Помогите разобраться с вирусом

Знач суть проблемы такова:
Аваст постоянно ругается на wscript.exe который лезет на какуюто там страницу.
Папки на любом сменном носителе единожды вставленном в комп получают атрибут “скрытые” и заменяются ярлыками. При этом аваст ругается на autorun.inf тоже связанный с wscript.exe
Невозможно что либо сделать с реестром, ниодна утилита просто не запускается, точнее запускается на долю секунды и сразу закрывается. С командой “Выполнить> regedit” таже шляпа.
Сканирование ничего не показывает.

Основная проблема в том что аваст этот вирус не видит, так как я только что поймал его вторым ноутом при попытке перекинуть данные чтоб переустановить винду. АВ на обоих ноутах обновляется постоянно, соответственно переустанавливать винду смысла нет, что делать незнаю.

Orbital,здравствуйте! Добро пожаловать на форум!
подготовьте логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении.
Если какая-то утилита из представленных не запустится или не будет работать, попробуйте запустить ее в безопасном режиме, если и это не поможет, то сообщите об этом. На время лечения пока не подключайте съемные носители к ПК, позже мы их тоже вылечим.

Вот, вроде все сделал. Malwarebytes’ Anti-Malware и OTL запускаются только в безопасном режиме. Malwarebytes’ Anti-Malware кого-то убил, но Аваст по прежнему регулярно ругается на то что что-то куда-то полезло.

Orbital
Как вариант сделать сканирование при загрузке, т.к. вирус уже активен, аваст его просто так не удалит.

Orbital,проверьте этот файл на вирустотал (https://www.virustotal.com/ru/) и покажите результаты сканирования в следующем сообщении.

C:\Users\Лунагрыз\AppData\Roaming\571\410.js

еще мне интересно, если в этих папках есть исполняемые файлы (с расширением *.exe) или dll-библиотеки, то их тоже проверьте на вирустотал

C:\56d19
C:\Users\Лунагрыз\AppData\Roaming\571

p.s эти файлы являются скрытыми, предварительно включите отображение скрытых файлов и папок

https://www.virustotal.com/ru/file/a0abe7db535b8bc4f212c92732073e6bfd0e9056da4f6a640b6620a59e7e4d0f/analysis/1371563060/

Забавный результат…))
Все остальные файлы вирустотал ничем не заинтересовали.

Было бы не плохо сэмплик в вирлаб Аваста выслать.

Спс.

Orbital, запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

:OTL
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - No CLSID value found.
O4 - HKCU..\Run: [410] C:\Users\Лунагрыз\AppData\Roaming\571\410.js ()
@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:D1B5B4F1

:Files
C:\Users\Лунагрыз\AppData\Roaming\571
C:\56d19

:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

Теперь отключаем автозапуск съемных носителей. Для этого нажмите Пуск->Панель управления → Все элементы панели управления → Автозапуск, снимите флажок «использовать автозапуск для всех носителей и устройств» и нажмите кнопку сохранить.
Теперь вирус с флэш-нокопителя не заразит компьютер, если Вы его не запустите сами. Самый лучший вариант-скопировать нужные файлы на компьютер и отфоратировать флешку.
Если этот компьютер вылечен и больше нет всплывающих сообщений от аваста, то перейдем к лечению второго ПК. Нужны логи по инструкции.
Чтобы аваст начал обнаруживать эти вирусы, запакуйте папку C:_OTL в архив с паролем virus и отправьте в аваст, используя специальную форму: http://www.avast.ru/contact-form.php

[i]All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\410 deleted successfully.
C:\Users\Лунагрыз\AppData\Roaming\571\410.js moved successfully.
ADS C:\ProgramData\TEMP:D1B5B4F1 deleted successfully.
========== FILES ==========
C:\Users\Лунагрыз\AppData\Roaming\571 folder moved successfully.
C:\56d19 folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56502 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Все пользователи

User: Лунагрыз
->Temp folder emptied: 4845240 bytes
->Temporary Internet Files folder emptied: 1081478 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 23522008 bytes
->Flash cache emptied: 56972 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 52648512 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 51233 bytes
RecycleBin emptied: 198912 bytes

Total Files Cleaned = 79,00 mb

Unable to start System Restore Service. Error code 1084

OTL by OldTimer - Version 3.2.69.0 log created on 06182013_181815

Files\Folders moved on Reboot…
C:\Users\Лунагрыз\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files…

Registry entries deleted on Reboot…
[/i]
Вот, все сделал.
Тем не менее, сразу после перезагрузки вылезло окно о том что аваст блокирует вредоносный URL.

http://www.picshare.ru/uploads/130618/2voSak65eK.jpg

Половина программ работает только в безопасном режиме.

Скачайте программу Kaspersky tdsskiller http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe. Нажмите Начать проверку, все, что будет найдено-пробуйте лечить, если лечение невозможно, то ничего не предпринимайте. Прикрепите логи в следующем сообщении.

Сделано, угроз не обнаружено… а окна все всплывают. :frowning:

лог

посмотрим, что найдет CureIt! :wink:
Скачайте сканер Dr.web CureIt! http://www.freedrweb.com/cureit и проведите сканирование. Если что-то будет найдено пробуйте лечить, если лечение невозможно, то переместите в карантин.

Мде, вообще клево. Dr.web CureIt нашел 4 угрозы, все удалил и перезагрузился, после перезагрузки опять вылезло окно “Вредоносный URL блокирован”… не смешно уже :frowning:

Orbital, можете сделать скриншот того, что нашел CureIt? Подготовьте новые логи OTL по инструкции. Проверьте пожалуйста автозагрузку на предмет наличия файлов с расширением *.js.