Всем привет!

С помощью gmer удалось убрать 3 маскированные службы + каспер удалил около 300 вирусов.
sp3 установлен

проверьте пожалуйста логи

Здравствуйте!

C:\WINDOWS\system32\svch2.dll
Проверьте этот файл на www.virustotal.com и дайте ссылку на результат проверки.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\jooke.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\goko.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\demap.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\rujrhkql.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\efiakasc.sys','');
QuarantineFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\lowyfoupi.exe','');
QuarantineFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\kigiquurou.exe','');
QuarantineFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\mouhoohu.exe','');
DeleteFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\mouhoohu.exe');
DeleteFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\kigiquurou.exe');
DeleteFile('C:\Documents and Settings\Владелец\Application Data\Microsoft\lowyfoupi.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\efiakasc.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\rujrhkql.sys');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\demap.exe');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\goko.exe');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\jooke.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','quuquaquip');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','quuquaquip');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','riloosyz');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','riloosyz');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','topam');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','topam');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('j0u2zb9yiyy');
BC_DeleteSvc('niuoa43near');
BC_DeleteSvc('yvaey0ua');
BC_DeleteSvc('efiakasc');
BC_DeleteSvc('rujrhkql');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту (http://www.oszone.net/virusnet/) форму.


Сделайте новые логи AVZ + лог RSIT.

Подготовьте новый лог полного сканирования MBAM.

MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Обновите Internet Explorer до восьмой версии (http://www.microsoft.com/rus/windows/internet-explorer/), даже если используете другой браузер.

Adobe Acrobat обновите до актуальной версии или деинсталлируйте.

C:\WINDOWS\system32\svch2.dll »
его больше нет.

логи

seman, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Владелец\cfhkr.exe ','');
DeleteFile('C:\Documents and Settings\Владелец\cfhkr.exe ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.


Подготовьте новый ло RSIT.
Подготовьте новый лог полного сканирования MBAM. »

Сделали?

Сделали? »
конечно.

Зараженные файлы:
C:\Documents and Settings\All Users\Application Data\common.data (Malware.Trace) -> Quarantined and deleted successfully.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Владелец\Application Data\LH0LEEkfKg.txt');
DeleteFile('C:\Documents and Settings\Владелец\Application Data\bHAN76gd0k.txt');
DeleteFile('C:\Documents and Settings\Владелец\Application Data\BE1Ngd8hig.txt');
DeleteFile('C:\Documents and Settings\Владелец\Application Data\MlDE06imkg.txt');
DeleteFile('C:\Documents and Settings\Владелец\Application Data\idgGK7ljd7.txt');
DeleteFile('C:\Documents and Settings\Владелец\Application Data\kbJbK7e1CN.txt');
DeleteFile('C:\Documents and Settings\Владелец\cfhkr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\rujrhkql.sys');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\MSConfig');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\efiakasc.sys');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rujrhkql');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\efiakasc.sys');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\rujrhkql');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту (http://www.oszone.net/virusnet/) форму.

Подготовьте новый лог RSIT

Сделайте лог полного сканирования MBAM и прикрепите к сообщению.

ComboFix запускали? Если да, то можно взглянуть на лог?

ComboFix запускали? Если да, то можно взглянуть на лог? »

Подготовьте новый лог ComboFix.

Перед запуском выгрузите ваш ESET NOD32 Antivirus 4.0.

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)

seman, будьте внимательны при выполнении повторного лога комбо
AV: ESET NOD32 Antivirus 4.0 *Enabled/Outdated*
в этот раз AV ПО надо отключить!!!!

Arbitr,
он не отключается и еще похоже просрочен.
я его удалю тогда.

combofix

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\windows\002832_.tmp
c:\windows\DUMP66ed.tmp
c:\documents and settings\LocalService\Application Data\Microsoft\huvyfon.exe

Driver::
zu66sxisosu

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5831:TCP"=-

FileLook::
c:\temp\78gps3dd.exe

DirLook::


FCopy::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

c:\temp\78gps3dd.exe - случайно не Dr.Web CureIt?

Сделайте новый лог полного сканирования MBAM и прикрепите к сообщению.

zirreX,
Сделайте новый лог полного сканирования MBAM и прикрепите к сообщению. »
ВСЕ ЧИСТО.

c:\temp\78gps3dd.exe - случайно не Dr.Web CureIt? »
нет. это gmer.

seman, по логу всё в порядке. Есть еще проблемы?

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"
http://virusnet.info/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up


Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Смените пароли.

• Установите антивирусную программу.
• Обновите Internet Explorer до восьмой версии (http://www.microsoft.com/rus/windows/internet-explorer/), даже если используете другой браузер.
• Обновите Adobe Reader до последней версии (http://get.adobe.com/reader/).

zirreX,
все ок. спасибо