Здравствуйте, есть зараженный компьютер данным червем. В безопасном режиме перезагрузиться не получилось, по этому пришлось только Kaspersky Virus Removal Tool использовать, который обнаружил Net-Worm.Win32.Kido.ih после чего удалил его, поставил 3 заплатки под xp3 от данного червя, теперь прилагаю логи
Остался ли он ещё? Помогите с лечением, если остался пожалуйста

lynxxx, Приветствую. :)

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('presb', 4);
StopService('presb');
SetServiceStart('dllview Controler', 4);
StopService('dllview Controler');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\dllview.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\dllview.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\01.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('dllview Controler');
BC_DeleteSvc('presb');
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Карантин вышлите на http://www.virustotal.com/ru/ результат опубликуйте в виде ссылок.

Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked.

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

Карантин из предыдущего поста отправьте еще на newvirus@kaspersky.com, указав в письме пароль на архив - virus

После выполнения рекомендаций из предыдущего поста не забудьте сделать повторные логи. В AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы).

Скачайте Gmer (http://www.gmer.net/gmer.zip), запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe

при попытке выполнить скрипт в AVZ возникла ошибка http://i.piccy.info/i3/30/aa/e0cb0bce6ec369360f89c2cb6cd2.jpeg
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe такого там нет

lynxxx, Эту строчку нужно фиксить в HiJackThis
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exeЗапустите HiJackThis нажмите кнопку Do a system scan only - найдите после сканирования эту строку, поставьте галочку и нажмите кнопку внизу Fix Checked. :)

профиксил в HiJackThis

lynxxx, Нет, с тех пунктов что у вас на скриншоте снимите, а поставьте здесь.

http://i027.radikal.ru/0905/9a/40909187eebc.png


И перевыполните скрипт для AVZ из комментария 2 (http://forum.oszone.net/post-1125916-2.html)

скрипт выполнил в avz, файл отправил на указанный адрес, вот лог gmer

lynxxx, У вас червь kido, ознакомьтесь с инструкцией (http://forum.kaspersky.com/index.php?showtopic=101154), не забудьте отключить автозапуск (http://forum.oszone.net/showpost.php?p=825101) со съемных носителей, включить брандмауэр windows уберите общий доступ к файлам и принтерам в исключениях брандмауэра, установите обновления
MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx)
MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx)
MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx)
И всё, что предложит http://windowsupdate.microsoft.com
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
gmer.exe -del service cbwlmobk
gmer.exe -del service fpmfu
gmer.exe -del service hyfdllyj
gmer.exe -del service msiscqo
gmer.exe -del service vjwhhuua
gmer.exe -del file "C:\WINDOWS\system32\dtfoj.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\cbwlmobk"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\fpmfu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hyfdllyj"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\msiscqo"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vjwhhuua"
gmer -reboot
И запустите cleanup.bat
Сделайте новые логи AVZ, HijackThis и gmer

не забудьте отключить автозапускуже использовал Flash_Disinfector, надо ли ещё что-то делать с автозапуском?
Брандмауэр не активен:
http://i.piccy.info/i3/61/9b/336fe85abc295d48ff9a1f33f40e.jpeg
при сканировании gmerом:
http://i.piccy.info/i3/c1/39/bc0249715b6187d57a765aabb092.jpeg
Выполнил все рекомендации, логи прилагаю.

lynxxx, В логах ничего плохого, кроме Flash_Disinfector можете применить твик реестра по отключению автозапуска (http://forum.oszone.net/showpost.php?p=825101). Параметры брандмауэра возможно у вас регулируются групповой политикой. Можете воспользоваться утилитой wwdc (http://www.firewallleaktester.com/wwdc.htm), описание здесь (http://saule.sporaw.ru/library/wwdc.html)

Обновите Java Runtime Environment (JRE) (http://java.sun.com/javase/downloads/index.jsp)
Скачайте JavaRA (http://raproducts.org/) здесь (http://raproducts.org/click/click.php?id=1) или здесь (http://prm753.bchea.org/javara.zip)
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) (http://java.sun.com/javase/downloads/index.jsp) с сайта производителя.
Обновите Adobe Acrobat.
Если в hosts файл сами записи не вносили, выполните скрипт
begin
ClearHostsFile;
end.
Запустите в AVZ, Файл - Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Выгрузите драйвер расширенного мониторинга процессов AVZ: запустите AVZ, в меню - AVZM - удалить и выгрузить драйвер расширенного мониторинга процессов и перезагрузите компьютер или выполните скрипт
begin
SetAVZPMStatus(false);
ExecuteStdScr(6);
RebootWindows(true);
end.

Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd
Или сохраните текст ниже как gmer_del.bat
sc delete gmer
del %SystemRoot%\system32\drivers\gmer.sys
del %SystemRoot%\gmer.dll
del %SystemRoot%\gmer.exe
del %SystemRoot%\gmer.ini
del %SystemRoot%\gmer_uninstall.cmd
pause
И запустите gmer_del.bat

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
[QUOTE]

Проблемы ещё наблюдаются?

lynxxx, обновите ваш антивирус. Судя по размерам файлов - это не последняя версия. Надеюсь, ключ у вас есть. Скачать можно здесь (http://www.eset.eu/nod32-download/eav_nt32_rus). Перед установкой деинсталлируйте старую версию полностью.

спасибо большое за помощь! Выполнил все, что вы рекомендовали
Проблемы ещё наблюдаются?с вирусами нет, а вот с брандмауэром, запуском квипа и ещё несколькими приложениями есть проблемы, но об этом наверное не здесь))

lynxxx, брандмауэр Windows у вас не выкл. групповой политикой? Вместо брандмауэра Windows можете использовать например Comodo Firewall или другой. Можем провериться ещё другими утилитами.

Скачайте Malwarebytes' Anti-Malware здесь (http://malwarebytes.gt500.org/mbam-setup.exe), здесь (http://www.besttechie.net/mbam/mbam-setup.exe), здесь (http://www.malwaresupport.com/mbam/program/mbam-setup.exe) или здесь (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe). Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).
Базы МВАМ можно обновить отдельно - downloading the update MBAM (http://malwarebytes.gt500.org/mbam-rules.exe)

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) и здесь (http://support.microsoft.com/kb/310994) - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) (http://support.microsoft.com/kb/310994#) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=535d248d-5e10-49b5-b80c-0a0205368124).
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Скачайте DDS DDS.scr (http://download.bleepingcomputer.com/sUBs/dds.scr), DDS.pif (http://www.forospyware.com/sUBs/dds) или DDS.com (http://www.techsupportforum.com/sectools/sUBs/dds) сохраните на рабочий стол, отключите антивирус и запустите DDS, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение