вирус- что ни один антивирус не помогает.

[Rakhim]

компьютер сам перезагружается, не включает рабочий стол вообще(выдает просто черный экран) через диспетчер задач самостоятельно включаю "explorer.exe" так же не могу включить regedit, пишет что я не админ, пытался почистить комп Kaspersky Virus Removal Tool не получилось т.к как только программа находит вирус комп перезагружается, то же самое и с TDSSKiller//

когда делал проверку AutoLogger так же неожиданно после нажатия Accept комп перезапустился...

 

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[mike 1]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

ExecuteAVUpdate;

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 TerminateProcessByName('c:\users\rahimka\appdata\local\winlogon.exe');

 TerminateProcessByName('c:\users\rahimka\appdata\local\services.exe');

 TerminateProcessByName('c:\users\rahimka\appdata\local\lsass.exe');

 TerminateProcessByName('c:\users\rahimka\appdata\local\csrss.exe');

 QuarantineFile('C:\Users\Rahimka\documents\documents.exe','');

 QuarantineFile('C:\Users\Rahimka\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com','');

 QuarantineFile('C:\Windows\eksplorasi.exe','');

 QuarantineFile('C:\Windows\ShellNew\sempalong.exe','');

 QuarantineFile('C:\Users\Rahimka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif','');

 QuarantineFile('C:\Users\Rahimka\AppData\Local\smss.exe','');

 QuarantineFile('c:\users\rahimka\appdata\local\winlogon.exe','');

 QuarantineFile('c:\users\rahimka\appdata\local\services.exe','');

 QuarantineFile('c:\users\rahimka\appdata\local\lsass.exe','');

 QuarantineFile('c:\users\rahimka\appdata\local\csrss.exe','');

 DeleteFile('C:\Users\Rahimka\AppData\Local\csrss.exe','32');

 DeleteFile('c:\users\rahimka\appdata\local\lsass.exe','32');

 DeleteFile('c:\users\rahimka\appdata\local\services.exe','32');

 DeleteFile('c:\users\rahimka\appdata\local\winlogon.exe','32');

 DeleteFile('C:\Users\Rahimka\AppData\Local\smss.exe','32');

 DeleteFile('C:\Users\Rahimka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif','32');

 DeleteFile('C:\Windows\ShellNew\sempalong.exe','32');

 DeleteFile('C:\Windows\eksplorasi.exe','32');

 DeleteFile('C:\Users\Rahimka\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com','32');

 DeleteFile('C:\Windows\Tasks\At1.job','32');

 DeleteFile('C:\Windows\system32\Tasks\At1','32');

 DeleteFile('C:\Users\Rahimka\documents\documents.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Bron-Spizaetus');     

BC_ImportAll;

ExecuteSysClean;

ExecuteWizard('SCU', 2, 2, true);

BC_Activate;

 ExecuteRepair(8);

 ExecuteRepair(13);     

 ExecuteRepair(16);

 ExecuteRepair(17);     

RebootWindows(false);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

[Rakhim]

KLAN-1901997281  

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинетаhttps://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

Brengkolang.com,
csrss.exe,
documents.exe,
eksplorasi.exe,
Empty.pif,
lsass.exe,
sempalong.exe,
services.exe,
smss.exe,
winlogon.exe - Email-Worm.Win32.Brontok.q

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


LANG: ru
email:

description:
Выполняется запрос хэлпера

Загруженные файлы:
quarantine.zip

 

______________________________________

CollectionLog-2014.08.25-23.01.zip

[mike 1]

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.apeha.ru

 

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

 

[Rakhim]

все сделал как было велено)

MBAM-log-2014-08-26 (01-01-52).txt

[thyrex]

Удалите в МВАМ только указанные ниже записи

Обнаруженные папки: 6
C:\Users\Rahimka\AppData\Local\Bron.tok-11-18 (Worm.Brontok) -> Действие не было предпринято.
C:\Users\Rahimka\AppData\Local\Bron.tok-11-19 (Worm.Brontok) -> Действие не было предпринято.
C:\Users\Rahimka\AppData\Local\Bron.tok-11-20 (Worm.Brontok) -> Действие не было предпринято.
C:\Users\Rahimka\AppData\Local\Bron.tok-11-21 (Worm.Brontok) -> Действие не было предпринято.
C:\Users\Rahimka\AppData\Local\Bron.tok-11-24 (Worm.Brontok) -> Действие не было предпринято.
C:\Users\Rahimka\AppData\Local\Bron.tok-11-25 (Worm.Brontok) -> Действие не было предпринято.
 
