[powernic]

пока сканирую 1 компьютер программой Malwarebytes, провел проверку и очистку на другом моём зараженном компьютере, вот присылаю вам логи

[SolarSpark]

тот же салити, правда неактивный уже.. лечились салитикиллером?

у нас правило: новый пк-новая тема. Если вас не затруднит, создайте для этого компа новую тему с логами, иначе каша будет, тем более, что заражение идентичное

[powernic]

Да лечил салитикилером. можете отправить мне скрипт для 2 компа на лс??

[SolarSpark]

во-первых, в лс мы не лечим!
во-вторых, скрипт мною уже составлен, осталось дело за вами, создать новую тему и добавить уже собранные вами логи-дело одной минуты
в-третьих, скорее всего понадобится корректировочное лечение, я же ваше лечение вести буду и запрашивать повторные логи стану не для забавы ради, а для проверки качества лечения и чистоты системы

[powernic]

ок, сейчас создам

[powernic]

итак, вот результаты

[alex_sev]

1. Скачайте архив с утилитой Registry Search и распакуйте его в отдельную папку на рабочем столе.
2. Запустите утилиту.
3. В верхнем окне, предназначенном для поиска введите:
   
   Код:

   C:\WINDOWS\C:\WINDOWS\system32\svchost.exe

4. Нажмите кнопку "OK".
5. В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение.

Скопируйте следующий текст в Блокнот и сохраните файл под именем Sharedaccess.reg:

Код:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Обеспечивает поддержку служб трансляции адресов, адресации и разрешения имен или предотвращает вторжение служб в домашней сети или сети небольшого офиса."
"DisplayName"="Брандмауэр Windows/Общий доступ к Интернету (ICS)"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000000
"Type"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002cd0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Дважды щелкните файл Sharedaccess.reg для внесения его содержимого в реестр и создания записи брандмауэра Windows.
Перезагрузите Windows.
Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.
В командной строке введите следующую команду и нажмите клавишу ВВОД:

Код:

Netsh firewall reset

Повторите сканирование в MBAM и удалите:

Код:

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Действие не было предпринято.

[powernic]

Все!! спасибо большое

[alex_sev]

А это где? Быстро вы лечения заканчиваете.

Цитата alex_sev:

Скачайте архив с утилитой Registry Search и распакуйте его в отдельную папку на рабочем столе »

[powernic]

всмысле где?? в реестре!!