Принесли комп с жалобой на проблемы с интернетом. Сразу же был загрузился с диска KRD, в результате проверки было обнаружено и вылечено порядка 600 гадов. Затем запущено сканирование MBAM, удалил все зараженные объекты. Да, на машине присутствовали два вида защиты, оба функционировали наполовину из-за проблем с испытательным периодом, лицензиями и т.д. Попытка установить KAV2011 завершилась неудачей - программа установки честно предупредила, что машина скорее всего заражена. Ради интереса снова загрузился с KRD - и снова порядка 580-и гадов. MBAM в автозагрузке мужественно борется, блокирует каждые несколько секунд выход на вредоносные веб-сайты, но надо ему помочь.

файловый вирь сидит
рекомендую лечение от файлового вируса (http://safezone.cc/forum/showthread.php?t=54&highlight=%F4%E0%E9%EB%EE%E2%FB%E9+%E2%E8%F0%F3%F1)

Рад вас снова видеть, SolarSpark. Сейчас займусь.

Взаимно) Пройдитесь после куриета SalityKiller

Начал исцелять в system32 всякие Win32.Virut.56. Посмотрим, чем дело закончится.

лечитесь, пока не перестанет утиль находить вирусы, потом скачаете свежий АВз-обновите базы и логи сделаете новые

Пока оставлю комп. Пусть сканирует.
P.S. Пригласили на день рождения, буду позже.

Прогнал SalityKiller (ничего не обнаружил), затем Virutkiller, который обнаружил то, что Cureit отправил на карантин. KAV по-прежнему ставиться не хочет. Прикрепляю новые логи.

а RSIT?

Секунду.
Даже я своим глазом кажись увидел лишнее в папке C:\Users\Админ\AppData\Roaming\ :)

минуту) все вижу

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\windows\system32\config\systemprofile\appdata\roaming\ql2c7wk.exe');
QuarantineFile('c:\windows\system32\config\systemprofile\appdata\roaming\ql2c7wk.exe','');
QuarantineFile('c:\windows\system32\config\systemprofile\appdata\roaming\mousedriver.bat','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\Users\Админ\AppData\Roaming\antm84547.exe','');
QuarantineFile('C:\Windows\system32\tmp2AB9.tmp','');
QuarantineFile('C:\Users\Админ\AppData\Roaming\g2897brw.exe','');
QuarantineFile('C:\Users\Админ\AppData\Roaming\5jntl7de.exe','');
QuarantineFile('C:\Users\Админ\AppData\Roaming\pkxvb07b.exe','');
QuarantineFile('C:\Users\Админ\AppData\Roaming\73fdtiptr.exe','');
QuarantineFile('C:\Windows\system32\AD75D5E7-C628-B85E-E894-46991A48B9E4.txt','');
QuarantineFile('C:\Windows\system32\tmpC2E3.tmp','');
QuarantineFile('C:\Users\Админ\AppData\Roaming\ty0g.exe','');
QuarantineFile('C:\Windows\system32\tmpBC4E.tmp','');
DeleteFile('C:\Windows\system32\tmpBC4E.tmp');
DeleteFile('C:\Users\Админ\AppData\Roaming\ty0g.exe');
DeleteFile('C:\Windows\system32\tmpC2E3.tmp');
DeleteFile('C:\Windows\system32\AD75D5E7-C628-B85E-E894-46991A48B9E4.txt');
DeleteFile('C:\Users\Админ\AppData\Roaming\73fdtiptr.exe');
DeleteFile('C:\Users\Админ\AppData\Roaming\pkxvb07b.exe');
DeleteFile('C:\Users\Админ\AppData\Roaming\5jntl7de.exe');
DeleteFile('C:\Users\Админ\AppData\Roaming\g2897brw.exe');
DeleteFile('C:\Windows\system32\tmp2AB9.tmp');
DeleteFile('C:\Users\Админ\AppData\Roaming\antm84547.exe');
DeleteFile('c:\windows\system32\config\systemprofile\appdata\roaming\ql2c7wk.exe');
DeleteFile('c:\windows\system32\config\systemprofile\appdata\roaming\mousedriver.bat');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteService('MouseDriver');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

C:\Windows\system32\%APPDATA% что в папке?
драйвер мыши вчера устанавливали?

quarantine.zip отправил. Занимаюсь логами.
C:\Windows\system32\%APPDATA% что в папке?
драйвер мыши вчера устанавливали? »
Нет, таких действий не производил. Другой вопрос, что у людей м.б. USB-мышь, я же подключаю к проблемным машинам PS/2, проблем с ними меньше.
Добавлено позже: уже сейчас видно, что MBAM обнаружил 13 инфицированных объектов. После создания лога лечить?

лог выложите, прогу не закрывайте-скажу что удалить.
Сколько мвам сканирует у вас по времени?

Машина мощная, скоро закончит. Выкладываю.

Логи.

удалите найденное в мвам

не ваше?
тогда удаляем ручками
C:\log.tmp
C:\rxak.pif

C:\Windows\system32\%APPDATA%
что в папке?

пробуем установить антивирь и отписываемся о проблеме

C:\log.tmp
C:\rxak.pif »Удалено (с правами администратора), благо в Win7 это реализовано грамотно, в отличие от той же XP. Перезагрузился на всякий. KAV не ставится. Содержимое папки: C:\Windows\system32\%APPDATA%\Microsoft\Windows\IETldCache\index.dat. А в этой папке были два экзешника с харатерными для вирусов именами (удалил, перезагрузился): C:\Windows\system32\config\%APPDATA%\systemprofile\AppData. KAV отказывается устанавливаться.

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." (http://safezone.cc/forum/showthread.php?t=2773)

Во время работы Combofix не раз выкидывал ошибку, что не является приложением Win32, но тем не менее, продолжал свою работу. Получилось или нет, не знаю, но лог был создан: