Добрый день.

От знакомого поступила просьба о помощи. Нет доступа к адресу login.vk.com, соответственно нельзя зайти вконтакт. Так же нет возможности скачать ни один из известных антивирусов.
Т.к. мы находимся далеко друг от друга, мне пришлось зайти на его компьютер при помощи radmin через Hamachi.
CureIt был запущен. Все что найдено, удалено.
Файл host исправен.
DataBasePath ссылается на %SystemRoot%\System32\drivers\etc.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes очищен.

Заранее спасибо.

Прошу прощения за орфографию.

Смотрю логи

Спасибо.

Выполните скрипт в AVZ
Begin
RegSearch('HKLM', '', 'espF2B1');
SaveLog(GetAVZDirectory + 'avz01.log');
RegSearch('HKLM', '', 'espED40');
SaveLog(GetAVZDirectory + 'avz02.log');
end.


выложите лог в теме

выполните скрипт

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Temp\usgthrsvc\Ntf6.tmp','');
QuarantineFile('C:\WINDOWS\System32\ipbootp.dll','');
QuarantineFile('C:\Program Files\Google\GoogleToolbarNotifier\swg-5.3.4501.1418\SearchWithGoogleUpdate.exe','');
QuarantineFile('c:\docume~1\__!~1\locals~1\temp\espf2b1.tmp','');
QuarantineFile('c:\docume~1\__!~1\locals~1\temp\esped40.tmp','');
DeleteFile('c:\docume~1\__!~1\locals~1\temp\espf2b1.tmp');
DeleteFile('c:\docume~1\__!~1\locals~1\temp\esped40.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


Комп перезагрузится
выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на quarantine<at>virusnet.info с указанием ссылки на тему в поле заголовка(теме) сообщения.. (at=@)
результаты проверки сообщите в теме.

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете, если не знаете - то не трогайте). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://www.malwarebytes.org/mbam/database/mbam-rules.exe)

Соединение разорвалось. Выложу примерно через час. Извините за задержку.

Логи

Выполните скрипт в AVZ

begin
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Control\Print\Providers\3DA32B7F','');
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet002\Control\Print\Providers\3DA32B7F','');
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Control\Print\Providers\3DA32B7F','');
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Control\Print\Providers\F1F3BC9C','');
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet002\Control\Print\Providers\F1F3BC9C','');
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Control\Print\Providers\F1F3BC9C','');
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Control\Print\Providers\3DA32B7F','');
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet002\Control\Print\Providers\3DA32B7F','');
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Control\Print\Providers\3DA32B7F','');
end.

Повторите лог: virusinfo_syscure.zip

И лог MBAM выложите

Что с проблемами?

Выполнил скрипт.
Сканирование MBAM еще не делал.
По проблемам: ничего не изменилось.
Постоянно рвется соединение.

выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\DOCUME~1\__!~1\LOCALS~1\Temp\espF2B1.tmp');
BC_DeleteFile('C:\DOCUME~1\__!~1\LOCALS~1\Temp\espED40.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


Комп перезагрузится

повторите лог скрипта№2 из стандартных скриптов: (virusinfo_syscheck.zip), тот быстрее выполняется чем третий.
и выложите в теме
Вы все скрипты из пятого поста выполняли(а не только самый первый)?
карантин отправили?

Доделал сканирование MBAM (правда обновить не удалось), вот лог. Окно висит открытое - напишите что удалять.
из пятого поста делал все
карантин отправлял

Удалите в MBAM
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные файлы:
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.


93.188.162.79,93.188.161.12 - это ваши IP - адреса?

И выполните скрипт из предыдущего поста и выложите лог

93.188.162.79,93.188.161.12 - это ваши IP - адреса? »
нет не мои и не адреса зараженного ПК

Тогда удаляйте в MBAM и это:

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.79,93.188.161.12 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{5620d314-3bf7-499d-a2d2-272f12ce6ea9}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.79,93.188.161.12 -> No action taken.

Компьютер после перезагрузки не входит в хамачи. Так что скрипт и логи будут только завтра.
Как только появиться информация тут же напишу в тему.
Большое спасибо за помощь.