[zirreX]

Здравствуйте!

Почему делали логи из под Безопасного режима?

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.

• Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите Fix Checked.

Код:

R3 - URLSearchHook: (no name) -  - (no file)

Вы добавили в надежные узлы?Если нет эту пофиксите строку.

Код:

O15 - Trusted Zone: http://software.kuaiche.com

Подготовьте логи AVZ и RSIT, загрузившись в нормальном режиме.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[alexim]

zirreX,

Цитата zirreX:

Подготовьте логи AVZ и RSIT, загрузившись в нормальном режиме »

Что такое RSIT?
В нормальном режиме не грузится.

[zirreX]

alexim, что происходит при попытке загрузиться в нормальном режиме?

Скачайте Dr.Web CureIt и просканируйте системный диск.

Подготовьте новые логи AVZ по инструкции ниже.
Как подготовить логи AVZ в безопасном режиме

Цитата alexim:

Что такое RSIT? »

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Лог сканирования MBAM прикрепите.

[alexim]

zirreX,

Цитата zirreX:

Цитата zirreX: Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. » где? »

ничего что в безопасном режиме будет сканироваться?

А в нормальном режиме вообще не грузится. Безопасный - и все. Загружаю, какие-то коды столбцом идут. Дальше вывешивает окно, что такое безопасный режим. Восстановление системы отключено, и нет значка, чтоб включить.

[zirreX]

Цитата alexim:

А в нормальном режиме вообще не грузится. Безопасный - и все. Загружаю, какие-то коды столбцом идут. Дальше вывешивает окно, что такое безопасный режим. Восстановление системы отключено, и нет значка, чтоб включить. »

Пуск -- Выполнить -- ввести msconfig -- меню Загрузка, снимите галочку с Безопасного режима -- Ok и пробуйте грузится.

Если удастся загрузиться, подготовьте все логи из нормального режима.

[alexim]

zirreX,
вот логи.

[SolarSpark]

Удалено и взято в карантин - не восстанавливать

Код:

c:\Windows\System32\secushr.dat (Malware.Trace) -> Quarantined and deleted successfully.

остальные кенгены можете восстановить из карантина (на ваше усмотрение могут содержать трояны)

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\A261~1\AppData\Local\Temp\6135Rjba.sys','');
DeleteFile('C:\Users\A261~1\AppData\Local\Temp\6135Rjba.sys');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet  Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Users\A261~1\AppData\Local\Temp\6135Rjba.sys');
BC_DeleteSvc('6135Rjba');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

повторите логи AVZ и напишите как самочувствие

[alexim]

maniy77, при попытке выполнить первый скрипт (который побольше) пишет: ошибка: expected ";" в позиции 11:1

[SolarSpark]

alexim, Извините, ошибка исправлена, можете выполнять.