[S.R]

Здравствуйте,
сейчас посмотрю логи.

[S.R]

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\.System\S-1-6-21-2434476501-1644491937-600003330-1213\Autorun.exe','');
 QuarantineFile('c:\documents and settings\ev\application data\lsass.exe','');
 QuarantineFileF('D:\.System', '*', true, '', 0, 0);
 QuarantineFile('winupd32.exe','');
 QuarantineFile('C:\DOCUME~1\ev\LOCALS~1\Temp\RarSFX3\GENPWDM.SYS','');
 QuarantineFile('C:\Documents and Settings\ev\Application Data\2.exe','');
 DeleteFile('D:\.System\S-1-6-21-2434476501-1644491937-600003330-1213\Autorun.exe');
 DeleteFile('c:\documents and settings\ev\application data\lsass.exe');
 DeleteFile('C:\Documents and Settings\ev\Application Data\2.exe');
 DeleteFile('winupd32.exe');
 DelCLSID('{EBCEBE30-6FAD-0DEC-5CDE-CEAA1C3EFA5B}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Defender');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','WinUpd');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','D:\.System\S-1-6-21-2434476501-1644491937-600003330-1213\Autorun.exe');
 DeleteFileMask('D:\.System', '*', true);
 DeleteDirectory('D:\.System');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(16);
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT +

• Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
• Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
• После сканирования откроется лог. Сохраните его и прикрепите к сообщению.

Вам знаком сайт _lionko.lv_?

[robotov]

Вам знаком сайт _lionko.lv_? - Да, это корпоративный домен, из под него и сижу.

Пока ждал ответа, посмотрел аналогичные темы, запустил Malwarebytes' Anti-Malware, правда в быстром режиме, нашел 4 вредоносных проги, так что логи будут немного не соответствовать.
новые логи прикрепил, файл quarantine.zip не отправляется через вебформу, прикрепил его сюда- он маленький. Если надо, могу отправить по почте на quarantine@safezone.cc

Полное сканирование Malwarebytes' Anti-Malware поставлю на ночь. и лог прикреплю в след. сообщении.

Спасибо за скорую помощь)

[robotov]

забыл еще один

[S.R]

В карантин ничего не попало. В следующий раз не прикрепляйте его к сообщениям.

Файлы

Код:

C:\DOCUME~1\ev\LOCALS~1\Temp\RarSFX3\GENPWDM.SYS
C:\DOCUME~1\ev\LOCALS~1\Temp\Rar$EX00.329\SETUP2.exe

проверьте на virustotal.com. Результат скопируйте/вставьте сюда.

Выполните скрипт в AVZ:

Код:

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\ev\Application Data\2.exe');
end.

Повторите лог RSIT. Ждём лог MBAM.

[robotov]

Цитата S.R:

проверьте на virustotal.com »

Эти файлы на компе не обнаружены. совсем. и в скрытых папках тоже.
Скрипт выполнен без ошибок.
Логи RSIT и MBAM приложены.
Но, вообще то уже все работает.
Подчищаем остатки)
Огромное спасибо за поддержку.

[S.R]

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\ev\Application Data\2.exe');
 DeleteFile('C:\Documents and Settings\ev\Local Settings\Application Data\Thinstall\Cache\Stubs\d913b30629cdf9d1d8a5816b657645fae6c046\Rx2Engine.exe');
 DeleteFile('C:\Documents and Settings\ev\Local Settings\Application Data\Thinstall\Cache\Stubs\65ccbc1da95a6e87ac45f28979124276129e8\Rx2AutoUpd.exe');
 DeleteFile('C:\Documents and Settings\ev\Local Settings\Application Data\Thinstall\Cache\Stubs\6403e0968b32b0246ec474246b57c93a4ce0cd\Rx2Agent.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Windows Defender');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Повторите лог RSIT.

[robotov]

готово.

[S.R]

Вирус полез вновь.

Скачайте SecurityCheck by screen317 по одной из этих ссылок на рабочий стол.

• SecurityCheck.exe
• SecurityCheck.exe

Запустите программу, после появления консоли нажмите на любую клавишу для начала сканирования.
Дождитесь завершения сканирования и формирования лога. Скопируйте/вставьте содержимое лога утилиты в следующее сообщение.

1. Установите Service Pack 3 (если не установлен) + все последующие обновления.
2. Установите Internet Explorer 8.

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile(RegKeyStrParamRead('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\E1xyXv6W6I0.exe','');
 QuarantineFileF('C:\Documents and Settings\ev\Application Data\MicroST', '*', true, '', 0, 0);
 DeleteFile(RegKeyStrParamRead('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\E1xyXv6W6I0.exe');
 DeleteFileMask('C:\Documents and Settings\ev\Application Data\MicroST', '*', true);
 DeleteDirectory('C:\Documents and Settings\ev\Application Data\MicroST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
   Код:

   tdsskiller.exe -silent -qmbr -qboot

3. Запустите файл fix.bat;
4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
6. Запустите файл TDSSKiller.exe;
7. Нажмите кнопку "Начать проверку";
8. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
13. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Смените пароли!!!