Поймал зловреда. Выйти в безопасный режим не даёт. Прошелся сначала Malwarebytes' Anti-Malware, написало что трояны удалены, затем запустил AVZ 3й скрипт, после нахождения троянов и перезагрузки компа антивири вообще перестали загружаться. Пробил эту блокировку с помощью cureit, затем снова запустил AVZ, который показал опять наличие троянов. C:\Program Files\Common Files\Windows Live\.cache\25e19fac1c9b75c\fssclient_x86.msi/{MS-OLE}/\8 >>>>> Trojan.Kyjak C:\WINDOWS\Installer\103ff8.msi/{MS-OLE}/\7 >>>>> Trojan.Kyjak . Папку .cache очистил вручную, с папкой Installer что делать - не знаю. И в безопасный режим выйти не получается. Помогите вылечиться. Логи прилагаются

c:\program files\Зоркий Глаз\antivirь.exe - что это?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Installer\103ff8.msi','');
QuarantineFile('C:\Program Files\Yota Access\YotaAccessService.exe','');
QuarantineFile('C:\WINDOWS\system32\fsproflt.exe','');
QuarantineFile('c:\program files\msi\easyface logon\autolock\openchmap.exe','');
QuarantineFile('d:\program files\networx\networx.exe','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Зоркий глаз - это простенький антивирь, блокирующий любой автоматический процесс с-на флешке. Кстати благодаря ему я и увидел что комп заражен

Зоркий глаз (http://www.exnax.narod.ru/antivir.htm)

С помощью скрипта пролез в безопасный режим...но вирус жив

Очистите временные файлы.

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=1&act=down), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли.


Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.

Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
Очистка всех предыдущих точек восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.


* Как это сделать, подробно можно прочитать в этой (http://virusnet.info/forum/showthread.php?t=2065) теме.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Installer\103ff8.msi','');
QuarantineFile('C:\System Volume Information\_restore{0174A438-02C7-4F85-99A2-C740B2BCDB2C}\RP104\A0010329.msi','');
DeleteFile('C:\System Volume Information\_restore{0174A438-02C7-4F85-99A2-C740B2BCDB2C}\RP104\A0010329.msi');
DeleteFile('C:\WINDOWS\Installer\103ff8.msi');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com (mailto:newvirus@kaspersky.com). Результаты ответа, сообщите здесь, в теме.


Повторите логи.

Всё предложенное выполнил, скрипты выполнил, но вирус жив

byaka, Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html).

Сделал, прикрепляю

Попробуйте найти этот файлик и удалить. Он скрытый.C:\Documents and Settings\1\ђ Ў®зЁ© бв®«\~WRL2646.tmp

Нашел его на рабочем столе, удалил

Но не помогло :(. Прикладываю лог avz после удаления и перезагрузки

Ау, мастера! Не бросайте меня на пол пути :)
Кстати, этот троян создаёт у меня в папке общие документы исполняемый файл (опознаётся как программа-заставка) под видом папки с именем типа Кино, Книги, Видео....

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://www.malwarebytes.org/mbam/database/mbam-rules.exe).

Програма МБАМ - не любит креки.

• Cкачайте Gmer (http://www.gmer.net/gmer.zip) или с зеркала (http://virusnet.info/soft/gmer.zip). Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

После полного сканирования антималваром показало 5 зараженных файлов, но у меня по этому поводу большие сомнения, особенно с папкой SDFix, поэтому пока удалять не стал (это как уж Вы скажете). При сканировании гмером сначала стема критически ошиблась и перезагрузилась, затем на второй раз зависла в процессе, на 3й всё прошло. логи выложил

но у меня по этому поводу большие сомнения, особенно с папкой SDFix, поэтому пока удалять не стал »Всё правильно, на эту утилиту ругаются антивирусы.
Лог gmer чистый, разве что спрошу, коллекция фотографий ваша?
...
D:\Фотки\с\с\??????????? 333.jpg
D:\Фотки\с\с\??????????? 347.jpg
D:\Фотки\с\с\??????????? 357.jpg
D:\Фотки\с\с\??????????? 450.jpg
D:\Фотки\с\с\??????????? 451.jpg
D:\Фотки\с\с\??????????? 452.jpg
D:\Фотки\с\с\??????????? 460.jpg
D:\Фотки\с\с\??????????? 470.jpg
D:\Фотки\с\с\??????????? 473.jpg
D:\Фотки\с\с\??????????? 478.jpg
...

Да, фотки мои. Так как же мне вылечиться?

PS. Исполняемый файл (зловред) в общих документах поменял своё имя "Книги" на имя "ХХХ". Заманивает, зараза :)))))

У вас расшарена папка Общие документы ?

Да, расшарена. Для wi-fi связи со вторым моим ноутом. Кстати, второй не заразился.

Ну совсем весело :( Обновил сегодня avz и он вообще ничего не нашел, не смотря на то что зловред сидит в общих документах и не удаляется от туда