[Katharsis]

Цитата dimentiys:

Подскажите как логи тут прикрепить к сообщению? »

справа есть кнопка "прикрепить файл"

[dimentiys]

а ёпт,эт експлоер не всё отображать начал((((

[zirreX]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

• Внимание! Если у вас установлен Webmoney Keeper - сохраните ключи в файл!

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[dimentiys]

вродь всё нормализовалось но проверьте логи

[zirreX]

1) Очистите временный файлы:
Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью [url="http://www.atribune.org/public-beta/ATF-Cleaner.exe"]ATF Cleaner
Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

2) Удалите в MBAM только эти объекты:

Код:

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tray_ico0 (Trojan.Agent) -> Value: tray_ico0 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tray_ico1 (Trojan.Agent) -> Value: tray_ico1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\l1rezerv.exe (Trojan.Agent) -> Value: l1rezerv.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\w_distrib.exe (Trojan.Agent) -> Value: w_distrib.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysdriver32.exe (Trojan.Agent) -> Value: sysdriver32.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysdriver32_.exe (Trojan.Agent) -> Value: sysdriver32_.exe -> No action taken.

Зараженные файлы:
c:\Windows\update.1\svchost.exe (Trojan.Dropper) -> No action taken.
c:\Windows\update.tray-1-0-lnk\svchost.exe (Trojan.Dropper) -> No action taken.
c:\Windows\update.tray-2-0-lnk\svchost.exe (Trojan.Dropper) -> No action taken.

После удаления запустите повторное сканирование и прикрепите полученный лог.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и отправьте при помощи формы http://www.oszone.net/virusnet/

3) Лог ComboFix получился неполный, переделайте.

Проверьте на VirusTotal и дайте ссылки на результаты проверок.

Код:

d:\instal games\AVP\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> No action taken.
d:\instal games\AVP\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> No action taken.
d:\instal games\AVP\Phx_data\Res\RICO.exe (Backdoor.Bot) -> No action taken.
d:\instal games\AVP\Phx_data\Res\ss.exe (Backdoor.Bot) -> No action taken.

[dimentiys]

Лог ComboFix у меня после повторного раза такой же остался, а отправить "http://www.oszone.net/virusnet/" сюда не получилось так как мой ник который я здесь ввожу там пишет что он неверный(написание правильное) и на VirusTotal не проверял так как те файлы которые описывались выше я удалил

[zirreX]

Пока рано отмечать тему решенной.

Цитата dimentiys:

а отправить "http://www.oszone.net/virusnet/" сюда не получилось так как мой ник который я здесь ввожу там пишет что он неверный(написание правильное) »

Возможно неверно ввели. Попробуйте еще раз или же отправьте архив quarantine.zip на адрес quarantine<at>safezone.cc (где <at>=@) указав в "теме сообщения" ссылку на эту тему.


После этого деинсталлируйте ComboFix.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Сделайте новые логи AVZ и RSIT.

[dimentiys]

вот

[zirreX]

Отлючите защитное ПО (Антивирус/Файерволл)!

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 ClearQuarantine;
 QuarantineFile('C:\Windows\services32.exe','');
 QuarantineFile('C:\Windows\system32\tmpAB46.tmp','');
 QuarantineFile('C:\Windows\Uninstaller.exe','');
 QuarantineFile('C:\Windows\loader2.exe_ok','');
 QuarantineFile('D:\Instal Games\AVP\Phx_data\Plugins\Phx_SourceSDK.dll','');
 DeleteFile('C:\Windows\services32.exe');
 DeleteFile('C:\Windows\loader2.exe_ok');
 DeleteFile('C:\Windows\system32\tmpAB46.tmp');
 DeleteFile('C:\Windows\w_distrib_iplist.txt');
 DeleteFile('C:\Windows\front_ip_list.txt');
 DeleteFile('C:\Windows\winlog-ids.txt');
 DeleteFile('C:\Windows\winlog-dirs.txt');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4');
 DeleteFileMask('C:\Windows\update.tray-1-0-lnk','*.*', true);
 DeleteFileMask('C:\Windows\update.tray-2-0-lnk','*.*', true);
 DeleteFileMask('C:\Windows\update.tray-1-0','*.*', true);
 DeleteFileMask('C:\Windows\av_ico','*.*', true);
 DeleteFileMask('C:\Windows\update.tray-2-0','*.*', true);
 DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
 DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
 DeleteDirectory('C:\Windows\update.tray-1-0-lnk');
 DeleteDirectory('C:\Windows\update.tray-1-0');
 DeleteDirectory('C:\Windows\av_ico');
 DeleteDirectory('C:\Windows\update.tray-2-0');
 DeleteDirectory('C:\Windows\update.tray-2-0-lnk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

i]После выполнения скрипта компьютер перезагрузится![/i]

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.


Деинсталлируйте Daemon Tools Toolbar.

Повторите логи AVZ & RSIT.