[zirreX]

Добрый день!

Почему логи из безопасного режима? В нормальном режиме система не грузится?

Проверьте файл на www.virustotal.com и дайте ссылку на результат.

Код:

C:\WINDOWS\nvsvc32.exe

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\nvsvc32.exe','');
 QuarantineFile('C:\Downloads\xxx_video.avi.exe','');
 DeleteFile('C:\Downloads\xxx_video.avi.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(9);
 ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

• Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите Fix Checked.

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: QipLI - {6B5863A0-C43F-4C0A-982B-CC0E9125783F} - (no file)

Сделайте новые логи AVZ и RSIT, загрузившись в нормальном режиме!

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Код:

MSIE: Internet Explorer v7.00 (7.00.6000.20978)

Обновите Internet Explorer до восьмой версии, даже если им не пользуетесь!

[Neza]

Спасибо за помощь!
В нормальном режиме система грузилась, но рабочий стол был девственно чист, запустить сканирование получалось только в безопасном режиме, что я и делала.

Цитата zirreX:

Проверьте файл на www.virustotal.com и дайте ссылку на результат. Код: C:\WINDOWS\nvsvc32.exe »

Файл отправить не смогла, так как не получилось его найти

Цитата zirreX:

Обновите Internet Explorer до восьмой версии, даже если им не пользуетесь! »

Обновила

Все вроде заработало. Вот новые логи

[zirreX]

Удалите в MBAM

Код:

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\NVIDIA driver monitor (Backdoor.Agent) -> Value: NVIDIA driver monitor -> No action taken.

Проверьте на www.virustotal.com.

Код:

c:\program files\OpeeraAC.exe
c:\program files\savehwids.exe
c:\WINDOWS\nastroyki.exe
c:\WINDOWS\Finalize.exe

Дайте ссылки на результаты проверок.


Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 DeleteFile('C:\Downloads\xxx_video.avi.exe');
 DeleteFile('C:\WINDOWS\nvsvc32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','NVIDIA driver monitor');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи AVZ и MBAM

[Neza]

Новые логи.

[zirreX]

Файлы проверили на www.virustotal.com? В новом логе их не вижу, удалили?

Есть еще проблемы?

[Neza]

Я их тоже не обнаружила, проблем пока нет. Огромное спасибо за помощь!

[zirreX]

Важные пароли смените.

Очистите временные файлы:
Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Установите все обновления Windows

Для предотвращения заражения рекомендую вам не работать за компьютером с правами администратора, использовать браузер Firefox с дополнением NoScript.
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
Регулярно устанавливать обновления windows и обновлять антивирусные базы.