[SolarSpark]

baxxabit, добрый день

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\update.1\svchost.exe');
 QuarantineFile('services32.exe','');
 QuarantineFile('C:\Program Files\Common Files\ips888.dll','');
 QuarantineFile('C:\Windows\miner2.exe','');
 QuarantineFile('c:\windows\update.1\svchost.exe','');
 QuarantineFile('C:\Users\85D4~1\AppData\Local\Temp\T9EbGI3j.sys','');
 QuarantineFile('c:\windows\sysdriver32.exe','');
 QuarantineFile('C:\Windows\update.tray-14-0\svchost.exe','');
 QuarantineFile('C:\Windows\update.tray-3-0\svchost.exe','');
 QuarantineFile('C:\Windows\loader2.exe_ok','');
 QuarantineFile('C:\Windows\winlog-dirs.txt','');
 QuarantineFile('C:\Windows\winlog-ids.txt','');
 QuarantineFile('C:\Windows\w_distrib_iplist.txt','');
 QuarantineFile('C:\Windows\ddh_iplist.txt','');
 QuarantineFile('C:\Windows\iecheck_iplist.txt','');
 QuarantineFile('C:\Windows\front_ip_list.txt','');
 QuarantineFile('C:\Windows\iplist.txt','');
 QuarantineFile('C:\Windows\btc_client_iplist.txt','');
 QuarantineFile('C:\Windows\actofvl\aaovl.exe','');
 QuarantineFile('C:\Windows\Temp\9594394.exe','');
 QuarantineFile('C:\Windows\Temp\6073763.exe','');
 QuarantineFile('C:\Windows\Temp\5983605.exe','');
 QuarantineFile('C:\Windows\l1rezerv.exe','');
 DeleteFile('C:\Windows\l1rezerv.exe');
 DeleteFile('C:\Windows\Temp\9594394.exe');
 DeleteFile('C:\Windows\Temp\6073763.exe');
 DeleteFile('C:\Windows\Temp\5983605.exe');
 DeleteFile('C:\Users\Саня\AppData\Local\Temp\4132590.exe');
 DeleteFile('C:\Windows\btc_client_iplist.txt');
 DeleteFile('C:\Windows\loader2.exe_ok');
 DeleteFile('C:\Windows\iplist.txt');
 DeleteFile('C:\Windows\front_ip_list.txt');
 DeleteFile('c:\windows\update.1\svchost.exe');
 DeleteFile('C:\Users\85D4~1\AppData\Local\Temp\T9EbGI3j.sys');
 DeleteFile('c:\windows\sysdriver32.exe');
 DeleteFile('C:\Windows\update.tray-14-0\svchost.exe');
 DeleteFile('C:\Windows\update.tray-3-0\svchost.exe');
 DeleteFile('C:\Windows\miner2.exe');
 DeleteFile('C:\Program Files\Common Files\ips888.dll');
 DeleteFile('services32.exe');
 DeleteFile('C:\Windows\iecheck_iplist.txt');
 DeleteFile('C:\Windows\ddh_iplist.txt');
 DeleteFile('C:\Windows\w_distrib_iplist.txt');
 DeleteFile('C:\Windows\winlog-ids.txt');
 DeleteFile('C:\Windows\winlog-dirs.txt');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','w_distrib.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\wxpdrivers');
 RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
 DeleteFileMask('C:\Windows\update.tray-3-0','*.*', true);
 DeleteFileMask('C:\Windows\update.tray-3-0-lnk','*.*', true);
 DeleteFileMask('C:\Windows\av_ico','*.*', true);
 DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
 DeleteFileMask('C:\Windows\update.1\', '*.*', true);
 DeleteFileMask('C:\Windows\update.tray-14-0','*.*', true);
 DeleteFileMask('C:\Windows\update.tray-14-0-lnk','*.*', true);
 DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
 DeleteDirectory('C:\Windows\update.1\');
 DeleteDirectory('C:\Windows\update.tray-3-0-lnk');
 DeleteDirectory('C:\Windows\update.tray-3-0\');
 DeleteDirectory('C:\Windows\update.tray-14-0-lnk');
 DeleteDirectory('C:\Windows\update.tray-14-0\');
 DeleteDirectory('C:\Windows\av_ico');
 BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('wxpdrivers');
BC_DeleteSvc('T9EbGI3j');
BC_Activate;
 ExecuteRepair(9);
 ExecuteRepair(17);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему


Сделайте повторные логи AVZ + RSIT + лог HijackThis

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

[baxxabit]

жду с нетерпением

[SolarSpark]

по карантину
svchost.exe,
svchost_0.exe,
svchost_1.exe - Trojan-PSW.Win32.VKont.bje
ips888.dll - not-a-virus:Monitor.Win32.ActualSpy.aaw

пароли смените

[baxxabit]

вот все, что получилось. а пароли на что сменить, если не секрет? просто судя по вирусу Trojan-PSW.Win32.VKont.bje, необходимо сменить пароль от вконтакте. подскажите, если от чего-то еще. заранее спасибо

[alex_sev]

Пароли желательно сменить на все: почта, ICQ и т.д.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\actofvl\aaovl.exe','');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\4132590.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\5983605.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\6073763.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\9594394.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\l1rezerv.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\sysdriver32.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\sysdriver32_.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\systemup');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\tray_ico0');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\tray_ico1');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\wxpdrv');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите лог RSIT

[baxxabit]

rsit

[alex_sev]

Как самочуствие системы?

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)
- обновите до последней версии Adobe Flash Player
- обновите до последней версии Adobe Reader
- обновите до последней версии Java
- обновите до последней версии Opera
- обновите до последней версии Firefox
- обновите до последней версии QuickTime

[baxxabit]

спасибо за помощь. система работает без видимых сбоев.