[S.R]

Здравствуйте, посмотрю логи.

[S.R]

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\plg.txt','');
 QuarantineFileF('C:\Documents and Settings\Пользователь\Application Data\3cm8rzNZzUzWIvG', '*', true, '', 0, 0);
 QuarantineFileF('C:\3cm8rzNZzUzWIvG', '*', true, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Пользователь\Application Data\0s5nKzItrnyQvRi', '*', true, '', 0, 0);
 QuarantineFileF('C:\0s5nKzItrnyQvRi', '*', true, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Пользователь\Application Data\MicroST', '*', true, '', 0, 0);
 QuarantineFileF('C:\dmTez33zrEZ438e', '*', true, '', 0, 0);
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\S1GVzzNFjsnyHeul2IG.dll','');
 QuarantineFile('globalroot\systemroot\system32\userinit.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\132B73A0-F839496A-45D6C9A0-5A456A7E\crs3jq9t.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\132B73A0-F839496A-45D6C9A0-5A456A7E\0vkija33.exe','');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\erwclxb.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\nhhznoqq.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\gvxrickd.sys','');
 DeleteFile('C:\plg.txt');
 DeleteFile('C:\WINDOWS\system32\drivers\gvxrickd.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\nhhznoqq.sys');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\erwclxb.exe');
 DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\132B73A0-F839496A-45D6C9A0-5A456A7E\0vkija33.exe');
 DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\132B73A0-F839496A-45D6C9A0-5A456A7E\crs3jq9t.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\S1GVzzNFjsnyHeul2IG.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FFSystem');
 DeleteService('nhhznoqq');
 DeleteService('gvxrickd');
 DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\3cm8rzNZzUzWIvG', '*', true);
 DeleteFileMask('C:\3cm8rzNZzUzWIvG', '*', true);
 DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\0s5nKzItrnyQvRi', '*', true);
 DeleteFileMask('C:\0s5nKzItrnyQvRi', '*', true);
 DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\MicroST', '*', true);
 DeleteFileMask('C:\dmTez33zrEZ438e', '*', true);
 DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\3cm8rzNZzUzWIvG');
 DeleteDirectory('C:\3cm8rzNZzUzWIvG');
 DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\0s5nKzItrnyQvRi');
 DeleteDirectory('C:\0s5nKzItrnyQvRi');
 DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\MicroST');
 DeleteDirectory('C:\dmTez33zrEZ438e');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(14);
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму.
------------------------------------------------------------------------------------------
Если после перезагрузки после первого скрипта в AVZ у вас не появится интернет, выполните этот скрипт и далее остальные рекомендации.

Код:

begin
 ExecuteRepair(14);
RebootWindows(true);
end.

------------------------------------------------------------------------------------------
Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT +
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
После сканирования откроется лог. Сохраните его и прикрепите к сообщению.
------------------------------------------------------------------------------------------
Скачайте SecurityCheck by screen317 по одной из этих ссылок на рабочий стол.

• SecurityCheck.exe
• SecurityCheck.exe

Запустите программу, после появления консоли нажмите на любую клавишу для начала сканирования.
Дождитесь завершения сканирования и формирования лога. Скопируйте/вставьте содержимое лога утилиты в следующее сообщение.
------------------------------------------------------------------------------------------

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
   Код:

   tdsskiller.exe -silent -qmbr -qboot

3. Запустите файл fix.bat;
4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
6. Запустите файл TDSSKiller.exe;
7. Нажмите кнопку "Начать проверку";
8. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
13. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
------------------------------------------------------------------------------------------
Смнените пароли от веб-сайтов!!!

[Андрэй]

Высылаю новые логи.

[Андрэй]

Очередной лог.

Results of screen317's Security Check version 0.99.41
x86
``````````````Antivirus/Firewall Check:``````````````
Windows Security Center service is not running! This report may not be accurate!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware, версия 1.61.0.1400
Wise Registry Cleaner 6.21
Adobe Flash Player 11.2.202.235
````````Process Check: objlist.exe by Laurent````````
EyeDefender EyeDefender.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

[S.R]

Андрэй, В следующий пост прикрепите так же логи RSIT и TDSSKiller.

Повторите полное сканирование в MBAM и удалите только данные элементы

Код:

Обнаруженные ключи в реестре:  5
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\Raskrutka_Zarabotok_s_evizitor.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKCU\SOFTWARE\ADWare (Malware.Trace) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS (Rootkit.TmpHider) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET (Rootkit.TmpHider) -> Действие не было предпринято.

Обнаруженные папки:  1
C:\Documents and Settings\Пользователь\Application Data\FieryAds (Adware.FieryAds) -> Действие не было предпринято.

Обнаруженные файлы:  6
C:\Documents and Settings\Пользователь\Application Data\fieryads.dat (Adware.FieryAds) -> Действие не было предпринято.
C:\WINDOWS\inf\mdmcpq3.PNF (Rootkit.TmpHider) -> Действие не было предпринято.
C:\WINDOWS\inf\mdmeric3.PNF (Rootkit.TmpHider) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Если вам интересно, по логу MBAM видно, что у вас Stuxnet. Драйвер этого вируса мог ещё остаться, поэтому обязательно сделайте лог TDSSKiller.

[Андрэй]

К сожалению пункт
Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
выполнить не удаётся, видимо не хватает опыта. Вынужден его пропустить.

[Андрэй]

Спасибо большое за оперативную помощь! Ничего подобного никогда не делал! Почему-то получилось 4 лога, отсылаю все.

[S.R]

Андрэй, давайте поступим так:
- папку можете заархивировать и без пароля, благо роботы лабораторий пропускают и так. Известные архиваторы 7-zip и WinRAR.
- полученный архив залейте на файлообменник (http://ifolder.ru/) и пришлите ссылку мне в PM. А дальше уже я отправлю куда следует.

-----------------------------------------------------
up.

Обнаружилась и была вылечена "низкоуровневая" составляющая вируса, это видно по логам. Драйвер Stuxnet'а не обнаружен.

Не забудьте сделать лог RSIT.

[Андрэй]

Пункт 5 по-прежнему не удаётся выполнить, прикрепляю файл здесь.
Высылаю также требуемые логи RSIT и TDSSKiller.
На сколько я понимаю компьютер вылечен, хотя я могу и ошибаться.
Спасибо огромное за помощь!