Вирус дописывает java script на всех страницах, во всех браузерах [Backdoor.Win32.ZAccess.dkth ]

[KirillVin1981]

Добрый день,
Вирус дописывает код java script ко всеи страницам, на всех брайзерах.

[Info_bot]

Уважаемый(ая) KirillVin1981, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

1. Выполните скрипт в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 QuarantineFile('C:\Documents and Settings\All Users\Local Settings\Temp\msutvock.com','');
 QuarantineFile('C:\DOCUME~1\info4\LOCALS~1\Temp\wjdpviy.exe','');
 QuarantineFile('C:\DOCUME~1\info4\LOCALS~1\Temp\winlogon.exe','');
 DeleteFile('C:\DOCUME~1\info4\LOCALS~1\Temp\winlogon.exe','32');
 DeleteFile('C:\DOCUME~1\info4\LOCALS~1\Temp\wjdpviy.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Local Settings\Temp\msutvock.com','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AdobeFlash');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','56582');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
 ExecuteRepair(10);
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

2. Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

3. Затем выполните такой скрипт AVZ. На рабочем столе появится текстовый файл Correct_wuauserv&BITS прикрепите его.

4. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2481034&CUI=UN35541430091477021
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\info4\LOCALS~1\Temp\winlog on.exe,
O4 - HKLM\..\Run: [AdobeFlash] C:\DOCUME~1\info4\LOCALS~1\Temp\wjdpviy.exe noproxy noicon hide nolog hosts=C:\DOCUME~1\info4\LOCALS~1\Temp\ibaqjez noddns noftp nopop3 nosmtp
O4 - HKLM\..\Policies\Explorer\Run: [56582] C:\Documents and Settings\All Users\Local Settings\Temp\msutvock.com

Этот ProxyServer = 5.9.238.23:808 прокси сервер сами прописывали?

5. Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

6. Сделайте лог полного сканирования MBAM (http://virusinfo.info/showthread.php?t=53070)

[KirillVin1981]

Михаил, добрый день,

Все сделал по вашей инструкции.
Прокси не прописывал.
Оставил на ночь проверяться MBAM, комп всю ночь рассылал спам (если я правильно понял, порядка 500 входящих сообщений - невозможно доставить).

[mike 1]

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Код:

Обнаруженные ключи в реестре:  5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dealply (PUP.DealPly.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\tolko ti (Trojan.StartPage.ooo) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\miss zaglotnik (Trojan.Agent.VBS) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*202EETADPUG (Rootkit.0Access) -> Действие не было предпринято.

Обнаруженные параметры в реестре:
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1M1F1J1T -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|56582 (Trojan.Agent) -> Параметры: C:\Documents and Settings\All Users\Local Settings\Temp\msutvock.com -> Действие не было предпринято.

Обнаруженные папки:

C:\Program Files\rib\tolko (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\minet\miss (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\Dealply (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\Dealply\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data (PUP.Optional.PriceGong.A) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Documents and Settings\info4\Local Settings\Application Data\Google\Desktop\Install\{960041ca-301c-9f98-b731-0b868c018026}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\GoogleUpdate.exe (Malware.Packer.ASF) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Local Settings\Temp\msrizxaz.scr (Trojan.Crypt.NKN) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Local Settings\Temp\mssiyir.com (Trojan.Crypt.NKN) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Local Settings\Temp\msuvaj.cmd (Trojan.Crypt.NKN) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Local Settings\Temp\msybxq.cmd (Trojan.Crypt.NKN) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\Dealply\UpdateProc\UpdateTask.exe (PUP.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Local Settings\Application Data\Google\Desktop\Install\{960041ca-301c-9f98-b731-0b868c018026}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\U\00000004.@ (Rootkit.Zaccess) -> Действие не было предпринято.
C:\Documents and Settings\info4\Local Settings\Application Data\Google\Desktop\Install\{960041ca-301c-9f98-b731-0b868c018026}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\U\000000cb.@ (Rootkit.0Access) -> Действие не было предпринято.
C:\Documents and Settings\info4\Local Settings\Application Data\Google\Desktop\Install\{960041ca-301c-9f98-b731-0b868c018026}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\U\80000000.@ (Trojan.0Access) -> Действие не было предпринято.
c:\program files\google\desktop\install\{960041ca-301c-9f98-b731-0b868c018026}\   \   \*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\u\00000004.@ (Rootkit.Zaccess) -> Действие не было предпринято.
c:\program files\google\desktop\install\{960041ca-301c-9f98-b731-0b868c018026}\   \   \*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\u\000000cb.@ (Rootkit.0Access) -> Действие не было предпринято.
c:\program files\google\desktop\install\{960041ca-301c-9f98-b731-0b868c018026}\   \   \*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\u\80000000.@ (Trojan.0Access) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc11.exe (Trojan.Agent.ED) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc12.exe (Trojan.Buterat) -> Действие не было предпринято.
C:\WINDOWS\assembly\GAC\Desktop.ini (Rootkit.0access) -> Действие не было предпринято.
C:\WINDOWS\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\Program Files\rib\tolko\okkkeeeyy.vbs (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rib\tolko\10101001010100101010.ooo (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rib\tolko\gogorun.bat (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rib\tolko\lllll.ggggg (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rib\tolko\malenkiversion.lub (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rib\tolko\maromoika.foi (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rib\tolko\tseplyat_telok.vbs (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rib\tolko\Uninstall.exe (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rib\tolko\Uninstall.ini (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\minet\miss\horocho_bistro.bat (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\kjb4rtiyugwuiytefwil45hyopwegtruowet.sdfhisaugf (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\lock_docg_snop_dog.rrr (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\palachi_na_dibah.hhhh (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\shabash.log (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\smoki_mo_mo_mo.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\trehochkovi_ne_dlya.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\Uninstall.exe (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\Uninstall.ini (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\Dealply\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\Dealply\UpdateProc\TTL.DAT (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\1.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\a.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\b.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\c.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\d.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\e.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\f.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\g.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\h.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\i.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\j.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\k.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\l.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\m.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\mru.xml (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\n.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\o.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\p.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\q.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\r.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\s.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\t.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\u.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\v.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\w.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\x.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\y.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Documents and Settings\info4\Application Data\PriceGong\Data\z.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