Обнаруженные файлы: 23
C:\Users\Rahimka\AppData\Local\inetinfo.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\TDSSKiller_Quarantine\25.08.2014_14.59.39\uds0000\file0000\tsk0000.dta (Trojan.Dropper) -> Действие не было предпринято.
C:\TDSSKiller_Quarantine\25.08.2014_14.59.39\uds0001\file0000\tsk0000.dta (Trojan.Dropper) -> Действие не было предпринято.
C:\TDSSKiller_Quarantine\25.08.2014_17.24.26\uds0000\file0000\tsk0000.dta (Trojan.Dropper) -> Действие не было предпринято.
C:\TDSSKiller_Quarantine\25.08.2014_17.24.26\uds0001\file0000\tsk0000.dta (Trojan.Dropper) -> Действие не было предпринято.

[mike 1]

Проверьте любой из этих файлов на VirusTotal

Обнаруженные файлы:
C:\Users\Rahimka\Documents\BioWare\Mass Effect 2\BIOGame\Config\Config.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Users\Rahimka\Documents\BioWare\Mass Effect 2\BIOGame\Profile\Profile.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Users\Rahimka\Documents\BioWare\Mass Effect 2\Save\Shep_11__080814\Shep_11__080814.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Config\Config.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Localization\INT\INT.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Users\Rahimka\Documents\NFS Most Wanted\Rakhim\Rakhim.exe (Trojan.Dropper) -> Действие не было предпринято.

[Rakhim]

 

Проверьте любой из этих файлов на VirusTotal

Обнаруженные файлы:
C:\Users\Rahimka\Documents\BioWare\Mass Effect 2\BIOGame\Config\Config.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Users\Rahimka\Documents\BioWare\Mass Effect 2\BIOGame\Profile\Profile.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Users\Rahimka\Documents\BioWare\Mass Effect 2\Save\Shep_11__080814\Shep_11__080814.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Config\Config.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Localization\INT\INT.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Users\Rahimka\Documents\NFS Most Wanted\Rakhim\Rakhim.exe (Trojan.Dropper) -> Действие не было предпринято.

 спасибо большое за помощь,все удалил, все отлично)

[Roman_Five]

новый лог MBAM прикрепите.

[Rakhim]

вот

MBAM-log-2014-08-26 (13-57-47).txt

[mike 1]

Любой из этих файлов проверьте на VirusTotal:

C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Config\Config.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Localization\INT\INT.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Users\Rahimka\Documents\NFS Most Wanted\Rakhim\Rakhim.exe (Trojan.Dropper) -> Действие не было предпринято.

[Rakhim]

так и на всех других файлах

 

[mike 1]

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

 

begin
QuarantineFile('C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Config\Config.exe','');
QuarantineFile('C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Localization\INT\INT.exe','');
QuarantineFile('C:\Users\Rahimka\Documents\NFS Most Wanted\Rakhim\Rakhim.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.

 

quarantine2.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

В MBAM удалите:

 

Обнаруженные файлы:  10
C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Config\Config.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Localization\INT\INT.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Users\Rahimka\Documents\NFS Most Wanted\Rakhim\Rakhim.exe (Trojan.Dropper) -> Действие не было предпринято.
E:\Users\Rahim_ka\AppData\Roaming\OpenCandy\F4E076F7920D4FCDB2060E4073B4CD1D\DeltaTB.exe (PUP.Optional.Delta.A) -> Действие не было предпринято.