подозрение на вирусы и шпионские трояны [Trojan.MSIL.Crypt.gxy, Trojan.Win32.Jorik.Mokes.aeu ]

[thyrex]

Читайте по ссылке

Удалите в МВАМ все найденное

[Vladomir12]

Вообще то я уже проверил в быстром варианте,так как ошибки были только на диске С. Удалил.
Теперь загрузил combofix. Надеюсь отослать его лог.

- - - Добавлено - - -

Выслал лог Combofix

- - - Добавлено - - -

выслал лог combofix и лог mbam после удаления ошибок

[Techno]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C:.

Код:

KillAll::

File::


Driver::


NetSvc::


Folder::


Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^115.tmp]

[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^11E.tmp]

[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^13.tmp]

[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^132.tmp]

[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^13B.tmp]

[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^1A.tmp]

[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^1F.tmp]

[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^2C.tmp]

[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^3A.tmp]

[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^4E.tmp]

[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^5F.tmp]

[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^6D.tmp]

[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^81.tmp]

[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^8A.tmp]

[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^9B.tmp]

[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^B.tmp]
FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[Vladomir12]

Файл оказался не в директории С:\, а в директории С:\ComboFix\.
Если это тот файл, то он в приложении. После выполнения программы комп пришлось перегружать через кнопку резет, так как "выключение компьютера висело более тридцати минут".

[Techno]

Сделайте новый лог combofix.

[Vladomir12]

лог после новой проверки. По ходу дела вчера подцепил вирус блокиратор, который в реале заблокировал компьютер. Требовал 50 евро через код Paysafecard. Блокировал конкретно. Спас Касперский Rescue Disk.

[Никита Соловьев]

Сделайте ещё раз отчёты AVZ.

[Vladomir12]

Готово.

[Никита Соловьев]

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msooutt.bat','');
 QuarantineFile('C:\Documents and Settings\Владимир\diskc_.exe','');
 DeleteFile('C:\Documents and Settings\Владимир\diskc_.exe');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msooutt.bat');
 DeleteFileMask('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp','*.*',true);
 SetServiceStart('mnmsrvc', 4);
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.

Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.

[Vladomir12]

все сделал.

[Никита Соловьев]

Пофиксите:

Код:

O4 - HKLM\..\Policies\Explorer\Run: [64381] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msooutt.bat

Повторите отчёт hijackthis.

[Vladomir12]

готово

[Никита Соловьев]

Выполните скрипт в AVZ:

Код:

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','64381');
 ExecuteRepair(6);
 RebootWindows(false);
end.

Компьютер перезагрузится.
Повторите отчёт hijackthis ещё раз.

[Vladomir12]

Скрипт был выполнен успешно. Программа АВЦ закрылась и долго ждал пока перезагрузится комп. Не дождался, вручную перезагрузил. При перезагрузке выскочил синий экран ошибки виндовс. Может надо было еще ждать. Только долго он вообще ничего не производил.
Еще я заметил, что в трее пропал значок переключения регистра клавиатуры. Заметил в предыдущий раз, думал, что после перезагрузки он вернется. Нет не вернулся.
Лог прикрепил. Спасибо.

[Никита Соловьев]

Мне кажется или Вы прикрепляете один и тот же отчёт hijackthis? Под словом "повторите" понимается повторная проверка и получение отчёта.

[Vladomir12]

Нет. Все логи после проведения проверок программами. Один и тот же в принципе быть не может, так как старые логи я закидываю в отдельную папку. Могу их сразу все прикрепить.
Спасибо.

[Никита Соловьев]

Выполните ещё раз проверку МВАМ и прикрепите отчёт. Меня интересует только диск C:, сканируйте только его для экономии времени.

По поводу языковой панели:

Щелкните правой клавишей мыши на панели задач, из списка "панели инструментов" выберите "языковая панель".
Если не помогло, нажмите пуск - выполнить и введите ctfmon.exe
Панель появилась?

[Vladomir12]

Да, значок регистра появился.
лог прикреплен.
Спасибо

[Никита Соловьев]

Удалите то, что нашёл МВАМ.

[Vladomir12]

удалил