[alex_sev]

Залейте файл virusinfo_cure.zip с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

[rzdpasha]

Выполнено. А я пока с вашего позволения накатаю на ОС обновления в лице PreSP4, им это пригодится я думаю.

[alex_sev]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Win\lsass.exe','');
 QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');
 QuarantineFile('C:\RECYCLER.lnk','');
 QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\egqrcwdk.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\РЕКОМЕНДАЦИИ.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\jrqgll.sys','');
 QuarantineFile('c:\windows\system32\wdfmgr.exe','');
 QuarantineFile('c:\windows\vsnpstd3.exe','');
 QuarantineFile('F:\bfmwl.pif','');
 QuarantineFile('C:\WINDOWS\system32\8F00B2\1D8CD9.EXE','');
 QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\svchost.exe','');
 DeleteFile('F:\bfmwl.pif');
 DeleteFile('C:\WINDOWS\system32\8F00B2\1D8CD9.EXE');
 DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\jrqgll.sys');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\РЕКОМЕНДАЦИИ.exe');
 DeleteFile('C:\Documents and Settings\user\Application Data\egqrcwdk.exe');
 DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
 DeleteFile('C:\RECYCLER.lnk');
 DeleteFile('C:\Win\lsass.exe');
 DeleteFileMask('C:\Program Files\pchd\', '*.*', true);
 DeleteDirectory('C:\Program Files\pchd\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','srtserv');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PC Health Status');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PC Health Status');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Recycler');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','run32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','F:\bfmwl.pif');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','c:\Win\lsass.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\8F00B2\1D8CD9.EXE');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\user\LOCALS~1\Temp\svchost.exe');
 DeleteService('abp470n5');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\drivers\jrqgll.sys');
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

[rzdpasha]

Извиняюсь за долгое отсутствие - был на работе. Приступаю.

[alex_sev]

Тоже извиняюсь за долгое отсутствие, как ни странно, но тоже был на работе)))

Повторите сканирование в MBAM и удалите все строки кроме следующих:

Код:

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
C:\System Volume Information\_restore{2D487360-C9D5-4B8D-9EB1-620E1AEB989C}\RP1059\A0327555.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{2D487360-C9D5-4B8D-9EB1-620E1AEB989C}\RP1064\A0328067.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{2D487360-C9D5-4B8D-9EB1-620E1AEB989C}\RP1064\A0329192.exe (Trojan.Agent) -> Действие не было предпринято.
G:\Program Files\Lavalys\EVEREST Ultimate Edition\Keymaker.exe (Trojan.Downloader) -> Действие не было предпринято.
G:\System Volume Information\_restore{2D487360-C9D5-4B8D-9EB1-620E1AEB989C}\RP1056\A0327029.exe (Trojan.Downloader) -> Действие не было предпринято.
G:\System Volume Information\_restore{2D487360-C9D5-4B8D-9EB1-620E1AEB989C}\RP1059\A0327583.exe (Trojan.Downloader) -> Действие не было предпринято.
G:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> Действие не было предпринято.
G:\WINDOWS\Активация_WinXP_SP2_from_mskd.ru\XPKey.exe (Trojan.Downloader) -> Действие не было предпринято.

Далее, выполните скрипт в AVZ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask('C:\Win\', '*.*', true);
 DeleteDirectory('C:\Win\');
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\srtserv\', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\srtserv\');
 DeleteFileMask('C:\WINDOWS\system32\8F00B2\', '*.*', true);
 DeleteDirectory('C:\WINDOWS\system32\8F00B2\');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(false);
end.

компьютер перезагрузится

Далее, подготовьте установочный диск Windows XP SP3 такой же разрядности и языка как установленная система, поместите диск в привод, запустите командную строку и введите:

Код:

sfc /scannow

нажмите кнопку Enter и дождитесь окончания операции.

Подготовьте новый лог AVZ - virusinfo_syscheck.zip

+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[rzdpasha]

М-да. Спать я сегодня отправлюсь не скоро. )
Так. Заминка получается, однако: SFC требует диск, а тот, что я скармливаю, не подходит, хотя WinXP SP3 Rus. Кстати, давно заметил такой прикол: даже будучи уверенным, что ОС устанавливалась именно с конкретного диска, SFC практически всегда ругалась. М.б. дело в обновлениях, которые заменили некоторые системные файлы новыми версиями? На сегодня придётся закончить.
P.S. Утро вечера мудреннее.

[alex_sev]

Эту ветку экспортируйте и выложите:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup

+

какую букву имеет привод?

[rzdpasha]

Благодарю, разобрался с SFC.

[alex_sev]

Отлично, почти все красиво:

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

+

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска, например C:\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

+

Протестируйте установленный софт - позапускайте, проверьте функционал - что не работает - то переустановите