[alex_sev]

Чистого интернета

[DR93]

Рано я обрадовался...
Обновил анвирус и Windows, буквально через 6 часов начали опять появлятся вирусы типа TR.Gendal.kdv.296559 и TR/Buzus.EC.122
Появляются в основном в 4-х папках:
1) C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\
2) C:\Documents and Settings\
3) C:\Documents and Settings\Application Data\
4) C:\Windows\system32\
Антивирусом не удаляются; при помещении в карантин, через некоторое время появляются в тех же местах под немногоизменённым именем.
Ладно хоть пока в интернет пускаю.

Готовить новые логи?

[iskander-k]

Цитата DR93:

Обновил анвирус и Windows, буквально через 6 часов начали опять появлятся вирусы типа TR.Gendal.kdv.296559 и TR/Buzus.EC.122 »

Значит надо менять либо антивирус либо не лазить по зараженным сайтам.

Что делали и что устанавливали ?

Проверьте систему в безопасном режиме CureIT Скачать .

В рабочем режиме Новые логи в том числе и АВЗ.

[DR93]

Компьютер выключен был
CureIT если удаляет, то они снова появляются. Если помещяет в карантин, то антивирус (Avira Personal) вытягивает вирусы обратно, и всё по новой начинается.
Сейчас подготовлю логи.

[DR93]

Логи AVZ и RSIT

[alex_sev]

Смотрю логи скоро отвечу

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\51.exe','');
 QuarantineFile('C:\WINDOWS\system32\22.exe','');
 QuarantineFile('C:\WINDOWS\system32\14.exe','');
 QuarantineFile('C:\WINDOWS\system32\07.exe','');
 QuarantineFile('d:\d7542dcf43ce26f582749f105a784fb4\DW\DW20.exe','');
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 QuarantineFile('C:\Documents and Settings\GaRRuS\Application Data\Pegkgz.exe','');
 QuarantineFile('C:\Documents and Settings\GaRRuS\Application Data\E.tmp','');
 QuarantineFile('C:\Documents and Settings\GaRRuS\Application Data\B.tmp','');
 QuarantineFile('C:\Documents and Settings\GaRRuS\Application Data\9.tmp','');
 DeleteFile('C:\Documents and Settings\GaRRuS\Application Data\Pegkgz.exe');
 DeleteFile('C:\Documents and Settings\GaRRuS\Application Data\E.tmp');
 DeleteFile('C:\Documents and Settings\GaRRuS\Application Data\B.tmp');
 DeleteFile('C:\Documents and Settings\GaRRuS\Application Data\9.tmp');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 DeleteFile('d:\d7542dcf43ce26f582749f105a784fb4\DW\DW20.exe');
 DeleteFile('C:\WINDOWS\system32\07.exe');
 DeleteFile('C:\WINDOWS\system32\14.exe');
 DeleteFile('C:\WINDOWS\system32\22.exe');
 DeleteFile('C:\WINDOWS\system32\51.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pegkgz');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[DR93]

Логи

[alex_sev]

Как самочувствие?

Отправил Вашего трояна Авире, может ко вторнику добавят.

http://www.virustotal.com/file-scan/...c00-1311415669

Смените Все важные пароли

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

[DR93]

Пока вроде бы нормально

[alex_sev]

Пишите, если что
Опять же чистого интернета