[Drongo]

FishyFish, Привет.

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\2a74c330.exe,C:\WINDOWS\system32\pzrlab.exe,
O4 - Startup: wwwznv32.exe

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\docume~1\admin\locals~1\temp\sfareca00001.dll','');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\sfamcc00001.dll','');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\e2895ti3.sys','');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\pyu3tnt0.sys','');
 QuarantineFile('=.exe','');
 QuarantineFile('c:\documents and settings\admin\главное меню\программы\автозагрузка\wwwznv32.exe','');
 QuarantineFile('c:\windows\system32\2a74c330.exe','');
 QuarantineFile('c:\windows\system32\pzrlab.exe','');
 QuarantineFile(Chr(39) + RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Startup')  + '\wwwznv32.exe' + Chr(39), '');
 DeleteFile(Chr(39) + RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Startup')  + '\wwwznv32.exe' + Chr(39));
 DeleteFile('c:\docume~1\admin\locals~1\temp\e2895ti3.sys');
 DeleteFile('c:\docume~1\admin\locals~1\temp\pyu3tnt0.sys');
 DeleteFile('=.exe');
 DeleteFile('c:\documents and settings\admin\главное меню\программы\автозагрузка\wwwznv32.exe');
 DeleteFile('c:\windows\system32\2a74c330.exe');
 DeleteFile('c:\windows\system32\pzrlab.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','GEST');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Повторите логи + логи RSIT и МВАМ

• Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
• Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[FishyFish]

Спасибо за помощь
винзип не хочет ставить на архив с карантином короткий пароль, можно я залью куда-нибудь этот архив и кину Вам в личку ссылку на него?

[thyrex]

Цитата FishyFish:

винзип не хочет ставить на архив с карантином короткий пароль »

AVZ сам установит пароль

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[FishyFish]

вроде все сделала

Ответ из лаборатории:
_
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

2a74c330.exe - Trojan-Downloader.Win32.Agent.ebyj
pzrlab.exe - Backdoor.Win32.Shiz.nk

Детектирование файлов будет добавлено в следующее обновление.

bcqr00001.dat,
bcqr00002.dat,
bcqr00003.dat,
bcqr00004.dat,
sfamcc00001.dll,
sfareca00001.dll

Вредоносный код в файлах не обнаружен.

bcqr00011.dat,
bcqr00012.dat,
wwwznv32.exe

Файлы в процессе обработки.

С уважением, Лаборатория Касперского

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700
http://www.kaspersky.ru http://www.viruslist.ru
_

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\faf8882e.exe

Driver::

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[FishyFish]

Вот

[thyrex]

Чисто

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt, запустите, нажмите Clean up

Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Acrobat Reader 9.3 или удалите старый
Обновите JavaRE

[FishyFish]

Огромное спасибо за помощь!