Помогите разобраться с вирусом

[Orbital]

Знач суть проблемы такова:
Аваст постоянно ругается на wscript.exe который лезет на какуюто там страницу.
Папки на любом сменном носителе единожды вставленном в комп получают атрибут "скрытые" и заменяются ярлыками. При этом аваст ругается на autorun.inf тоже связанный с wscript.exe
Невозможно что либо сделать с реестром, ниодна утилита просто не запускается, точнее запускается на долю секунды и сразу закрывается. С командой "Выполнить> regedit" таже шляпа.
Сканирование ничего не показывает.

Основная проблема в том что аваст этот вирус не видит, так как я только что поймал его вторым ноутом при попытке перекинуть данные чтоб переустановить винду. АВ на обоих ноутах обновляется постоянно, соответственно переустанавливать винду смысла нет, что делать незнаю.

[Andrey,pro]

Orbital,здравствуйте! Добро пожаловать на форум!
подготовьте логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении.
Если какая-то утилита из представленных не запустится или не будет работать, попробуйте запустить ее в безопасном режиме, если и это не поможет, то сообщите об этом. На время лечения пока не подключайте съемные носители к ПК, позже мы их тоже вылечим.

[Orbital]

Вот, вроде все сделал. Malwarebytes' Anti-Malware и OTL запускаются только в безопасном режиме. Malwarebytes' Anti-Malware кого-то убил, но Аваст по прежнему регулярно ругается на то что что-то куда-то полезло.

[makcunknown]

Orbital
Как вариант сделать сканирование при загрузке, т.к. вирус уже активен, аваст его просто так не удалит.

[Andrey,pro]

Orbital,проверьте этот файл на вирустотал (https://www.virustotal.com/ru/) и покажите результаты сканирования в следующем сообщении.

Code: [Select]

C:\Users\Лунагрыз\AppData\Roaming\571\410.jsеще мне интересно, если в этих папках есть исполняемые файлы (с расширением *.exe) или dll-библиотеки, то их тоже проверьте на вирустотал

Code: [Select]

C:\56d19
C:\Users\Лунагрыз\AppData\Roaming\571p.s эти файлы являются скрытыми, предварительно включите отображение скрытых файлов и папок

[Orbital]

https://www.virustotal.com/ru/file/a0abe7db535b8bc4f212c92732073e6bfd0e9056da4f6a640b6620a59e7e4d0f/analysis/1371563060/

Забавный результат..))
Все остальные файлы вирустотал ничем не заинтересовали.

[REDACTED]

https://www.virustotal.com/ru/file/a0abe7db535b8bc4f212c92732073e6bfd0e9056da4f6a640b6620a59e7e4d0f/analysis/1371563060/

Забавный результат..))
Все остальные файлы вирустотал ничем не заинтересовали.

Было бы не плохо сэмплик в вирлаб Аваста выслать.

Спс.

[Andrey,pro]

Orbital, запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

Code: [Select]

:OTL
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - No CLSID value found.
O4 - HKCU..\Run: [410] C:\Users\Лунагрыз\AppData\Roaming\571\410.js ()
@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:D1B5B4F1

:Files
C:\Users\Лунагрыз\AppData\Roaming\571
C:\56d19

:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

Теперь отключаем автозапуск съемных носителей. Для этого нажмите Пуск->Панель управления -> Все элементы панели управления -> Автозапуск, снимите флажок «использовать автозапуск для всех носителей и устройств» и нажмите кнопку сохранить.
Теперь вирус с флэш-нокопителя не заразит компьютер, если Вы его не запустите сами. Самый лучший вариант-скопировать нужные файлы на компьютер и отфоратировать флешку.
Если этот компьютер вылечен и больше нет всплывающих сообщений от аваста, то перейдем к лечению второго ПК. Нужны логи по инструкции.
Чтобы аваст начал обнаруживать эти вирусы, запакуйте папку C:\_OTL в архив с паролем virus и отправьте в аваст, используя специальную форму: http://www.avast.ru/contact-form.php

[Orbital]

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\410 deleted successfully.
C:\Users\Лунагрыз\AppData\Roaming\571\410.js moved successfully.
ADS C:\ProgramData\TEMP:D1B5B4F1 deleted successfully.
========== FILES ==========
C:\Users\Лунагрыз\AppData\Roaming\571 folder moved successfully.
C:\56d19 folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56502 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: Все пользователи
 
User: Лунагрыз
->Temp folder emptied: 4845240 bytes
->Temporary Internet Files folder emptied: 1081478 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 23522008 bytes
->Flash cache emptied: 56972 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 52648512 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 51233 bytes
RecycleBin emptied: 198912 bytes
 
Total Files Cleaned = 79,00 mb
 
Unable to start System Restore Service. Error code 1084
 
OTL by OldTimer - Version 3.2.69.0 log created on 06182013_181815

Files\Folders moved on Reboot...
C:\Users\Лунагрыз\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Вот, все сделал.
Тем не менее, сразу после перезагрузки вылезло окно о том что аваст блокирует вредоносный URL.



Половина программ работает только в безопасном режиме.

[Andrey,pro]

Скачайте программу Kaspersky tdsskiller http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe. Нажмите Начать проверку, все, что будет найдено-пробуйте лечить, если лечение невозможно, то ничего не предпринимайте. Прикрепите логи в следующем сообщении.

[Orbital]

Сделано, угроз не обнаружено... а окна все всплывают.

[Orbital]

лог

[Andrey,pro]

посмотрим, что найдет CureIt! 
Скачайте сканер Dr.web CureIt! http://www.freedrweb.com/cureit  и проведите сканирование. Если что-то будет найдено пробуйте лечить, если лечение невозможно, то переместите в карантин.

[Orbital]

Мде, вообще клево. Dr.web CureIt нашел 4 угрозы, все удалил и перезагрузился, после перезагрузки опять вылезло окно "Вредоносный URL блокирован"... не смешно уже 

[Andrey,pro]

Orbital, можете сделать скриншот того, что нашел CureIt?  Подготовьте новые логи OTL по инструкции. Проверьте пожалуйста автозагрузку на предмет наличия файлов с расширением *.js.