[zirreX]

Здравствуйте!

Код:

C:\WINDOWS\system32\svch2.dll

Проверьте этот файл на www.virustotal.com и дайте ссылку на результат проверки.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\jooke.exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\goko.exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\demap.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\rujrhkql.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\efiakasc.sys','');
 QuarantineFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\lowyfoupi.exe','');
 QuarantineFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\kigiquurou.exe','');
 QuarantineFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\mouhoohu.exe','');
 DeleteFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\mouhoohu.exe');
 DeleteFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\kigiquurou.exe');
 DeleteFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\lowyfoupi.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\efiakasc.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\rujrhkql.sys');
 DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\demap.exe');
 DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\goko.exe');
 DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\jooke.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','quuquaquip');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','quuquaquip');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','riloosyz');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','riloosyz');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','topam');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','topam');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('j0u2zb9yiyy');
 BC_DeleteSvc('niuoa43near');
 BC_DeleteSvc('yvaey0ua');
 BC_DeleteSvc('efiakasc');
 BC_DeleteSvc('rujrhkql');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.


Сделайте новые логи AVZ + лог RSIT.

Подготовьте новый лог полного сканирования MBAM.

Код:

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Обновите Internet Explorer до восьмой версии, даже если используете другой браузер.

Adobe Acrobat обновите до актуальной версии или деинсталлируйте.

[seman]

Цитата zirreX:

C:\WINDOWS\system32\svch2.dll »

его больше нет.

логи

[goredey]

seman, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\Владелец\cfhkr.exe ','');
 DeleteFile('C:\Documents and Settings\Владелец\cfhkr.exe ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


Подготовьте новый ло RSIT.

Цитата zirreX:

Подготовьте новый лог полного сканирования MBAM. »

Сделали?

[seman]

Цитата goredey:

Сделали? »

конечно.

Код:

Зараженные файлы:
C:\Documents and Settings\All Users\Application Data\common.data (Malware.Trace) -> Quarantined and deleted successfully.

[zirreX]

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Владелец\Application Data\LH0LEEkfKg.txt');
DeleteFile('C:\Documents and Settings\Владелец\Application Data\bHAN76gd0k.txt');
DeleteFile('C:\Documents and Settings\Владелец\Application Data\BE1Ngd8hig.txt');
DeleteFile('C:\Documents and Settings\Владелец\Application Data\MlDE06imkg.txt');
DeleteFile('C:\Documents and Settings\Владелец\Application Data\idgGK7ljd7.txt');
DeleteFile('C:\Documents and Settings\Владелец\Application Data\kbJbK7e1CN.txt');
DeleteFile('C:\Documents and Settings\Владелец\cfhkr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\rujrhkql.sys');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\MSConfig');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\efiakasc.sys');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rujrhkql');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\efiakasc.sys');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\rujrhkql');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Подготовьте новый лог RSIT

Сделайте лог полного сканирования MBAM и прикрепите к сообщению.

ComboFix запускали? Если да, то можно взглянуть на лог?

[seman]

Цитата zirreX:

ComboFix запускали? Если да, то можно взглянуть на лог? »

[zirreX]

Подготовьте новый лог ComboFix.

Перед запуском выгрузите ваш ESET NOD32 Antivirus 4.0.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

[Arbitr]

seman, будьте внимательны при выполнении повторного лога комбо
AV: ESET NOD32 Antivirus 4.0 *Enabled/Outdated*
в этот раз AV ПО надо отключить!!!!

[seman]

Arbitr,
он не отключается и еще похоже просрочен.
я его удалю тогда.