При запуске приложений Windows активизируется вирус

[van]

Вот новый лог, сделан уже после запуска вирусов

[Bratez]

Опять на диске G: зараза!
Оставьте его подключенным, но не открывайте.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\bamgxhdk\jdevihmb.exe');
 DeleteFile('G:\autorun.inf');
 DeleteFile('G:\RECYCLER\S-2-6-52-2387763087-2417313274-034722120-4114\ClBqPTOa.exe');
 DeleteFileMask('C:\Program Files\bamgxhdk', '*.*',true);
 DeleteFileMask('G:\RECYCLER', '*.*',true);
 DeleteDirectory('C:\Program Files\bamgxhdk');
 DeleteDirectory('G:\RECYCLER');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[van]

Сделал.
Вот новые логи

[Bratez]

Чисто.

[van]

Скорее всего, потому что я не запускал ещё ни одной программы, вызывающей запуск вируса.

Что я сделал сейчас: попытался открыть обычную фотографию на компьютере, открылась как обычно, в ACDSee, но снова появился процесс opera.exe (4400КБ) и всё по новой (создалась папка в Program Files, в автозагрузке файл, в папке ACDSee файл acdseemgr.exe...)

Новые логи прикрепляю.

Может, что-нибудь в реестре править нужно чтоб избавиться окончательно от болезни?

[thyrex]

Диск G - это что? Подключите его при выполнении скрипта

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\bamgxhdk\jdevihmb.exe');
 DeleteFile('G:\RECYCLER\S-2-8-82-7858346758-6181540405-336047145-5046\rMlcBPdT.exe');
 DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[van]

Диск G - это флешка.

Сделал новые логи.

[thyrex]

Удалите в МВАМ только указанные ниже записи

Код:

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{7A33CE9E-4F33-4B4E-B263-6AEEAB6C3DC2} (Adware.BDSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7A33CE9E-4F33-4B4E-B263-6AEEAB6C3DC2} (Adware.BDSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5BECD27B-DCF5-4DEF-B066-486A47245C03} (Adware.BDSearch) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{3A8C9D89-3271-45F4-98C0-56B0F5A16172} (Adware.BDSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2923508C-9425-4A61-B9CE-A98239055916} (Adware.BDSearch) -> No action taken.
HKEY_CLASSES_ROOT\BarBroker.BDBroker.1 (Adware.BDSearch) -> No action taken.
HKEY_CLASSES_ROOT\BarBroker.BDBroker (Adware.BDSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{A7F05EE4-0426-454F-8013-C41E3596E9E9} (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{D12F94FA-FC9A-41F7-B808-7FBB419DD7A6} (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{009A8246-AB0A-4111-A53D-B78A929D3EF8} (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\BaiduBar.Tool.1 (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\BaiduBar.Tool (Trojan.Cinmus) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A7F05EE4-0426-454F-8013-C41E3596E9E9} (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{B580CF65-E151-49C3-B73F-70B13FCA8E86} (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\BaiduBarX.ToolBand.1 (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\BaiduBarX.ToolBand (Trojan.Cinmus) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B580CF65-E151-49C3-B73F-70B13FCA8E86} (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{E5D5D4A1-17F0-41D7-B1C6-0979F91E6F46} (Adware.BDSearch) -> No action taken.
HKEY_CLASSES_ROOT\BaiduBarEx.BDHomePage.2 (Adware.BDSearch) -> No action taken.
HKEY_CLASSES_ROOT\BaiduBarEx.BDHomePage (Adware.BDSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{E5D5D4A1-17F0-41D7-B1C6-0979F91E6F46} (Adware.BDSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{77FEF28E-EB96-44FF-B511-3185DEA48697} (Trojan.Cinmus) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_CURRENT_USER\Software\baidu (Adware.Bdsearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Baidu (Trojan.Cinmus) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BaiduBarX (Adware.BDSearch) -> No action taken.

Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B580CF65-E151-49C3-B73F-70B13FCA8E86} (Trojan.Cinmus) -> Value: {B580CF65-E151-49C3-B73F-70B13FCA8E86} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B580CF65-E151-49C3-B73F-70B13FCA8E86} (Trojan.Cinmus) -> Value: {B580CF65-E151-49C3-B73F-70B13FCA8E86} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Заражённые папки:
c:\documents and settings\администратор\application data\Baidu (Trojan.Cinmus) -> No action taken.
c:\documents and settings\администратор\application data\Baidu\Toolbar (Trojan.Cinmus) -> No action taken.
c:\documents and settings\администратор\application data\Baidu\Toolbar\downloadtmp (Trojan.Cinmus) -> No action taken.

Заражённые файлы:
c:\documents and settings\администратор\application data\ntuser.dat (VirTool.Obfuscator) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\jdevihmb.exe (Spyware.Zbot) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\PKey.exe (PUP.PSWTool.ProductKey) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\qlrbxpve.exe (Spyware.Zbot) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\svchostmgr.exe (Spyware.Zbot) -> No action taken.
c:\WINDOWS\MSPocnra.dll (Trojan.Hiloti) -> No action taken.
c:\WINDOWS\pss\jdevihmb.exestartup (Spyware.Zbot) -> No action taken.
g:\RECYCLER\s-2-8-82-7858346758-6181540405-336047145-5046\wLJRmumF.cpl (Virus.Ramnit) -> No action taken.
g:\RECYCLER\s-2-0-25-2184051220-7858662275-404467602-5217\sKykPifJ.exe (Spyware.Zbot) -> No action taken.
g:\RECYCLER\s-2-0-25-2184051220-7858662275-404467602-5217\jdsdhYiF.cpl (Virus.Ramnit) -> No action taken.
g:\ALL\REX\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Conficker) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\documents and settings\администратор\application data\Baidu\Toolbar\logex.dat (Trojan.Cinmus) -> No action taken.
c:\documents and settings\администратор\application data\Baidu\Toolbar\namedsites.dat (Trojan.Cinmus) -> No action taken.
c:\documents and settings\администратор\application data\Baidu\Toolbar\downloadtmp\version.xml (Trojan.Cinmus) -> No action taken.

[van]

Готово. Однако проблема с приложениями осталась.

[thyrex]

Сделайте лог ComboFix

[van]

Началось сканирование, файл regedit.exe is infected - после этого началась попытка создания точки восстановления, однако места на диске не хватает для этого.

Вопрос: есть ли какой-нибудь другой способ обнаружения вируса? Может, повторное сканирование mbam поможет?

На всякий снова сделал логи.

[thyrex]

однако места на диске не хватает для этого.

Освободите место. Вообще системный раздел не рекомендуется забивать под завязку

[van]

Раздел диска составляет 6 Гб, из них бОльшую часть занимает Windows, остальное "съел" вирус.

В моем случае поможет только переустановка системы?

[thyrex]

6ГБ на системном разделе - это несерьезно

В моем случае поможет только переустановка системы?

Как вариант - да. Ибо причина появления вируса заново неясна

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 16
• В ходе лечения вредоносные программы в карантинах не обнаружены