[Drongo]

Здравствуйте.
Подготовьте логи по правилам

Переношу в лечение, там на месте разберёмся.

[akadreamer]

Так,вроде всё сделал так,как сказано в правилах. Выкладываю логи.

[iskander-k]

1.
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\DN0WI29Ohrk.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\TW2aPcBUviM.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\DN0WI29Ohrk.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\TW2aPcBUviM.exe');
DeleteFileMask('C:\yJ8LgG2WWP3vnfC', '*.*', true); 
DeleteDirectory('C:\yJ8LgG2WWP3vnfC');
DeleteFileMask('C:\OrzsF0fStXxG1ci', '*.*', true); 
DeleteDirectory('C:\OrzsF0fStXxG1ci');
DeleteFileMask('C:\WRkYSD6IMMyTzYv', '*.*', true); 
DeleteDirectory('C:\WRkYSD6IMMyTzYv');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму

2.
• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

O4 - Startup: DN0WI29Ohrk.exe
O4 - Startup: TW2aPcBUviM.exe

Обновите базы АВЗ и повторите логи.

[akadreamer]

Цитата iskander-k:

2. • HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis Код: O4 - Startup: DN0WI29Ohrk.exe O4 - Startup: TW2aPcBUviM.exe »

У меня нет этих строк,когда сканирую. Что делать? Всё делал,как сказано в ссылке.
Заглянул в папку "Автозагрузки": исчезли эти файлы странные.
Насчёт папок: помогло,система стала быстрее даже работать.

[alex_sev]

Цитата iskander-k:

Обновите базы АВЗ и повторите логи. »

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[iskander-k]

Цитата akadreamer:

У меня нет этих строк,когда сканирую. »

Это хорошо значит АВЗ всё подчистил.

[akadreamer]

Цитата iskander-k:

Это хорошо значит АВЗ всё подчистил. »

Спасибо всем за помощь!
Не подскажете,как вся эта дрянь могла влиять на систему? А то уж очень интересно,что это и с чем его едят.

[alex_sev]

Погодите еще не все:

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\Haopw', '*.*', false, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\Ybxuwo', '*.*', false, '', 0, 0);
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Ybxuwo\eqyhx.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Ybxuwo\eqyhx.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\igfxtray.dat');
 DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\Haopw', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\Haopw');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\Ybxuwo', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\Ybxuwo');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{B56CF883-E5F0-A7DF-40CB-536B305BB3EC}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:

O4 - HKCU\..\Run: [{B56CF883-E5F0-A7DF-40CB-536B305BB3EC}] "C:\Documents and Settings\Admin\Application Data\Ybxuwo\eqyhx.exe"

Повторите лог RSIT

[akadreamer]

Насчёт фикса в HJT - нет этой строчки

Код:

O4 - HKCU\..\Run: [{B56CF883-E5F0-A7DF-40CB-536B305BB3EC}] "C:\Documents and Settings\Admin\Application Data\Ybxuwo\eqyhx.exe"

Лог RSIT прикрепил.