[goredey]

A_kitten, привет

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf63.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winxf41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winxf30.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwd06.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winov30.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmt63.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmt41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp85.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp74.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winip30.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn52.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfm17.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winel85.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winel17.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winek41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winci41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winci06.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbi30.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbi06.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winag28.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\tqsprwop.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\tqsprwop.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winag28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbi06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbi30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winci06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winci41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windj28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winek41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winel17.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfm17.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhn52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winip30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjp74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjp85.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmt41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmt63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winov30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuc41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvc41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwd06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxf30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxf41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyf63.sys');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
 DeleteService('Winyf63');
 DeleteService('Winxf41');
 DeleteService('Winxf30');
 DeleteService('Winwd06');
 DeleteService('Winvc41');
 DeleteService('Winuc41');
 DeleteService('Winov30');
 DeleteService('Winmt63');
 DeleteService('Winmt41');
 DeleteService('Winjp85');
 DeleteService('Winjp74');
 DeleteService('Winip30');
 DeleteService('Winhn52');
 DeleteService('Winfm17');
 DeleteService('Winel85');
 DeleteService('Winel17');
 DeleteService('Winek41');
 DeleteService('Windj28');
 DeleteService('Winci41');
 DeleteService('Winci06');
 DeleteService('Winbi06');
 DeleteService('Winag28');
 DeleteService('tqsprwop');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте по этой форме


Пвторите логи
+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

+


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Обзательно смените все свои пароли!!!

[A_kitten]

День добрый! Спасибо за ответ. Извините за задержку, но комп не в моей собственности, и вижу его раз в неделю. Но проблема никуда не делась, выполняю все ваши инструкции, только извините, что на связь буду выходить не регулярно, а по возможности.
п.1 - Выполнила.
п.2 - Выполнила, карантинные файлы по ссыдке отправила.
п.3 - Логи прилагаю.
п.4 - Выполнила + Логи прилагаю.
п.5 - Это сложнее. а. - не скачалось оновление, ссылка приведенная в ответе не работает (качала с другого компа).
б. - Malwarebytes' Anti-Malware - запустилось и работает, но сверху вывалилось окно о том, что "Извините приложенеи сообщило об ошибке, не может быть выполнено и будет закрыто". Пока Malwarebytes' Anti-Malware работает, но не факт, что мне удасться сохранить логи.
п.6 - Выполнила.
Отправляю протоколы, которые удалось получить. Спасибо еще раз. Жду ваших рекомендаций.

[A_kitten]

Добавляю протоколы Malwarebytes' Anti-Malware.

[thyrex]

Запустите МВАМ
После сканирования - Ok - Show Results (показать результаты)
Отметьте указанные ниже пункты

Код:

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.

Заражённые папки:
c:\documents and settings\localservice\application data\twain_32 (Trojan.Zbot) -> No action taken.
c:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> No action taken.

Заражённые файлы:
c:\documents and settings\all users\application data\srtserv\set.dat (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\delself.bat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\localservice\application data\twain_32\user.ds (Trojan.Zbot) -> No action taken.
c:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> No action taken.
c:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> No action taken.

Нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и прикрепите к сообщению

[A_kitten]

День добрый!
Пыталась выполнить "Запустите МВАМ"
- запустилось и работает, но сверху вывалилось окно о том, что "Извините приложенеи сообщило об ошибке, не может быть выполнено и будет закрыто".

"Нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете"
- выделила и нажала, но проограмма зависла на 2 часа, результатов нет.

[A_kitten]

Посоветуйте что-нибудь еще. Систему не хочется переустанавливать, хотя чувствую, что это было бы проще.

[A_kitten]

СЕГОДНЯ ЕЩЕ раз запустила МВАМ.
- запустилось и работает, но сверху вывалилось окно о том, что "Извините приложенеи сообщило об ошибке, не может быть выполнено и будет закрыто".

"Нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете"
- выделила ТОЛЬКО 2 ОБЪЕКТА, а не все 9 как предлогалось, и нажала "Удалить выделенные", но программа СНОВА зависла на 2 часа, результатов нет.

[SolarSpark]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

[A_kitten]

А можно вручную удалить то, что находит утилита МВАМ?