[S.R]

Здравствуйте, сейчас посмотрю.

[S.R]

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\mat\LOCALS~1\Temp\msdapqm.com','');
 QuarantineFile('C:\Users\mat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\B8VrLF8SHvY.exe','');
 QuarantineFile('C:\Users\mat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup-\B8VrLF8SHvY.exe','');
 QuarantineFileF('C:\4lwF1y8SvKGqfBC', '*', true, '', 0, 0);
 QuarantineFileF('C:\Users\mat\AppData\Roaming\IcJVLcJZyvnq2kk', '*', true, '', 0, 0);
 QuarantineFileF('C:\Users\mat\AppData\Roaming\pNARqcg8G7BCjq7', '*', true, '', 0, 0);
 QuarantineFileF('C:\Users\mat\AppData\Roaming\kFv3DjpT2zrL84x', '*', true, '', 0, 0);
 QuarantineFileF('C:\Users\mat\AppData\Roaming\MicroST', '*', true, '', 0, 0);
 QuarantineFileF('C:\Users\mat\AppData\Roaming\E717C955', '*', true, '', 0, 0);
 DeleteFile('C:\Users\mat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup-\B8VrLF8SHvY.exe');
 DeleteFile('C:\Users\mat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\B8VrLF8SHvY.exe');
 DeleteFile('C:\Users\mat\LOCALS~1\Temp\msdapqm.com');
 DeleteFileMask('C:\4lwF1y8SvKGqfBC', '*', true);
 DeleteFileMask('C:\Users\mat\AppData\Roaming\IcJVLcJZyvnq2kk', '*', true);
 DeleteFileMask('C:\Users\mat\AppData\Roaming\pNARqcg8G7BCjq7', '*', true);
 DeleteFileMask('C:\Users\mat\AppData\Roaming\kFv3DjpT2zrL84x', '*', true);
 DeleteFileMask('C:\Users\mat\AppData\Roaming\MicroST', '*', true);
 DeleteFileMask('C:\Users\mat\AppData\Roaming\E717C955', '*', true);
 DeleteDirectory('C:\4lwF1y8SvKGqfBC');
 DeleteDirectory('C:\Users\mat\AppData\Roaming\IcJVLcJZyvnq2kk');
 DeleteDirectory('C:\Users\mat\AppData\Roaming\pNARqcg8G7BCjq7');
 DeleteDirectory('C:\Users\mat\AppData\Roaming\kFv3DjpT2zrL84x');
 DeleteDirectory('C:\Users\mat\AppData\Roaming\MicroST');
 DeleteDirectory('C:\Users\mat\AppData\Roaming\E717C955');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT +

• Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
• Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
• После сканирования откроется лог. Сохраните его и прикрепите к сообщению.

Срочно смените все пароли!

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
   Код:

   tdsskiller.exe -silent -qmbr -qboot

3. Запустите файл fix.bat;
4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
6. Запустите файл TDSSKiller.exe;
7. Нажмите кнопку "Начать проверку";
8. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
13. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

[mat1441]

Вроде все выполнил.
TDSSKiller лога не нашел, отсылаю то, что было в программе во вкладке "отчет".
Спасибо.

Кстати, ссылка на TDSSKiller http://support.kaspersky.ru/download...tdsskiller.zip не работает, а скачать можно на http://www.kaspersky.ru/support/down...tdsskiller.zip. Ну это на всякий случай.

[S.R]

mat1441, у меня работают обе ссылки.

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\mat\LOCALS~1\Temp\msdapqm.com','');
 QuarantineFileF('C:\4lwF1y8SvKGqfBC', '*', true, '', 0, 0);
 QuarantineFileF('C:\Users\mat\AppData\Roaming\MicroST', '*', true, '', 0, 0);
 DeleteFile('C:\Users\mat\LOCALS~1\Temp\msdapqm.com');
 DeleteFileMask('C:\4lwF1y8SvKGqfBC', '*', true);
 DeleteFileMask('C:\Users\mat\AppData\Roaming\MicroST', '*', true);
 DeleteDirectory('C:\4lwF1y8SvKGqfBC');
 DeleteDirectory('C:\Users\mat\AppData\Roaming\MicroST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

• Скачайте и запустите HijackThis.
• Нажмите кнопку Do a system scan only.
• В открывшемся логе сканирования поставьте галочки напротив указанных строк и нажмите кнопку Fix сhecked.

Код:

F3 - REG:win.ini: load=C:\Users\mat\LOCALS~1\Temp\msdapqm.com

Повторите полное сканирование в MBAM и удалите только данные элементы

Код:

Обнаруженные ключи в реестре:  9
HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Действие не было предпринято.
HKCR\TypeLib\{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Действие не было предпринято.
HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Действие не было предпринято.

Обнаруженные файлы:  15
C:\$Recycle.Bin\S-1-5-21-3537652882-3494529257-3881036174-1000\$RIYC32D.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Users\mat\Documents\avz4\Quarantine\2012-04-13\avz00001.dta (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Users\mat\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.

Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ, RSIT и MBAM

[mat1441]

Все выполнил. Спасибо, что помогаете

[S.R]

http://virusinfo.info/showthread.php?t=119221
Где будете продолжать лечение?

[mat1441]

Давайте здесь. Там создал тему, но мне показалось, что долго отвечают, и создал тему здесь. А там тоже ответили, и мне показалось невежливым там описываться, что уже помогают здесь.

[S.R]

mat1441, хорошо. В следующий раз лучше выбирать одно место лечения во избежания путаницы.

Скачайте ComboFix по одной из этих ссылок на рабочий стол.

• ComboFix.exe
• ComboFix.exe

Важно! На время работы программы отключите всё защитное программное обеспечение.
Дважды кликните по значку, чтобы запустить программу. Убедитесь, что все остальные программы закрыты.
Во время работы ComboFix не нажимайте кнопки мыши, это может стать причиной зависания программы.
Когда сканирование завершится, файл C:\ComboFix.txt прикрепите к сообщению.

прим. В случае, если ComboFix не запускается, переименуйте combofix.exe в svchost.exe

[mat1441]

Вот