Здраствуйте.
Кратко опишу проблему: схватил net-worm.win32.Kido.ih( C:\WINDOWS\system32\xynblr.dll) который блокировал инет к сайтам антивирей + Backdoor.win32.ruskill.cfk и Backdoor.win32.Floder.cna во временных папках и корзине. Удалил их kis2012 почистил все временные папки, удалили корзины и точки воостановление, прогнал систему утилитой веба и Malwarebytes' Anti-Malware. Некоторое время все было тихо а вчера по новой повторил вышеописанное + взял калькулятор и переименовал на название и расширение вируса (xynblr.dll) и бросил в system32. Сегодня после часа работы за компом AnVir Task Manager известил что несколько exe (Trojan-Downloader.win32.Genomecjwq,Backdoor.win32.VB.nvf) ломятся , в автозапуск. Каспер их убил и перезагрузил комп. После перезагрузки в автозапуске был найдет еще один левый exe.(Trojan.win32.Inject.bjak) .Его я удалил вручную и тут вэб модуль антивуруса начал через каждые 2-3 мин блокировать выход на вредоносные веб-сайты. Мне это надоело и я написал сюда надеясь на вашу помощь.

Обновите Internet Explorer до IE8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx)

в обязательном порядке скачайте и установите критические обновления (http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=ru&&thankspage=5) windows
особенное внимание обратите на эти заплатки
MS08-067 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx)
MS08-068 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx)
MS09-001 (http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx)
+ к вышесказанным рекомендациям
Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль)

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\windows\system32\xynblr.dll
c:\windows\system32\tmp1F3.tmp
c:\windows\system32\tmp1F2.tmp

NetSvc::
lvuxux
hbtzcpy
ydrbuyztl
qpcmq
bllceairh
pvqiq
srrsjaf
sbctfra
zvnttoojz
qdlgx
fxgfvwjo
uxcirelf
dzbdhtx
txirmwpqc
kmwhttk
qncpvkp
gavvb
yqfhrbu
swpcrqwt
lxmgaznqv
nqkhwle

Driver::
lvuxux
hbtzcpy
ydrbuyztl
qpcmq
bllceairh
pvqiq
srrsjaf
sbctfra
zvnttoojz
qdlgx
fxgfvwjo
uxcirelf
dzbdhtx
txirmwpqc
kmwhttk
qncpvkp
gavvb
yqfhrbu
swpcrqwt
lxmgaznqv
nqkhwle

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3426:TCP"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\dzbdhtx]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\fxgfvwjo]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\gavvb]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\hbtzcpy]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\kmwhttk]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\lvuxux]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\lxmgaznqv]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\nqkhwle]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\qdlgx]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\qncpvkp]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\qpcmq]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\sbctfra]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\swpcrqwt]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\txirmwpqc]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\uxcirelf]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\ydrbuyztl]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\yqfhrbu]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\zvnttoojz]

DirLook::
c:\documents and settings\Lesha\Local Settings\Application Data\dxhr
c:\documents and settings\Lesha\Local Settings\Application Data\28050
c:\documents and settings\Lesha\Local Settings\Application Data\28070

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Internet Explorer обновил, заплатки установил, пароль поставил.
Лог прилагаю.

Лог

Запакуйте папку C:\Qoobox\ в архив с паролем virus

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Как самочувствие системы?

Не получается запаковать C:\Qoobox\ BackEnv пишет при запаковке ошибку а при открытии папки нет доступа.
Система пока чувствует себя нормально.
Архив отправил.

Сделайте еще раз логи AVZ и RSIT

+

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Добрый вечер. Извиняюсь за долгое отсутствие.
Логи сделал.
Сегодня утром произошла не большая неприятность: при сканировании касперским диска C система повисла намертво и через 2-3 минуты выкинула в BSOD ссылаясь на watchlog.sys (скрин в следующем посте)

Скрин BSOD

BSOD

Сегодня утром произошла не большая неприятность: при сканировании касперским диска C система повисла намертво и через 2-3 минуты выкинула в BSOD ссылаясь на watchlog.sys (скрин в следующем посте) »
Скорее конфликт с системным драйвером.

c:\windows\HideWin.exe

- этот файл Вам знаком, если нет, проверьте на Virustotal.com

File name:
HideWin.exe
Submission date:
2011-08-30 18:48:02 (UTC)
Current status:
finished
Result:
0/ 43 (0.0%)



