[regist]

подсказываю: прочитать и выполнить написанное в этой теме - http://forum.oszone.net/thread-98169.html

[Геннадий_Будаев@vk]

мои логи

[Drongo]

Геннадий_Будаев@vk, Привет.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\apppatch\empbisi.exe','');
 QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\1386224FdOh','');
 QuarantineFile('C:\systemhost\24FC2AE3322.exe','');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\I2Vmiu54s1w.exe','');
 QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\2AD69C0A', '*.*', false, '', 0, 0); 
 QuarantineFileF('C:\Users\Пользователь\AppData\Roaming\2ad69ad0', '*.*', false, '', 0, 0);  
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\I2Vmiu54s1w.exe');
 DeleteFile('C:\systemhost\24FC2AE3322.exe');
 DeleteFile('C:\Windows\tasks\At1.job');
 DeleteFile('C:\Windows\apppatch\empbisi.exe');
 DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\1386224FdOh');
 DeleteFileMask('C:\ProgramData\WFvjq4SXAOo', '*.*', true);
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\2AD69C0A', '*.*', true);
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\2ad69ad0', '*.*', true);
 DeleteDirectory('C:\ProgramData\WFvjq4SXAOo');
 DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\2AD69C0A');
 DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\2ad69ad0');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1388096');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0F4EXHXX9ZXQH');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1388096');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O4 - Startup: I2Vmiu54s1w.exe
O4 - HKLM\..\Run: [1388096] cmd.exe /c copy C:\Users\73B5~1\AppData\Local\Temp\1386224FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
O4 - HKCU\..\Run: [YI9B2F0F4EXHXX9ZXQH] C:\systemhost\24FC2AE3322.exe
O4 - HKCU\..\Run: [userinit] C:\Windows\AppPatch\empbisi.exe

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

[Геннадий_Будаев@vk]

новые логи

[alex_sev]

Смените все пароли

Файл и папку удалите вручную:

Код:

C:\Users\Пользователь\AppData\Roaming\2AD69C0A
C:\Windows\System32\ieunitdrf.inf

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe;
3. Нажмите кнопку "Изменить параметры проверки";
4. Установите все галочки, кроме "Объекты для проверки" - "Загруженные модули";
5. Подтвердите изменение настроек нажатием кнопки "ОК";
6. Нажмите кнопку "Начать проверку";
7. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
8. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
9. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
10. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
11. Самостоятельно без указания консультанта ничего не не удаляйте!!!
12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
13. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом руководстве.

[Геннадий_Будаев@vk]

содержимое securitychek

tds killer лог

[Drongo]

Геннадий_Будаев@vk, Необходимо скачать и установить следующие обновления.

Код:

Java(TM) 6 Update 20 v.6.0.200 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
Java(TM) 6 Update 32 v.6.0.320 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
-------------AppleProduction----------------------
-------------AdobeProduction----------------------
Adobe Flash Player 10 ActiveX v.10.2.152.32 Внимание! Скачать обновления
^Открыть cсылку в Internet Explorer^
Adobe Shockwave Player 11.5 v.11.5.9.620 Внимание! Скачать обновления
Adobe Reader X - Russian v.10.0.0 Внимание! Скачать обновления
Adobe Reader X MUI v.10.0.0 Внимание! Скачать обновления

Как самочувствие системы?

[alex_sev]

Исправляйте уязвимости:

Цитата:

Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено Дата установки обновлений: 2011-08-08 08:23:49 Java(TM) 6 Update 20 v.6.0.200 Внимание! Скачать обновления ^Удалите старую версию и установите новую^ Java(TM) 6 Update 32 v.6.0.320 Внимание! Скачать обновления ^Удалите старую версию и установите новую^ Adobe Flash Player 10 ActiveX v.10.2.152.32 Внимание! Скачать обновления ^Открыть cсылку в Internet Explorer^ Adobe Shockwave Player 11.5 v.11.5.9.620 Внимание! Скачать обновления Adobe Reader X - Russian v.10.0.0 Внимание! Скачать обновления Adobe Reader X MUI v.10.0.0 Внимание! Скачать обновления

Как самочувствие системы?

[Геннадий_Будаев@vk]

система нормальною все стабильно