[Farger]

Здравствуйте,

Сделайте логи согласно этим правилам с подключенной флешкой.

[zirreX]

Необходимо отключить автозапуск со всех устройств, кроме CD-DVD привода.

Скопируйте этот текст в блокнот и сохраните под любым именем с расширением .reg
Запустите этот файл и подтвердите внесение информации в реестр.

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000dd

Вставьте все заражённые флешки и подготовьте логи по правилам раздела

[Dead_Rocker]

Проделал все операции, выкладываю логи.

[Farger]

C:\Windows\SysWOW64\nvinit.dll проверьте на virustotal и ссылку на результат запостите здесь


1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\user\AppData\Roaming\Pqieit.exe','');
DeleteFile('C:\Users\user\AppData\Roaming\Pqieit.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pqieit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Сделайте лог HJT

4. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

5. Обновите AVZ и повторите логи AVZ+RSIT

[Dead_Rocker]

Ссылка на проверенный файл:
http://www.virustotal.com/file-scan/...d53-1302789445

Почистил ATF cleaner,запустил AVZ с первым скриптом:

Цитата Farger:

begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\user\AppData\Roaming\Pqieit.exe',''); DeleteFile('C:\Users\user\AppData\Roaming\Pqieit.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pqieit'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. »

Тут же вылезла ошибка "Программа AVZ не работает" и программа закрывается.

Кстати, после первой проверки флешка на ноутбуке стала нормально восприниматься, т.е. папки - это уже папки, а не ярлыки.

[Farger]

Здравствуйте,

Из скрипта AVZ уберите строку

Цитата:

SearchRootkit(true, true);

и выполните скрипт.

[Dead_Rocker]

Создалась папка Quarantine,но в ней нет ни одного файла, даже скрытого. Это нормально?

[SolarSpark]

Dead_Rocker, значит, что файлы в карантин не попали.. Антивирь отключали?

Цитата Farger:

3. Сделайте лог HJT »

Цитата Farger:

5. Обновите AVZ и повторите логи AVZ+RSIT »

[Dead_Rocker]

SolarSpark, отключал (nod 32,anti-malware).