет о попытках доступа к вредоносным сайтам.

[alex_sev]

Итак по порядку:

1. Немного самоуправства с Вашей стороны и Вы удалили драйвер sptd от которого и были перехваты в логе AVZ. Теперь если будут проблемы с программами записи диска или эмуляторами дисководов вроде Daemon Tools придется скачать этот драйвер и заново установить, вот ссылка:

http://www.disc-tools.com/download/sptd

2. Файл C:\WINDOWS\system32\Access.dat проверьте на Virustotal ссылку на результат в следующее сообщение.

3. Папки:

Код:

2012-07-20 09:54:35 ----D---- C:\Documents and Settings\All Users\Application Data\IBank
2012-07-20 09:54:33 ----D---- C:\Documents and Settings\user1\Application Data\T9QTsaRucjI

удалите вручную.

4. Проверьте содержимое папок:

Код:

2012-06-06 08:30:09 ----RD---- C:\Documents and Settings\user1\Application Data\30953C68
2012-04-23 14:36:38 ----RD---- C:\Documents and Settings\user1\Application Data\30953BDA

на Virus Total.

5. Где лог AVZ?

6.

Цитата:

Java(TM) 6 Update 24 Java version out of Date! Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox 4.0 Firefox out of Date!

обновите до последних версий:

Java
Adobe Reader
Mozilla Firefox

7. Смените ВСЕ важные пароли (почта, контакт, банковские службы)

Цитата Jegin:

Кстати malwarebytes пишет о попытках доступа к вредоносным сайтам. »

Он так всегда пишет)) У него полинтернета вредоносные сайты. Как перестанет быть нужным деинсталлируем