[regist]

Здравствуйте. Сейчас посмотрю логи.

Цитата ZZanuda:

файл log.txt почему-то получился очень большой ( 4617 Kb ) и не прикрепляется ((( »

заархивируйте его в архив и прикрепите архивом.

[ZZanuda]

Ок. Попробую.

[regist]

Отключите антивирус/фаервол, интернет;

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*', true);    
 QuarantineFile('vxevjtn.sys','');
 QuarantineFileF('C:\lVadMYqFIp0LyiO','*', true,'',0 ,0);
 QuarantineFileF('C:\Documents and Settings\Марина\Application Data\MicroST','*', true,'',0 ,0);
 QuarantineFileF('C:\Documents and Settings\Марина\Application Data\','*.tmp', false,'',0 ,0);
 DeleteFile('C:\WINDOWS\system32\drivers\vxevjtn.sys');
 DeleteFile('vxevjtn.sys');     
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Марина\Local Settings\Temporary Internet Files\Content.IE5\61KB6DI5\ae1dec2[2].exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Марина\Local Settings\Temp\Temporary Internet Files\Content.IE5\T8RVRV3Z\6a93379[2].exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Марина\Local Settings\Temporary Internet Files\Content.IE5\KHW523GL\c1d5a8f[2].exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Марина\Local Settings\Temp\Temporary Internet Files\Content.IE5\Y3N4IC8X\dcd081c[2].exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Марина\Local Settings\Temporary Internet Files\Content.IE5\KHAJODUB\35e8785[2].exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Марина\Local Settings\Temporary Internet Files\Content.IE5\61KB6DI5\f7c18eb[2].exe');
 DeleteFileMask('C:\lVadMYqFIp0LyiO', '*', true);
 DeleteFileMask('C:\Documents and Settings\Марина\Application Data\MicroST', '*', true);
 DeleteDirectory('C:\lVadMYqFIp0LyiO',' ');
 DeleteDirectory('C:\Documents and Settings\Марина\Application Data\MicroST',' ');
 if MessageDLG('Отключить автозапуск со всех носителей, кроме CD?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);  
 ExecuteWizard('SCU', 2, 3, true);   
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('vxevjtn.sys');
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки AVZ отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

+ Сделайте лог Gmer

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.

[regist]

ZZanuda, я обновил скрипт с учётом информации из лога RSIT, если вы уже успели его выполнить, то выполните его заново, а также я вижу что вы запускали MBAM прикрипите также лог его полного сканирования.

[ZZanuda]

Не могу выполнить обновлённый скрипт в AVZ ((( Дважды пыталась и оба раза всё зависает... В последний раз скрипт выполнялся в течение 12 часов до того, как всё зависло, это так и должно быть, что так долго???

[iskander-k]

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[regist]

ZZanuda, скрипт слегка изменил, попробуйте

Отключите антивирус/фаервол, интернет;

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('vxevjtn.sys','');
 QuarantineFile('C:\Documents and Settings\Марина\Application Data\DatFBCB.tmp','');
 QuarantineFile('C:\Documents and Settings\Марина\Application Data\Dat46.tmp','');
 QuarantineFile('C:\Documents and Settings\Марина\Application Data\Dat45.tmp','');
 QuarantineFile('C:\Documents and Settings\Марина\Application Data\DatFE82.tmp','');
 QuarantineFile('C:\Documents and Settings\Марина\Application Data\Dat6631.tmp','');
 QuarantineFile('C:\Documents and Settings\Марина\Application Data\Dat4A0F.tmp','');
 QuarantineFile('C:\Documents and Settings\Марина\Application Data\Dat4A0E.tmp','');
 QuarantineFile('C:\Documents and Settings\Марина\Application Data\Dat4A0D.tmp','');
 QuarantineFile('C:\Documents and Settings\Марина\Application Data\Dat4A2C.tmp','');
 QuarantineFileF('C:\lVadMYqFIp0LyiO','*', true,'',0 ,0);
 QuarantineFileF('C:\Documents and Settings\Марина\Application Data\MicroST','*', true,'',0 ,0);
 DeleteFile('C:\WINDOWS\system32\drivers\vxevjtn.sys');
 DeleteFile('vxevjtn.sys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Марина\Local Settings\Temporary Internet Files\Content.IE5\61KB6DI5\ae1dec2[2].exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Марина\Local Settings\Temp\Temporary Internet Files\Content.IE5\T8RVRV3Z\6a93379[2].exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Марина\Local Settings\Temporary Internet Files\Content.IE5\KHW523GL\c1d5a8f[2].exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Марина\Local Settings\Temp\Temporary Internet Files\Content.IE5\Y3N4IC8X\dcd081c[2].exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Марина\Local Settings\Temporary Internet Files\Content.IE5\KHAJODUB\35e8785[2].exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Марина\Local Settings\Temporary Internet Files\Content.IE5\61KB6DI5\f7c18eb[2].exe');
 DeleteFileMask('C:\lVadMYqFIp0LyiO', '*', true);
 DeleteFileMask('C:\Documents and Settings\Марина\Application Data\MicroST', '*', true);
 DeleteDirectory('C:\lVadMYqFIp0LyiO',' ');
 DeleteDirectory('C:\Documents and Settings\Марина\Application Data\MicroST',' ');
 if MessageDLG('Отключить автозапуск со всех носителей, кроме CD?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 ExecuteWizard('SCU', 2, 3, true);
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('vxevjtn.sys');
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.


+ сделайте лог Gmer и пополните базу AVZ, эти рекомендации внизу предыдущего поста.

[ZZanuda]

вот лог MBAM

[regist]

C:\Avenger\ что это у вас за папка? что там?
жду выполнения остальных указаний.