[iskander-k]

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[Calicurg]

Вот лог файл.
Теперь AVZ загружается и сайты тоже грузятся.

[Drongo]

Calicurg, А теперь переделайте контрольные логи AVZ и RSIT, как написано в правилах.

[Calicurg]

Вот логи.
Компьютер выключился при создании первого лога, я подумал что AVZ сам перезагрузил систему. Затем я сделал второй лог, но увидел что в папке имеется только второй. Сделал снова первый лог, получилось. Но после перезагрузки оказалось что AVZ опять не запускается, RSIT тоже не запускается, сайты пока все загружаются.

[Drongo]

Calicurg, Выполните этот скрипт. В результате выполнения на диске С появится такой файл dwshd.log прикрепите его к следующему сообщению.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\bvuego.exe','');
 QuarantineFile('c:\windows\system32\d9d54b69.exe','');
 QuarantineFile('c:\windows\system32\ntos.exe','');
 QuarantineFile('digiwet.dll','');
 QuarantineFile('e:\autorun.inf','');
 DeleteFile('c:\windows\system32\bvuego.exe');
 DeleteFile('c:\windows\system32\d9d54b69.exe');
 DeleteFile('c:\windows\system32\ntos.exe');
 DeleteFile('digiwet.dll');
 DeleteFile('e:\autorun.inf');
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\dwshd', 'C:\dwshd.log');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\SecurityProviders','SecurityProviders');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(16);
 ExecuteRepair(20);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


Также выполните такую рекомендацию.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

---

или если не удастся запустить gmer то Скачайте "OSAM" ("OSAM" (Online Solutions Autorun Manager)). В меню драйверов правой кнопкой по lebpiewgr и выберите "Turn Run Off", потом подтвердите перезагрузку. И сохраните этот лог, прикрепите его тоже.

Повторите логи AVZ обновив предварительно базы.

[Calicurg]

Скрипты выполнил.
Сформировал после второго скрипта файл quarantine.zip но прикрепить его к форме не могу, мой файл размером 18мб, в форме указан предел 1.5мб.
GMER запустить не удалось, два раза система при его запуске вылетела в синий экран.
"OSAM" запустил но в драйверах не нашёл строки с названием lebpiewgr.
Сейчас буду делать логи AVZ.

[Drongo]

Тогда вместо gmer сделайте ComboFix

• Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - how-to-use-combofix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Calicurg]

Новые логи.
Сейчас буду разбираться с Комбофиксом.

[Drongo]

Calicurg, По логу чисто, кроме этого момента

Код:

>>> Подозрение на маскировку ключа реестра службы\драйвера "lebpiewgr"