[SolarSpark]

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\cd86~1\appdata\local\temp\5a7f.tmp\drm');
 QuarantineFile('c:\users\cd86~1\appdata\local\temp\5a7f.tmp\drm','');
 QuarantineFile('C:\Users\CD86~1\AppData\Local\Temp\thm6EBA.tmp','');
 QuarantineFile('C:\autorun.inf','');
 DeleteFile('c:\users\cd86~1\appdata\local\temp\5a7f.tmp\drm');
 DeleteFile('C:\Users\CD86~1\AppData\Local\Temp\thm6EBA.tmp');
 DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему


Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM


1.Очистите кэш память браузеров.
в Internet Explorer - открыть окно браузера и выбрать "Инструменты" из меню на верхней панели, выбрать "Параметры Интернета" (последняя опция в списке).
находим кнопку "Удалить файлы". Щелкните по этой кнопке, затем отметьте "Удалить содержимое", затем нажимаем "Готово". Когда операция будет закончена, щелкните "Готово" и закройте окно панели управления.

Opera
Откройте браузер, выберите "Инструменты" из меню на верхней панели и наведите курсор на "Предпочтения", щелкните по опции "История и кэш память" нажмите "Очистить немедленно", по окончании операции щелкните "Готово" и закройте окно браузера.

Firefox
откройте окно браузера Firefox и щелкните "Инструменты" - "Опции", щелкните на иконке "Конфиденциальность". нажмите кнопку "Очистить", щелкните "Готово" и закройте окно браузера.

Google Chrome
Значок "Гаечный ключ" - "Инструменты" - "Удаление данных о просмотренных страницах"



__________________________________________________________________________

[buvet]

Повторные логи

[SolarSpark]

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Алексей\unzipper\wftmon.exe','');
 DeleteFile('C:\Users\Алексей\unzipper\wftmon.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wtfmon');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему


Удаляем в МВАМ если будут таковые

Код:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\JetSwap (Adware.JetSwap) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wtfmon (Trojan.Dropper) -> Value: wtfmon -> No action taken.

Зараженные файлы:
c:\Users\Алексей\unzipper\wftmon.exe (Trojan.Dropper) -> No action taken.

после выполнения скрипта все должно придти в норму

Затем зачистите зараженные контрольные точки

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

[SolarSpark]

Свежий троян в карантине - Угроза: Trojan.SMSSend.1540
Соответствующая запись добавлена в вирусную базы и будет доступна при следующем обновлении.

[buvet]

Спасибо большое.Очень помогло!!!!!