uFast Download Manager снова

[Malkav]

нужна помощь

Вложение 177652

Вложение 177653

Вложение 177654

[Никита Соловьев]

1. Пофиксите в HJT:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\config\SYSTEM~1\APPLIC~1\UFASTD~1\PROPET~1.EXE
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O2 - BHO: MS Media Module - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %APPDATA%\msmedia.dll (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\system32\zlib32.dll

2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows\system32\restorer64_a.exe');
 TerminateProcessByName('c:\windows\system32\config\system~1\applic~1\ufastd~1\propet~1.exe');
 TerminateProcessByName('c:\windows\system32\msmgr.exe');
 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OL9XVJY3\1[4].exe','');
 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OL9XVJY3\1[5].exe','');
 QuarantineFile('C:\Documents and Settings\Римма\Application Data\msmedia.dll','');
 QuarantineFile('C:\WINDOWS\system32\winhelp.exe','');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 QuarantineFile('C:\WINDOWS\mfo.exe','');
 QuarantineFile('C:\Documents and Settings\Римма\Римма.exe','');
 QuarantineFile('C:\WINDOWS\system32\wmmest.dll','');
 QuarantineFile('C:\WINDOWS\system32\restorer64_a.exe','');
 QuarantineFile('C:\WINDOWS\system32\msmgr.exe','');
 QuarantineFile('C:\WINDOWS\system32\config\SYSTEM~1\APPLIC~1\UFASTD~1\PROPET~1.EXE','');
 QuarantineFile('C:\Documents and Settings\Римма\restorer64_a.exe','');
 QuarantineFile('C:\WINDOWS\system32\zlib32.dll','');
 DeleteFile('C:\Documents and Settings\Римма\restorer64_a.exe');
 DeleteFile('C:\WINDOWS\system32\config\SYSTEM~1\APPLIC~1\UFASTD~1\PROPET~1.EXE');
 DeleteFile('C:\WINDOWS\system32\msmgr.exe');
 DeleteFile('C:\WINDOWS\system32\restorer64_a.exe');
 DeleteFile('C:\WINDOWS\system32\wmmest.dll');
 DeleteFile('C:\WINDOWS\mfo.exe');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 DeleteFile('C:\Documents and Settings\Римма\Римма.exe');
 DeleteFile('C:\WINDOWS\system32\winhelp.exe');
 DeleteFile('C:\WINDOWS\system32\zlib32.dll');
 DeleteFile('C:\Documents and Settings\Римма\Application Data\msmedia.dll');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OL9XVJY3\1[5].exe');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OL9XVJY3\1[4].exe');
 DeleteFileMask('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
 DeleteFileMask('C:\WINDOWS\system32\config\SYSTEM~1\APPLIC~1\UFASTD~1','*.*',true);
 DeleteFileMask('%Tmp%','*.*',true);
 DeleteDirectory('C:\WINDOWS\system32\config\SYSTEM~1\APPLIC~1\UFASTD~1');
 DelBHO('{88888888-8888-8888-8888-888888888888}');
 DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer64_a');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Римма');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mfo.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer64_a');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','explore');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','notviz');
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteRepair(13);
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы

Сделайте новые логи

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\римма\restorer64_a.exe - Backdoor.Win32.HareBot.rl ( DrWEB: Trojan.DownLoad.41506, BitDefender: Backdoor.Bot.108440, NOD32: Win32/Wigon.HT trojan, AVAST4: Win32:HareBot [Trj] )
  2. c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\ol9xvjy3\1[4].exe - Trojan.Win32.Sasfis.trz ( DrWEB: Trojan.Spambot.4395, BitDefender: Backdoor.Bot.108676, NOD32: Win32/Agent.NTK trojan, AVAST4: Win32:Malware-gen )
  3. c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\ol9xvjy3\1[5].exe - Trojan-Ransom.Win32.SMSer.rk ( DrWEB: Trojan.Winlock.428, BitDefender: Trojan.Generic.2621266, AVAST4: Win32:Malware-gen )
  4. c:\windows\system32\config\system~1\applic~1\ufast d~1\propetyufastmanager.exe - Trojan-Ransom.Win32.SMSer.ri ( DrWEB: Trojan.Winlock.425, NOD32: Win32/LockScreen.CY trojan, AVAST4: Win32:Malware-gen )
  5. c:\windows\system32\config\system~1\applic~1\ufast d~1\propet~1.exe - Trojan-Ransom.Win32.SMSer.ri ( DrWEB: Trojan.Winlock.425, NOD32: Win32/LockScreen.CY trojan, AVAST4: Win32:Malware-gen )
  6. c:\windows\system32\msmgr.exe - Backdoor.Win32.Knokk.bp
  7. c:\windows\system32\restorer64_a.exe - Backdoor.Win32.HareBot.rl ( DrWEB: Trojan.DownLoad.41506, BitDefender: Backdoor.Bot.108440, NOD32: Win32/Wigon.HT trojan, AVAST4: Win32:HareBot [Trj] )
  8. c:\windows\system32\winhelp.exe - Trojan.Win32.Sasfis.trz ( DrWEB: Trojan.Spambot.4395, BitDefender: Backdoor.Bot.108676, NOD32: Win32/Agent.NTK trojan, AVAST4: Win32:Malware-gen )
  9. c:\windows\system32\wmmest.dll - Trojan-Downloader.Win32.Small.kgl ( DrWEB: Trojan.DownLoad.40730, BitDefender: Trojan.Generic.2507160 )