[goredey]

Illusion_2010, сделайте полную проверку Dr.Web CureIt!

После чего повторите логи.

[Illusion_2010]

Сделал, прикрепил.

[goredey]

Illusion_2010, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\rufossi.exe','');
 QuarantineFile('C:\Documents and Settings\priyomna\Главное меню\Программы\Автозагрузка\cyytkk5l0r.exe','');
 QuarantineFile('C:\Documents and Settings\priyomna\Главное меню\Программы\Автозагрузка\c1yzzvll.exe','');
 QuarantineFile('C:\Documents and Settings\priyomna\Главное меню\Программы\Автозагрузка\2lgg6ss.exe','');
 QuarantineFile('C:\Documents and Settings\priyomna\Главное меню\Программы\Автозагрузка\0sxtopa.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ywoqnilf.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ycmaclps.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\xwwyutpc.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\xqrgnrny.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\wwsdjiwu.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\vydmmvnv.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\togrswpe.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\qnvwothv.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\qhvqzvlc.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\pqlpeaeb.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ontjhdjx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\kxbalega.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\isbbmptg.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\fnzcfqek.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\efvzzjvn.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\cphfqaap.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\cicpcgwp.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\awsfptql.sys','');
 QuarantineFile('C:\WINDOWS\system32\sapiv.exe','');
 DeleteFile('C:\WINDOWS\system32\sapiv.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\awsfptql.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\cicpcgwp.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\cphfqaap.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\efvzzjvn.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\fnzcfqek.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\isbbmptg.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\kxbalega.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ontjhdjx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\pqlpeaeb.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\qhvqzvlc.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\qnvwothv.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\togrswpe.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\vydmmvnv.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\wwsdjiwu.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\xqrgnrny.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\xwwyutpc.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ycmaclps.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ywoqnilf.sys');
 DeleteFile('C:\Documents and Settings\priyomna\Главное меню\Программы\Автозагрузка\0sxtopa.exe');
 DeleteFile('C:\Documents and Settings\priyomna\Главное меню\Программы\Автозагрузка\2lgg6ss.exe');
 DeleteFile('C:\Documents and Settings\priyomna\Главное меню\Программы\Автозагрузка\c1yzzvll.exe');
 DeleteFile('C:\Documents and Settings\priyomna\Главное меню\Программы\Автозагрузка\cyytkk5l0r.exe');
 DeleteFile('C:\WINDOWS\system32\rufossi.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tooquoo');
 DeleteService('ywoqnilf');
 DeleteService('ycmaclps');
 DeleteService('xwwyutpc');
 DeleteService('xqrgnrny');
 DeleteService('wwsdjiwu');
 DeleteService('vydmmvnv');
 DeleteService('togrswpe');
 DeleteService('qnvwothv');
 DeleteService('qhvqzvlc');
 DeleteService('pqlpeaeb');
 DeleteService('ontjhdjx');
 DeleteService('kxbalega');
 DeleteService('isbbmptg');
 DeleteService('fnzcfqek');
 DeleteService('efvzzjvn');
 DeleteService('cphfqaap');
 DeleteService('cicpcgwp');
 DeleteService('awsfptql');
 DeleteService('a6yy9yusxi4e');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

Пофиксить в HijackThis следующие строчки

Код:

O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O4 - HKLM\..\Run: [tooquoo] C:\WINDOWS\system32\rufossi.exe
O4 - Startup: 0sxtopa.exe
O4 - Startup: 2lgg6ss.exe
O4 - Startup: c1yzzvll.exe
O4 - Startup: cyytkk5l0r.exe

+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

+


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[Illusion_2010]

Все сделал.

[thyrex]

Что с проблемой?

[Illusion_2010]

Вроде все, ОК. Спасибо огромное.

[goredey]

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.