[Farger]

Здравствуйте,

Сейчас проверю логи.

[Farger]

C:\Documents and Settings\Admin\Application Data\go – что в папке?


Ваш провайдер Prometey Ltd?

Вы использовали ранее Kaspersky или TDSS?

1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\cbzvl.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe');
DeleteFile('C:\Documents and Settings\Admin\cbzvl.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксить в HJT

Код:

 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ+RSIT

[zirreX]

В дополнение к предыдущему скрипту выполните этот скрипт.

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Вставьте все зараженные флешки и подготовьте все запрашиваемые логи!

[ONprazdnik]

Здравствуйте.
Спасибо всем за помощь, вроде все теперь нормально.

Цитата Farger:

C:\Documents and Settings\Admin\Application Data\go – что в папке? Ваш провайдер Prometey Ltd? Вы использовали ранее Kaspersky или TDSS? »

Что в папке? - понятия не имею
Провайдер - http://inet-lan.ru/
Kaspersky или TDSS - не использовал никогда

Ответ из лаборатории Касперского еще не пришел, выложу позже.

Логи прилагаю

[ONprazdnik]

autorun.inf - даже после форматирования флешки все равно заново создается

но открываются флешки нормально

[ONprazdnik]

Опять стала открываться ссылка в Эксплоуре (http://www.financiatoring.com/index.php/investing)

[zirreX]

Вы прикрепили старые логи AVZ.

● Выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder','\C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^chkntfs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Сделайте новые логи AVZ + подготовьте такой лог.

[thyrex]

Удалите в МВАМ только указанные строки

Код:

c:\system volume information\_restore{5493f45a-80f4-44ea-8992-11bd37c37a57}\RP158\A0051047.exe (PUP.SmsPay) -> No action taken.
c:\system volume information\_restore{5493f45a-80f4-44ea-8992-11bd37c37a57}\RP158\A0051048.exe (Trojan.RepackedSetup) -> No action taken.
g:\vlada\budala.exe (Heuristics.Shuriken) -> No action taken.

[ONprazdnik]

выполнил,
Вот логи