[SolarSpark]

лог RSIT забыли

[SolarSpark]

1.Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFileF('D:\Documents and Settings\Admin\Application Data\', '*.exe', false, '', 0, 0);
 QuarantineFile('D:\Documents and Settings\Admin\Application Data\Microsoft\Nlymyz.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe','');
 QuarantineFile('D:\Documents and Settings\Admin\Application Data\12.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe');
 DeleteFile('D:\Documents and Settings\Admin\Application Data\12.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\18.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\17.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\14.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\63.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\64.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\65.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\67.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\55.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\56.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\57.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\8E.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\8F.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\90.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\91.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\DF.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\E0.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\E1.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\E2.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\41D.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\41E.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\44C.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\41E.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\4CC.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\4CD.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\4CE.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\4CF.exe');
 DeleteFile('D:\Documents and Settings\Admin\Application Data\Microsoft\Nlymyz.exe');
DeleteFileMask('D:\Documents and Settings\Admin\Application Data\', '*.exe', false);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wi68');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t4q');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nepro0xz');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSSMARTMON1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Nlymyz');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteRepair(8);
 ExecuteRepair(13);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

2.После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему


3.Сделайте повторные логи AVZ + RSIT + HijackThis

4.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


5.Обновляем систему до SP3. Service Pack 3 (может потребоваться активация) + устанавливаем ВСЕ обновления

______________________________________

[joey85]

отчёт готов

[SolarSpark]

DDownTango6bToolbar сами установили себе?

логи АВЗ старые залили. Прикрепите свежие, пожалуйста

[joey85]

В реестре нашёл только Down Tango и Down Tango Launcher 2.1

[SolarSpark]

Цитата SolarSpark:

логи АВЗ старые залили. Прикрепите свежие, пожалуйста »

[joey85]

чёт я не совсем понимаю что за АВ3?

[SolarSpark]

лог virusinfo_syscure.zip вы залили старый, вы же сделали после скрипта проверку? мне нужен новый лог после скрипта

[joey85]

Новый оно почему-то не хочет выдавать. я даже старые удалил и заново всё сделал, а в папке пусто.