[alex_sev]

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

5. Подробнее читайте в руководстве Как подготовить лог UVS

[Наемник]

Вот все сделал как вы и сказали. Лог прикрепил к посту.

[alex_sev]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ;uVS v3.76 script [http://dsrt.dyndns.org]
   ;Target OS: NTv5.1
   
   ; C:\WINDOWS\SYSTEM32\AUBVSWI.DLL
   addsgn A7679BCC063DC72F035FDBBDEFB50280D3FFF575B49EDA78E9C32E9AD328733826943D564B773C95E180E81A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 Mayachok
   
   zoo %Sys32%\AUBVSWI.DLL
   delall %Sys32%\CREXV.OCX
   delall CREXV.OCX
   delall %Sys32%\AUBVSWI.DLL
   chklst
   delvir
   deltmp
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
   

   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

Если после выполнения скрипты будут проблемы с меню Пуск, прочтите эту информацию http://safezone.cc/forum/showthread.php?t=18318

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

[Наемник]

Спасибо. Я в понедельник вышлю логи, когда буду на работе...

[Наемник]

На почту файл отправил и лог прилагаю...

[alex_sev]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\', '*.exe', false, '', 0, 0);
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\163.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\taskhost.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\txt.exe','');
 QuarantineFile('C:\WINDOWS\system32\7.tmp','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\163.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\txt.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\taskhost.exe');
 DeleteFile('C:\WINDOWS\system32\7.tmp');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\', '*.exe', false);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','krl4rpleq');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221'); 
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите сканирование в MBAM и удалите все найденное.


Проверимся на уязвимости:

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом руководстве.

[Наемник]

Все сделано

[alex_sev]

Закрывайте уязвимости:

Цитата:

Internet Explorer 7.0.5730.13 Внимание! Скачать обновления Антивирус Касперского Антивирус устарел Автоматическое обновление отключено

Запланируйте полное сканирование антивирусом с обновленными базами. Backdoor.Buterat, которого мы удалили (C:\Documents and Settings\Admin\Application Data\taskhost.exe) любит докачивать всякое другое вредоносное ПО.

Смените все пароли, так как C:\Documents and Settings\Admin\Application Data\txt.exe - угонщик паролей.

Как самочувствие системы?

[Наемник]

Большое спасибо. Самочувствие системы стало гораздо лучше. Страницы в интернете больше не блокируются и на левые сайты не перебрасывает. Сегодня постараюсь просканировать систему...