[alex_sev]

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

[Jester2012]

Логи сделал,что дальше?..

[alex_sev]

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('J:\autorun.inf','');
 QuarantineFile('I:\autorun.inf','');
 QuarantineFile('D:\autorun.inf','');
 DeleteFile('D:\autorun.inf');
 DeleteFile('I:\autorun.inf');
 DeleteFile('J:\autorun.inf');
 DelCLSID('{872b5b88-9db5-4310-bdd0-ac189557e5f5}');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[Jester2012]

Итак,quarantine и virusinfo_cure(повторённый лог) отправлены.
С помощью MBAM удалил выделенные угрозы. Папка всё равно появляется,но теперь без файла.
Вот результаты RSIT и Malwarebytes' Anti-Malware:

[alex_sev]

5 - 10 минут погляжу дам ответ

[alex_sev]

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('d:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx','');
 QuarantineFile('d:\system volume information\_restore{b356252e-03e2-445e-80e6-53db6c023bad}\RP62\A0047265.EXE','');
 QuarantineFile('i:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx','');
 QuarantineFile('c:\WINDOWS\system32\ieunitdrf.inf','');
 QuarantineFile('%USERPROFILE%\Главное меню\Программы\Автозагрузка\dIqjBCK8rz0.exe','');
 DeleteFile('d:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx');
 DeleteFile('d:\system volume information\_restore{b356252e-03e2-445e-80e6-53db6c023bad}\RP62\A0047265.EXE');
 DeleteFile('i:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx');
 DeleteFile('c:\WINDOWS\system32\ieunitdrf.inf');
 DeleteFile('%USERPROFILE%\Главное меню\Программы\Автозагрузка\dIqjBCK8rz0.exe');
 DelCLSID('{A3BC75A2-1F87-4686-AA43-5347D756017C}');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:

R3 - URLSearchHook: (no name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)
O4 - Startup: dIqjBCK8rz0.exe

Повторите лог RSIT

Установите Internet Explorer 8 (даже если им не пользуетесь) + все обновления для него

[Jester2012]

В АВЗ скрипты сделал,отправил архив по форме.
В HJT профиксить не вышло,IE8 установил с обновлениями.
Вот логи RSIT:

[alex_sev]

Папку C:\Rq8BorWWLTv1qrv удалите вручную и понаблюдайте будет снова появляться или нет

[Jester2012]

Ура!Папка больше не появляется!Огромное спасибо за помощь!