[cash2hash]

Еще почему-то теперь еще не могу попасть на сайты помощи)))
kaspersky-911.ru и на drweb.ru

[Farger]

Здравствуйте,

Сейчас проверю логи.

[Farger]

Файл c:\windows\miner2.exe проверьте на virustotal и дайте ссылку на результат.

У вас Windows сборка?

C:\СЕТКА- что в папке?

Диск с дистрибутивом Windows у вас есть?


1. Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Пофиксить в HJT

Код:

 	
F2 - REG:system.ini:UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\aejslao.dat,

3. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\systemup.exe');
TerminateProcessByName('c:\windows\sysdriver32.exe');
TerminateProcessByName('c:\windows\update.tray-2-0\svchost.exe');
TerminateProcessByName('c:\windows\update.1\svchost.exe');
TerminateProcessByName('c:\windows\update.tray-2-0-lnk\svchost.exe');
TerminateProcessByName('c:\windows\update.2\svchost.exe');
TerminateProcessByName('c:\windows\update.5.0\svchost.exe');
TerminateProcessByName('c:\windows\l1rezerv.exe');
StopService('wxpdrivers');
 StopService('srvsysdriver32');
 StopService('srviecheck');
StopService('srvbtcclient');
QuarantineFile('services32.exe','');
 QuarantineFile('C:\WINDOWS\update.tray-2-0\svchost.exe','');
 QuarantineFile('C:\WINDOWS\systemup.exe','');
 QuarantineFile('C:\WINDOWS\sysdriver32_.exe','');
 QuarantineFile('C:\WINDOWS\services32.exe','');
 QuarantineFile('C:\WINDOWS\l1rezerv.exe','');
 QuarantineFile('C:\WINDOWS\apppatch\aejslao.dat','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\WINDOWS\update.1\svchost.exe','');
 QuarantineFile('C:\WINDOWS\sysdriver32.exe','');
 QuarantineFile('C:\WINDOWS\update.2\svchost.exe','');
 QuarantineFile('C:\WINDOWS\update.5.0\svchost.exe','');
QuarantineFile('c:\windows\systemup.exe','');
QuarantineFile('c:\windows\sysdriver32.exe','');
 QuarantineFile('c:\windows\update.tray-2-0\svchost.exe','');
QuarantineFile('c:\windows\update.1\svchost.exe','');
QuarantineFile('c:\windows\update.tray-2-0-lnk\svchost.exe','');
QuarantineFile('c:\windows\update.2\svchost.exe','');
QuarantineFile('c:\windows\update.5.0\svchost.exe','');
QuarantineFile('c:\windows\miner2.exe','');
 QuarantineFile('c:\windows\l1rezerv.exe','');
QuarantineFile('C:\WINDOWS\btc_client_iplist.txt','');
QuarantineFile('C:\Windows\loader2.exe_ok','');
QuarantineFile('C:\WINDOWS\iecheck_iplist.txt','');
QuarantineFile('C:\WINDOWS\ddh_iplist.txt','');
QuarantineFile('C:\WINDOWS\iplist.txt','');
QuarantineFile('C:\WINDOWS\front_ip_list.txt','');
QuarantineFile('C:\Windows\winlog-ids.txt','');
 QuarantineFile('C:\Windows\winlog-dirs.txt','');
DeleteFile('C:\Windows\winlog-ids.txt');
 DeleteFile('C:\Windows\winlog-dirs.txt');
DeleteFile('C:\WINDOWS\front_ip_list.txt');
DeleteFile('C:\WINDOWS\iplist.txt');
DeleteFile('C:\Windows\loader2.exe_ok');
DeleteFile('C:\WINDOWS\ddh_iplist.txt');
DeleteFile('C:\WINDOWS\iecheck_iplist.txt');
DeleteFile('C:\WINDOWS\btc_client_iplist.txt');
DeleteFile('c:\windows\l1rezerv.exe');
 DeleteFile('c:\windows\update.5.0\svchost.exe');
 DeleteFile('c:\windows\update.2\svchost.exe');
 DeleteFile('c:\windows\update.tray-2-0-lnk\svchost.exe');
 DeleteFile('c:\windows\update.1\svchost.exe');
 DeleteFile('c:\windows\update.tray-2-0\svchost.exe');
 DeleteFile('c:\windows\sysdriver32.exe');
 DeleteFile('c:\windows\systemup.exe');
 DeleteFile('C:\WINDOWS\update.5.0\svchost.exe');
 DeleteFile('C:\WINDOWS\update.2\svchost.exe');
 DeleteFile('C:\WINDOWS\sysdriver32.exe');
 DeleteFile('C:\WINDOWS\update.1\svchost.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\apppatch\aejslao.dat');
 DeleteFile('C:\WINDOWS\l1rezerv.exe');
DeleteFile('C:\WINDOWS\services32.exe');
DeleteFile('C:\WINDOWS\sysdriver32_.exe');
 DeleteFile('C:\WINDOWS\systemup.exe');
DeleteFile('C:\WINDOWS\update.tray-2-0\svchost.exe');
DeleteFile('services32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systemup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.1\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\services32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.2\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.tray-2-0\svchost.exe');
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
DeleteService('wxpdrivers');
DeleteService('srvsysdriver32');
DeleteService('srviecheck');
DeleteService('srvbtcclient');
DeleteFileMask('C:\windows\update.5','*.*', true);
DeleteDirectory('C:\windows\update.5');
DeleteFileMask('C:\windows\update.2','*.*', true);
DeleteDirectory('C:\windows\update.2');
DeleteFileMask('C:\Windows\av_ico','*.*', true);
DeleteDirectory('C:\Windows\av_ico');
DeleteFileMask('C:\windows\update.1','*.*', true);
DeleteDirectory('C:\windows\update.1');
DeleteFileMask('C:\Windows\update.tray-2-0-Ink','*.*', true);
DeleteDirectory('C:\Windows\update.tray-2-0-Ink');
DeleteFileMask('C:\Windows\update.tray-2-0','*.*', true);
DeleteDirectory('C:\Windows\update.tray-2-0');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

4. Пофиксить в HJT

Код:

 	
O4 - HKLM\..\Run: [wxpdrv] C:\WINDOWS\services32.exe
O4 - HKLM\..\Run: [tray_ico0] C:\WINDOWS\update.tray-2-0\svchost.exe
O4 - HKLM\..\Run: [sysdriver32.exe] "C:\WINDOWS\sysdriver32.exe" rezerv
O4 - HKLM\..\Run: [sysdriver32_.exe] "C:\WINDOWS\sysdriver32_.exe" rezerv
O4 - HKLM\..\Run: [l1rezerv.exe] "C:\WINDOWS\l1rezerv.exe"
O4 - HKLM\..\Run: [systemup] "C:\WINDOWS\systemup.exe" stand
O4 - HKLM\..\Run: [l1rezerv.exe] "C:\WINDOWS\l1rezerv.exe"

5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

6. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

7. Повторите логи AVZ+RSIT

[cash2hash]

Спасибо конечно...но я что-то запутался уже на втором пункте....куда вводить код? как профиксить чтоб там галочки появились....ничего не понял.....в общем решил снести винду под чистую....так проще будет
ну все равно спасибо!

[Farger]

Цитата cash2hash:

но я что-то запутался уже на втором пункте....куда вводить код? »

Код никуда вводить не надо. Это я вам выделил строку, которую надо пофиксить в программе HiJackThis (вы ее использовали когда делали логи).

Цитата cash2hash:

как профиксить чтоб там галочки появились »

Просто нажимаете на пункт №2 инструкции:
Как пофиксить в HiJackThis

[cash2hash]

там написано - проведите процедуру сканирования заново, после чего установите галочки на тех строках, которые Вам будут предложены,

вот что-то мне никто ничего не предлагает там и где ставить галочки неясно

[Farger]

Цитата cash2hash:

вот что-то мне никто ничего не предлагает там и где ставить галочки неясно »

Как это не предлагает. Я вас написал, что нужно пофиксить (=поставить галочки)

Итак, перед выполнением скрипта AVZ, запустите HJT, найдите в списке, который появиться после сканирования, строчку

Код:

F2 - REG:system.ini:UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\aejslao.dat,

отметьте ее и нажмите Fix checked!

После этого выполните скрипт AVZ, создайте карантин (все, как написано выше) и после этого снова запустите HJT, и проверьте следующие строки (на их наличие):

Код:

O4 - HKLM\..\Run: [wxpdrv] C:\WINDOWS\services32.exe
O4 - HKLM\..\Run: [tray_ico0] C:\WINDOWS\update.tray-2-0\svchost.exe
O4 - HKLM\..\Run: [sysdriver32.exe] "C:\WINDOWS\sysdriver32.exe" rezerv
O4 - HKLM\..\Run: [sysdriver32_.exe] "C:\WINDOWS\sysdriver32_.exe" rezerv
O4 - HKLM\..\Run: [l1rezerv.exe] "C:\WINDOWS\l1rezerv.exe"
O4 - HKLM\..\Run: [systemup] "C:\WINDOWS\systemup.exe" stand
O4 - HKLM\..\Run: [l1rezerv.exe] "C:\WINDOWS\l1rezerv.exe"

Если что-то будет из вышеперечисленного - отметьте и нажмите Fix checked!