AhnLab-V3 2011.08.30.01 2011.08.30 -
AntiVir 7.11.14.37 2011.08.30 -
Antiy-AVL 2.0.3.7 2011.08.30 -
Avast 4.8.1351.0 2011.08.30 -
Avast5 5.0.677.0 2011.08.30 -
AVG 10.0.0.1190 2011.08.30 -
BitDefender 7.2 2011.08.30 -
ByteHero 1.0.0.1 2011.08.22 -
CAT-QuickHeal 11.00 2011.08.30 -
ClamAV 0.97.0.0 2011.08.30 -
Commtouch 5.3.2.6 2011.08.30 -
Comodo 9933 2011.08.30 -
DrWeb 5.0.2.03300 2011.08.30 -
Emsisoft 5.1.0.11 2011.08.30 -
eSafe 7.0.17.0 2011.08.30 -
eTrust-Vet 36.1.8530 2011.08.30 -
F-Prot 4.6.2.117 2011.08.30 -
F-Secure 9.0.16440.0 2011.08.30 -
Fortinet 4.3.370.0 2011.08.30 -
GData 22 2011.08.30 -
Ikarus T3.1.1.107.0 2011.08.30 -
Jiangmin 13.0.900 2011.08.30 -
K7AntiVirus 9.111.5068 2011.08.29 -
Kaspersky 9.0.0.837 2011.08.30 -
McAfee 5.400.0.1158 2011.08.30 -
McAfee-GW-Edition 2010.1D 2011.08.30 -
Microsoft 1.7604 2011.08.30 -
NOD32 6423 2011.08.30 -
Norman 6.07.10 2011.08.30 -
nProtect 2011-08-30.01 2011.08.30 -
Panda 10.0.3.5 2011.08.30 -
PCTools 8.0.0.5 2011.08.30 -
Prevx 3.0 2011.08.30 -
Rising 23.73.01.03 2011.08.30 -
Sophos 4.68.0 2011.08.30 -
SUPERAntiSpyware 4.40.0.1006 2011.08.30 -
Symantec 20111.2.0.82 2011.08.30 -
TheHacker 6.7.0.1.286 2011.08.29 -
TrendMicro 9.500.0.1008 2011.08.30 -
TrendMicro-HouseCall 9.500.0.1008 2011.08.30 -
VIPRE 10318 2011.08.30 -
ViRobot 2011.8.30.4647 2011.08.30 -
VirusBuster 14.0.193.0 2011.08.30

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://safezone.cc/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

Внимание! Смените все пароли ICQ, Контакт, Почта итд

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows (http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=ru&&thankspage=5) и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий:

Adobe Flash Player (http://get.adobe.com/ru/flashplayer/otherversions/)
Java (http://safezone.cc/forum/showthread.php?t=322)

Добрый день.
Все ваши рекомендации выполнил кроме одного (не работать за компьютером с правами администратора) но и это в ближайшее время исправлю.
Появилась не большая не приятность : контроль программ антивируса выявил (возможное) действие руткита
316B7_XP.EXE проявляет себя как скрытый объект.Данное повдение может быть следствием действий пользователя или вредоносной программы-руткита.
Обнаружено
PDM.Hidden object

C:\DOCUMENTS AND SETTINGS\LOCAL SETTING\TEMP\47754989-DCB6DE97-EDC248C8-3244B8AD\316B7_XP.EXE


Последовательность запуска программы:
Запущено 7C7F4F.EXE

Сделайте тогда еще логи uVS:

http://safezone.cc/forum/showthread.php?t=14508

Так же скопируйте данный файл, запакуйте в архив с паролем virus

C:\DOCUMENTS AND SETTINGS\LOCAL SETTING\TEMP\47754989-DCB6DE97-EDC248C8-3244B8AD\316B7_XP.EXE

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Если файла по данному пути не увидите, попробуйте поискать и скопировать его так:

http://safezone.cc/forum/showthread.php?t=15283

Выполните скрипт в uVS

http://safezone.cc/forum/showthread.php?t=14509

;uVS v3.68 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\SYSTEM.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\SYSTEM.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\REGISTRY.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\REGISTRY.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\NEWADVSPLASH.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\NEWADVSPLASH.DLL
zoo %Sys32%\HIDSERV.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\SYSTEM.DLL
deltmp
regt 5
regt 23
clrmd
restart

Добрый вечер.
Выше в пути я ошибся правильный путь C:\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTING\TEMP\47754989-DCB6DE97-EDC248C8-3244B8AD\316B7_XP.EXE
Лог сделал и отправил.
Не получилось найти даже содержащую файл папку, до temp путь просматривается и а дальше никак. Пробовал Total Commander, XueTr.

Скрипт выполните выше указынный, хотя в логах я подозрительного не увидел.

Давайте для успокоения сделаем логи различными антируткитами:

Xuetr:

http://safezone.cc/forum/showthread.php?t=15334

GMER:

http://safezone.cc/forum/showpost.php?p=452&postcount=1

Vba32 AntiRootkit:

http://safezone.cc/forum/showthread.php?t=14172

RKU:

http://safezone.cc/forum/showthread.php?t=14797

TDSSKiller:

http://support.kaspersky.ru/faq/?qid=208636926

После создания каждого лога перезагружайте компьютер.

Логи uVS после выполнения скрипта и логи XueTr (остольное завтра)

Остальные логи.
При проверки Vba32 AntiRootkit в режиме extended выкинула в BSOD, сделал в режиме ordinary

A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: xl94cwdk.sys

PAGE_FAULT_IN_NONPAGED_AREA

If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x10000050 (0xb2a55000, 0x00000000, 0xb7f8caf9, 0x00000000)

*** xl94cwdk.sys - Address 0xb7f8caf9 base at 0xb7f85000 DateStamp 0x4e1ebee3