[iskander-k]

Выложите логи в соответствии с этими инструкциями.

[Neff123]

Сорри, вот логи.

[iskander-k]

Обновление произошло после попытки просмотра видео ?

Попытайтесь удалить Флэш-плеер.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Neff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yYRw3mP2DZ8.exe','');
 QuarantineFile('C:\plg.txt','');
 DeleteFile('C:\plg.txt');
 DeleteFile('C:\Users\Neff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yYRw3mP2DZ8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму


1. Обновите базы АВЗ и переделайте логи.

2.Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".


3.
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[Neff123]

Цитата iskander-k:

Обновление произошло после попытки просмотра видео ? »

Нет не после просмотра видео а скорее после запуска флеш-игрульки

Цитата iskander-k:

Попытайтесь удалить Флэш-плеер. »

Удалил.

Цитата iskander-k:

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму »

Отправил.

Цитата iskander-k:

1. Обновите базы АВЗ и переделайте логи. »

Логи переделал.

Цитата iskander-k:

2.Сделайте еще лог Universal Virus Sniffer (UVS) »

Сделал.

Цитата iskander-k:

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. »

Malwarebytes Anti-Malware (Пробная версия) 1.61.0.1400

Код:

www.malwarebytes.org

Версия базы данных:  v2012.04.18.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 9.0.8112.16421
Neff :: PROBOOK [администратор]

Защитный модуль : Включен 

18.04.2012 21:10:52
mbam-log-2012-04-18 (21-40-38).txt

Тип сканирования:  Полное сканирование 
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  343138
Времени прошло:  28 минут , 17 секунд 

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные ключи в реестре:  0
(Вредоносных программ не обнаружено) 

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено) 

Объекты реестра обнаружены:  8
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{141863CF-0462-4087-93FE-3A7D8EDF4795}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3F22F183-A2AE-42D5-A2AB-942D0E95748A}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{61061F30-C7E9-4C9A-A46B-2AF95577B004}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{72611217-BDE7-4416-87CA-DBAAF2A18F09}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{74ACA593-BFD9-4C9A-A7EB-D4F32B670B69}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B00F4CB8-218F-4A13-A9C4-2C512314514A}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B5C51716-2E41-4E1E-913C-D6E1E5EF2A86}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{e29ac6c2-7037-11de-816d-806e6f6e6963}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.

Обнаруженные папки:  0
(Вредоносных программ не обнаружено) 

Обнаруженные файлы:  2
C:\Users\Neff\AppData\Local\Temp\msuu0.exe (Trojan.Agent.PCLGen) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

(конец)

[iskander-k]

Удалите всё что нашел МБАМ.

[Neff123]

я удалил - лог видимо не тот прислал - этот долг до удаления он выдал.

[iskander-k]

Что с проблемой ?

Лог RSIT тоже повторите.

И вам нужно будет поменять все ваши пароли.

Пойманный вами зловред ворует пароли.

[Neff123]

Dr.web перестал после перезагрузки находить троянца. Хром не работает по прежнему. Лог RSIT прилагаю.

[iskander-k]

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\TEMP\w4oumK97.sys','');
 DeleteFile('C:\Windows\TEMP\w4oumK97.sys');
 DeleteFileMask('C:\Users\Neff\AppData\Roaming\kdVabhN80voa2t6', '*.*', true);
 DeleteDirectory('C:\Users\Neff\AppData\Roaming\kdVabhN80voa2t6');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторить логи АВЗ и РСИТ.

Если хром не заработает - удалите его - через панель -скачайте заново и снова установите.

Радмин вы устанавливали ?