"В районе эпидемия. Поголовные прививки." :)

Началось после того, как ява-машина попросилась проапдэйтиться и я разрешил.
Начало всплывать красное окно про то что не надо ходить besprutaness.com/knok.php&id=SYSTEM!... IP 193.105.174.51:80. Параллельно отвалился доступ к некоторым сайтам, особенно антивирусным. А так же к обновлениям НОДа.
Нашёл 2 файлика в System32 один с набором цифр 55e691689.exe, другой с набором букв rvwwau.exe, удалил.
Так же пофиксил в HiJack строку F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\55e691689.exe,C:\WINDOWS\system32\rvww au.exe,
Красное окно про besprutaness перестало всплывать, некоторые сайты заработали, но Нод с апдэйтами и Др. Веб. не видятся.
Плюс дико сыпется трафик с customer.teliacarrier.com, с deploy.akamaitechnologies.com и т.д.

Логи с помощью AVZ сделайте

Вот

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sys-up.exe','');
QuarantineFile('C:\Documents and Settings\RMS\Application Data\bit.exe','');
QuarantineFile('C:\windows\svcr.exe','');
DeleteFile('C:\windows\svcr.exe');
DeleteFile('C:\Documents and Settings\RMS\Application Data\bit.exe');
DeleteFile('C:\WINDOWS\system32\sys-up.exe');
DelCLSID('{2bf41070-b2b1-21d1-b5c1-0305f4055515}');
DelCLSID('{6741E630-6B08-7B91-5062-388BE69A5E8B}');
DelCLSID('{DFD223E7-13AF-8D17-D9A9-05DEFA2352E1}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте через форму (http://support.kaspersky.ru/virlab/helpdesk.html).
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.

Сделайте новые логи

Отпустило вроде! Спасибо!!!

Плохого не видно

Блин! Опять напали! Вот логи AVZ. HijackThis не запускается.

Стоит Eset Smart Sequrity (НОД с файрволом), на момент нападения были самые свежие обновления.
Может кто-нибудь скажет, что это, через какую дыру лезет и почему ни один антивирус до сих пор не реагирует на это? Эдак каждую неделю можно лечиться!

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cuehdx.exe','');
QuarantineFile('C:\WINDOWS\system32\18f4f8f3.exe','');
DeleteFile('C:\WINDOWS\system32\18f4f8f3.exe');
DeleteFile('C:\WINDOWS\system32\cuehdx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте через форму (http://support.kaspersky.ru/virlab/helpdesk.html).
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.

Сделайте новые логи

Скачайте RSIT (http://www.virusnet.info/random/RSIT.exe) или c зеркала (http://images.malwareremoval.com/random/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

При первом исполнении, на середине, скрипт повесил машину. Второй раз прошёл.

Пофиксите в HiJack
O20 - Winlogon Notify: reset5e - Invalid registry found
O20 - Winlogon Notify: Winohk32 - Invalid registry found

Ветку реестра [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{6741E630-6B08-7B91-5062-388BE69A5E8B}] удалите вручную

Файл C:\Program Files\Common Files\keylog.txt и папку C:\Program Files\Common Files\wm удалите вручную

Проблема решена?

Пофиксил, вручную удалил. А вот ветку реестра такую не обнаружил.

Вроде отпустило.

Так, всё-таки, что это такое и как от этого уберечься?

Так, всё-таки, что это такое и как от этого уберечься? »Как показывает практика подобных тем. Пока никах, минимизировать риск заражения можно, регулярно проверяясь различными сканерами, также обновлять базы антивирусника и главное не лазить по сомнительным сайтам. :)

У меня, конкретно, под видом апдэйта к яве пролезло. Те карантины, что отправлял касперу до сих пор "исследуются" без ответа.
В общем "... презерватив, бинт, йод, эпоксидка и, главное, никаких сношений!".

Не обидитесь, если я подожду с недельку, прежде чем отметить тему, как "решённую"?

Не обидитесь, если я подожду с недельку, прежде чем отметить тему, как "решённую"? »Без проблем. :yes: