[zirreX]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

[comixlol]

выключил все. вылезает данная ошибка

Уже сделал все что можно.. даже поместил файлы на карантин касперским.. все равно не могу запускать фалы и сайты

[zirreX]

Пробовали переименовать и запустить?
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
Попробуйте еще раз запустить.

Если так и не удастся запустить ComboFix, скачайте полиморфный AVZ по ссылке и подготовьте логи!

[comixlol]

Полиморфный AVZ не работал. Но после помещения упомянутых в 1 посте файлов на карантин, они оба заработали. Даю логи. После и до переименовании ComboFix не работает. Ошибка та же, что и на скрине

[zirreX]

comixlol, сейчас посмотрю

[zirreX]

Установите Internet Explorer 8 даже если не пользуетесь!

Ваше?
C:\Игры\NevoDRM\run.exe

*Скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)


AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\28a8f991.exe','');
QuarantineFile('C:\WINDOWS\system32\zhmipg.exe','');
QuarantineFile('C:\WINDOWS\system32\idtlgql.exe','');
QuarantineFile('C:\WINDOWS\system32\cewcaac.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\mbr.sys','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\mbr.sys');
DeleteFile('C:\WINDOWS\system32\cewcaac.exe');
DeleteFile('C:\WINDOWS\system32\idtlgql.exe');
DeleteFile('C:\WINDOWS\system32\zhmipg.exe');
DeleteFile('C:\WINDOWS\system32\28a8f991.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Скачайте последнюю версию AVZ, обновите базы (Файл -- обновление баз) и подготовьте повторный лог!!!

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[comixlol]

Цитата Fedin:

Установите Internet Explorer 8 даже если не пользуетесь! »

Сказано - Понято - Сделано

Цитата Fedin:

*Скрипт AVZ Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл) AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". »

Сделано

Цитата Fedin:

После перезагрузки выполните такой скрипт AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". »

Сделано

Цитата Fedin:

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме. »

Ответа на E-mail пока нету

Цитата Fedin:

Скачайте последнюю версию AVZ, обновите базы (Файл -- обновление баз) и подготовьте повторный лог!!! »

Сделано

Цитата Fedin:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. »

Сделано

Насчет
Зараженные файлы:
C:\Program Files\Multi Password Recovery\multi.password.recovery.1.x-2.x-patch.exe (Malware.Packer.Gen) в логе мбама
Это патчер для Multi Password Recovery. Лецензия
http://www.virustotal.com/file-scan/...8be-1287778505

Цитата Fedin:

Ваше? C:\Игры\NevoDRM\run.exe »

Это вроде шло с играми от Алавара. Папка на скан нужна?
Вот на сам файл
http://www.virustotal.com/file-scan/...942-1288475692

[comixlol]

Вот сканирование папки с VirusTotal
http://www.virustotal.com/file-scan/...f31-1288475868

Как Вы видите, после скриптов в AVZ начал работать сайт ВирусТотал и сайт Касперского

[zirreX]

Проверьте на www.virustotal.com
C:\WINDOWS\system32\drivers\vdexodm4.sys
Дайте ссылку на результат проверки

Удалить в MBAM:

Код:

C:\RECYCLER\S-1-5-21-790525478-343818398-682003330-500\Dc31\License\iexplore.exe (Worm.Autorun.B) -> No action taken.
C:\WINDOWS\innounp.exe (Malware.Packer.Gen) -> No action taken.

Рекомендую удалить:

Код:

C:\Program Files\Multi Password Recovery\multi.password.recovery.1.x-2.x-patch.exe (Malware.Packer.Gen) -> No action taken.

Больше в логах ничего нет

Проблема решена?