Помогите,вирус не исчез. [Trojan-Ransom.Win32.Foreign.kwix, P2P-Worm.Win32.Palevo.hoej ]

[aposter]

Пардон за долгое отсутсвие,но проблема так и не решена,после перезагрузки все возвращается на места.Повторил все процедуры со выполнением скрипта AVZ.Сделал полную проверку MBAM ,не помогло.
http://virusinfo.info/showthread.php?t=160921

[Info_bot]

Уважаемый(ая) aposter, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Делайте логи по правилам.

[aposter]

Куда можно загрузить логи автозапуска uVS ?
P.S Если так можно вот:
http://gfile.ru/abRZG
MBAM лог сделать не могу,не открывается..

[mike 1]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;   
 QuarantineFile('E:\Program Files\Common Files\CreativeAudio\spdwznjxt.exe','');
 QuarantineFile('E:\DOCUME~1\ALLUSE~1\msaimqt.exe','');
 QuarantineFile('E:\DOCUME~1\9226~1\LOCALS~1\Temp\windows\winsys.exe','');
 QuarantineFile('E:\DOCUME~1\9226~1\LOCALS~1\Temp\sppp.exe','');
 QuarantineFile('E:\DOCUME~1\9226~1\LOCALS~1\Temp\fsdgs.exe','');
 QuarantineFile('C:\RECYCLER\mscinet.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15454476\654545443.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1162446\6462143.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-115454446\64543143.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-115435446\64543143.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1103311146\614061143.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-103311146\64061143.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-103311146\64061143.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1103311146\614061143.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-115435446\64543143.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-115454446\64543143.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1162446\6462143.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15454476\654545443.exe','32');
 DeleteFile('C:\RECYCLER\mscinet.exe','32');
 DeleteFile('E:\DOCUME~1\9226~1\LOCALS~1\Temp\fsdgs.exe','32');
 DeleteFile('E:\DOCUME~1\9226~1\LOCALS~1\Temp\sppp.exe','32');
 DeleteFile('E:\DOCUME~1\9226~1\LOCALS~1\Temp\windows\winsys.exe','32');
 DeleteFile('E:\DOCUME~1\ALLUSE~1\msaimqt.exe','32');
 DeleteFile('E:\Program Files\Common Files\CreativeAudio\spdwznjxt.exe','32');
 DeleteFile('E:\WINDOWS\Tasks\At1.job','32');
 DeleteFile('E:\WINDOWS\Tasks\At2.job','32');
 DeleteFile('E:\WINDOWS\Tasks\At3.job','32');
 DeleteFile('E:\WINDOWS\Tasks\At4.job','32');
 RegKeyResetSecurity('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a43123');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a413123');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a43135623');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a435454623');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a4624623');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a545435623');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Security Firewall Manager');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftPerfWD');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftStCnt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Service');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','4094607473');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');                           
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
 ExecuteRepair(9);
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

O4 - HKLM\..\Run: [CreativeAudio] "E:\Program Files\Common Files\CreativeAudio\spdwznjxt.exe"
O4 - HKCU\..\Run: [MicrosoftPerfWD] "E:\DOCUME~1\9226~1\LOCALS~1\Temp\fsdgs.exe"
O4 - HKCU\..\Run: [Windows Security Firewall Manager] C:\RECYCLER\mscinet.exe
O4 - HKCU\..\Run: [Windows Update Service] E:\DOCUME~1\9226~1\LOCALS~1\Temp\windows\winsys.exe
O4 - HKCU\..\Run: [CreativeAudio] "E:\Program Files\Common Files\CreativeAudio\spdwznjxt.exe"
O4 - HKCU\..\Run: [a43135623] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-115435446\64543143.exe
O4 - HKCU\..\Run: [a545435623] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15454476\654545443.exe
O4 - HKCU\..\Run: [MicrosoftStCnt] "E:\DOCUME~1\9226~1\LOCALS~1\Temp\sppp.exe"
O4 - HKCU\..\Run: [a435454623] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-115454446\64543143.exe
O4 - HKCU\..\Run: [a4624623] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1162446\6462143.exe
O4 - HKCU\..\Run: [a413123] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1103311146\614061143.exe
O4 - HKCU\..\Run: [a43123] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-103311146\64061143.exe
O4 - HKLM\..\Policies\Explorer\Run: [4094607473] E:\DOCUME~1\ALLUSE~1\msaimqt.exe

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве как подготовить лог UVS

[aposter]

140702_223922_quarantine_53b48a1a32e11.zip
Размер файла 1167292
MD5 07ecfb1127cc7649cc5d63d06951578f

[mike 1]

Лог uVS похоже старый. Сделайте новый лог

[aposter]

Вот
Проблема помоему решена,компьютер не грузится,автозагрузка стандартная(подозрительных процессов нет).

