[Katharsis]

выполните Правила запроса о помощи

[isaevmark@vk]

вот 4 файла

[Katharsis]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение систем от вредоносных программ и выполните Правила запроса о помощи.
_______________________________________________________

1/ Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Program Files\Up', '*', true, '', 0, 0);
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Mozilla\sqmvzqg.exe','');
 QuarantineFile('C:\Program Files\etc\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\29.tmp','');
 QuarantineFile('c:\documents and settings\admin\application data\nightupdate\svchost.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\eSafe\eGdpSvc.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\qone8.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\1.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-73586283-651377827-682003330-500\Dc10\mac.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-73586283-651377827-682003330-500\Dc10\4konya.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Мои документы\Downloads\~WOTBot.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\khivldl.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Мои документы\Downloads\~WOTBot.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-73586283-651377827-682003330-500\Dc10\mac.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-73586283-651377827-682003330-500\Dc10\4konya.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\khivldl.exe'); 
 DeleteFile('C:\Documents and Settings\Admin\Application Data\1.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\qone8.exe');
 DeleteFile('c:\documents and settings\admin\application data\nightupdate\svchost.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','UpdateSvchost');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','UpdateSvchost');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','HKLM');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HKCU');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
 DeleteFile('C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','32');
 DeleteFile('C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','32');
 DeleteFile('C:\WINDOWS\Tasks\BonanzaDealsUpdate.job','32');
 DeleteFile('C:\WINDOWS\Tasks\JetBoost_AutoUpdate.job','32');
 DeleteFile('C:\WINDOWS\Tasks\lvzjtqg.job','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Mozilla\sqmvzqg.exe','32');
 DelCLSID('{2PQ10Y2P-QOKF-1267-5021-HB7G8O5Y8X53}');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\nightupdate', '*', true);
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\nightupdate');
 DeleteFileMask('C:\Program Files\Up', '*', true);
 DeleteDirectory('C:\Program Files\Up');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Обновите базы АВЗ (файл - обновление баз) и сделайте новые логи AVZ и RSIT

3. из найденного Malwarebytes' Anti-Malware удалите все с пометкой (PUP. ...) - адварь
BonanzaDeals предварительно удалите через установку и удаление программ
сделайте лог полного сканирования MBAM

[isaevmark@vk]

Эмм с пометкой PUP??? У меня другое выделено

И новые логи в папке авз не делаются
и quarantine не отправляется

[Katharsis]

Цитата isaevmark@vk:

И новые логи в папке авз не делаются и quarantine не отправляется »

что значит не делаются? обновите базы (файл - обновление баз) и все остальное по инструкции
отправьте карантин через почту: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме

Цитата isaevmark@vk:

Эмм с пометкой PUP »

(PUP.Optional.....) -> Действие не было предпринято.
(PUP.Downloader......) -> Действие не было предпринято.
(PUP.Blabbers) -> Действие не было предпринято.

все подряд удалять не нужно

[isaevmark@vk]

вот они

[isaevmark@vk]

Ого!!! Спасибо вам огромнейшее !!! Яндекс и Контакт заработали!!!! Раньше только с Charles и сидел когда вирус был!!!! Спасибо!!!

[Katharsis]

Цитата:

Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

вы старые логи avz, сделанные до выполнения скрипта. выложите свежие.

[isaevmark@vk]

ну а как сделать новые:???? Базу обновил,Пуск нажал а в папке LOG не новые.