[Sandor]

Здравствуйте!

Работаем с первым компьютером, от которого 1CollectionLog-2014.07.09-10.57.zip
Для второго создайте отдельную тему и выложите там второй лог.

1.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 TerminateProcessByName('c:\recycler\s-1-5-21-0243556031-888888379-781863308-11093311146\61994061143.exe');
 TerminateProcessByName('c:\recycler\s-1-5-21-0243556031-888888379-781863308-615643\61bf266.exe');
 QuarantineFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-11093311146\61994061143.exe','');
 QuarantineFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-615643\61bf266.exe','');
 QuarantineFile('c:\windows\temp\32bfe8f.sys','');
 QuarantineFile('c:\windows\temp\36f4355.sys','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6715643\617bf266.exe','');
 QuarantineFile('C:\Users\Ras_2\AppData\Local\Temp\Adobe\Reader_sl.exe','');
 QuarantineFile('C:\Users\Ras_2\AppData\Local\Temp\KB00401718.exe','');
 QuarantineFile('C:\Users\Ras_2\AppData\Roaming\Identities\egwjt\egwjt.exe','');
 DeleteFile('C:\Users\Ras_2\AppData\Roaming\Identities\egwjt\egwjt.exe','32');
 DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-11093311146\61994061143.exe');
 DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-615643\61bf266.exe');
 DeleteFile('c:\windows\temp\32bfe8f.sys');
 DeleteFile('c:\windows\temp\36f4355.sys');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6715643\617bf266.exe');
 DeleteFile('C:\Users\Ras_2\AppData\Local\Temp\Adobe\Reader_sl.exe');
 DeleteFile('C:\Users\Ras_2\AppData\Local\Temp\KB00401718.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a49913123');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6z4666');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6z47666');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SberSign TestHash');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftStCnt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update');
 DeleteService('32BFE8F');
 DeleteService('36F4355');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(9);
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

2.
После перезагрузки, выполните такой скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Подготовьте лог MBAM.

4. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Sandor]

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите все, кроме:

Цитата:

Файлы: Trojan.Agent.ED, C:\Users\Ras_2\Desktop\AutoLogger\AutoLogger\AVZ\Quarantine\2014-07-16\avz00001.dta, , [230fc0e0512abb7bd6e2dab245bcf40c], Backdoor.IRCBot, C:\Users\Ras_2\Desktop\AutoLogger\AutoLogger\AVZ\Quarantine\2014-07-16\avz00002.dta, , [959d6f31710a8caa2ebf07901de43ac6], Trojan.Agent.ED, C:\Users\Ras_2\Desktop\AutoLogger\AutoLogger\AVZ\Quarantine\2014-07-16\avz00003.dta, , [d55d990714672f071e5da4f7da2701ff], Trojan.Dropped, C:\Windows\System32\hidcon.exe, , [8fa3dac66e0d8ea80231208832cf28d8],

После этого сделайте еще раз полное сканирование MBAM и лог результата покажите.

p.s. На почту следовало отправлять только карантин, а логи выкладывайте сюда.

[CoF_TuZ]

Sandor, при повторном сканирование MBAM нашел только 4 которые я не удалил. Попробовал флешку вставить и все нормально, больше нету ярлыков. Давайте пожалуйста перейдем ко второму компьютеру.

[Sandor]

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24.
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения.

Создайте для второго ПК отдельную тему и там выложите его логи.