[mike 1]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ;uVS v3.82.5 [http://dsrt.dyndns.org]
   ;Target OS: NTv5.1
   
   OFFSGNSAVE
   breg
   
   addsgn 1A166C9A5583528CF42B254E3143FE84C95AFEF6895B1F7AC4C3F679D9938DC5A6F73EA8C1DC1095D67F7B16D3CEB405825675A6A8254FA598A759D0388F9FBF 8 virus
   
   zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АЛСУ\LOCAL SETTINGS\TEMP\FSDGS.EXE
   bl 6731A93B5A9F3583C7F920F56BC3F7B8 154624
   delall %SystemDrive%\DOCUMENTS AND SETTINGS\АЛСУ\LOCAL SETTINGS\TEMP\FSDGS.EXE
   addsgn 1A7F119A5583C58CF42B831567C81271070914F2FDED9C9088B7C9F424D5428CE0AFC7533E555EF13984849F85AE4DF27DDF2BCA44DEB02CEEFC5B79908DD21B 8 Trojan.Win32.Yakes.fcgo [Kaspersky]
   
   zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\CREATIVEAUDIO\IFBXQLLFF.EXE
   bl 0FF4E2047FA2F5C263E7062AA5013DB4 323072
   delall %SystemDrive%\PROGRAM FILES\COMMON FILES\CREATIVEAUDIO\IFBXQLLFF.EXE
   addsgn 1AC86F9A5583528CF42B254E3143FE84C9A2FFF68959FF54C7C34CB18CFA334CAA021B7B7C551454FFACC69FCF2399D63FDF614F99F6F22C4BFBB1D7EB442215 8 Win32.HLLW.Autoruner2.1926 [DrWeb]
   
   zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\CREATIVEAUDIO\IJIUJSNJB.EXE
   bl 22289D1622FF8F2C41F7FDE558933BF8 303104
   delall %SystemDrive%\PROGRAM FILES\COMMON FILES\CREATIVEAUDIO\IJIUJSNJB.EXE
   delall %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.URL
   delall C:\RECYCLER\MSCINET.EXE
   bl 7A14248212100E80F05EBE4BAB17CE58 173568
   delall %SystemDrive%\DOCUMENTS AND SETTINGS\АЛСУ\LOCAL SETTINGS\TEMP\ADOBE\READER_SL.EXE
   delall %SystemDrive%\PROGRAM FILES\COMMON FILES\CREATIVEAUDIO\SPDWZNJXT.EXE
   addsgn 1AAE129A5583528CF42B627DA804DEC9A5F0F2F3FCEB79F3189F3A43AF56BE4EA3F03DE401BE992F90BF97F9CF8B1705822031DF0B254FD3965BFF6EC7DFC7FA 8 Trojan.Win32.Yakes.fgrp [Kaspersky]
   
   zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\10.EXE
   bl CAF4F85D83442F793817F43167426334 317952
   delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\10.EXE
   delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\16.EXE
   bl 36B94E15EB02D55365222DDA252952C4 205824
   delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\C731200
   clrmd
   chklst
   delvir
   
   deltmp
   delnfr
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над первым сообщением в теме.

Сделайте лог полного сканирования MBAM

[aposter]

После вышеуказанных действий,windows перестал грузиться фон "приветствия" завис,так же не открывался в безопасном режиме..пришлось переустановить систему.Огромное спасибо за помощь!

[mike 1]

Жалко.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 32
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\recycler\mscinet.exe - P2P-Worm.Win32.Palevo.hoej
  2. c:\recycler\s-1-5-21-0243556031-888888379-781863308-103311146\64061143.exe - Backdoor.Win32.Azbreg.aady ( AVAST4: Win32:Malware-gen )
  3. c:\recycler\s-1-5-21-0243556031-888888379-781863308-1103311146\614061143.exe - Backdoor.Win32.Azbreg.aadz
  4. c:\recycler\s-1-5-21-0243556031-888888379-781863308-115435446\64543143.exe - Backdoor.Win32.Azbreg.aadf ( BitDefender: Gen:Variant.Zusy.97667, AVAST4: Win32:Malware-gen )
  5. c:\recycler\s-1-5-21-0243556031-888888379-781863308-115454446\64543143.exe - Worm.Win32.Hamweq.pmu ( BitDefender: Trojan.GenericKD.1736069 )
  6. c:\recycler\s-1-5-21-0243556031-888888379-781863308-1162446\6462143.exe - Worm.Win32.Hamweq.pmv ( BitDefender: Trojan.GenericKD.1736572 )
  7. c:\recycler\s-1-5-21-0243556031-888888379-781863308-15454476\654545443.exe - Worm.Win32.Hamweq.pmw ( BitDefender: Trojan.GenericKD.1736070, AVAST4: Win32:Malware-gen )
  8. e:\program files\common files\creativeaudio\spdwznjxt.exe - Trojan-Ransom.Win32.Foreign.kwix ( BitDefender: Trojan.GenericKD.1710673, AVAST4: Win32:Crypt-RAU [Trj] )