1. Скачайте TDSSKiller
2. Запустите файл TDSSKiller.exe.
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. Самостоятельно без указания консультанта ничего не удаляйте!!!
9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
10. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

[KirillVin1981]

От интернета нужно отключиться?
На почту идет бесконечным потоком - Mail delivery failed: returning message to sender

[mike 1]

Да лучше отключиться.

[KirillVin1981]

Добрый день,

Логи вложением.

[mike 1]

1. Отключите восстановление системы, затем удалите все точки восстановления системы. Потом включите обратно и создайте новую точку восстановления системы.

2. Запакуйте целиком эту C:\TDSSKiller_Quarantine папку с паролем virus и пришлите согласно приложения 2 "Прислать запрошенный карантин".

3. Удалите в MBAM:

Код:

C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

4. Проверьте эти файлы на virustotal

Код:

C:\Documents and Settings\info4\Application Data\HoolappForAndroid\Hoolapp.exe
C:\Program Files\Sigma-Soft\ORM32\OrmAdm32.dll

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

[KirillVin1981]

https://www.virustotal.com/ru/file/1...is/1378887423/

https://www.virustotal.com/ru/file/1...is/1378888437/

[KirillVin1981]

https://www.virustotal.com/ru/file/1...is/1378888994/

https://www.virustotal.com/ru/file/1...is/1378888907/

[mike 1]

Удалите в MBAM:

Код:

Обнаруженные параметры в реестре:  1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Hoolapp Android (PUP.Optional.InstallCore.A) -> Параметры: "C:\DOCUME~1\info4\APPLIC~1\HOOLAP~1\Hoolapp.exe" /Minimized -> Действие не было предпринято.

Обнаруженные файлы:
C:\Documents and Settings\info4\Application Data\HoolappForAndroid\Hoolapp.exe (PUP.Optional.InstallCore.A) -> Действие не было предпринято.

Сделайте новый лог MBAM

[KirillVin1981]

Добрый день,

Готово!

[mike 1]

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Выполните скрипт в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc24.rar','Backdoor.Win32.ZAccess');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc25.rar','Backdoor.Win32.ZAccess');
 DeleteFile('C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc24.rar','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc25.rar','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[KirillVin1981]

Готово!

[mike 1]

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Выполните скрипт в АВЗ:

Код:

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wscsvc исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'Restore.log');
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки: файл Restore.log из папки AVZ прикрепите.

Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 5.9.238.23:808

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- - - Добавлено - - -

+ Не увидел нового карантина.

[KirillVin1981]

сори, карантин отправил.

[mike 1]

Ждем новые логи.

P.S. Во всех карантинах целый зоопарк.

[KirillVin1981]

Сделано!

[mike 1]

Выполните скрипт в AVZ:

Код:

begin   
BackupRegKey('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BITS','Parameters_1');
BackupRegKey('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wuauserv','Parameters_2');
end.

После выполнения в папке avz появится папка Backup в которой будет еще одна папка с датой выполнения этого скрипта, в которой в свою очередь будут reg-файлы. Запакуйте их в архив и прикрепите в сообщении.