Добрый день!
Как видно из тем форума в последнее время этот старый (не) добрый троян зарекомендовал себя, так что ничем новым и интересным порадовать Вас не могу :)

Описание проблемы: собственно никаких криминальных изменений в работе системы не увидел (все программы запускаются, сайты открываются), просто вчера, зайдя на диск С, был неприятно удивлен новыми папками с "прекрасными" названиями. В одной из них были klpclst.dat и wndsksi.inf. Потом поискав информацию в интернете также обнаружил igfxtray.dat* и avdrn.dat * и еще папку MicroST.
Avast! Free Antivirus проявил либеральность ко всем этим файлам, не заподозрив их ни в чем противозаконном, и даже отказался перемещать их в карантин, не объясняя причин. Пришлось в ручную собрать их всех и заархивировать, чтоб знать врага в лицо.

Выполнил все согласно инструкциям - логи прилагаются.
Только при попытке запуска HiJackThis вылетело предупреждение "Приложению не удалось запуститься, поскольку MSVBVM60.DLL не был найден. Повторная установка приложения может исправить эту проблему". Тоже самое вылетело при работе RSIT, но логи он создал.
AVZ4 после скрипта №3 в результатах написал, что нашел троян - название не запомнил. Потом я в логе что-то не нашел про это, может не там искал.

Надеюсь на Вашу помощь. И еще, по возможности, хотелось бы знать насколько широко этот "конь" развернул свою грязную деятельность, все ли пароли успел подсмотреть? а то я пользуюсь интернет банком, хотя и с картой переменных кодов.

Сейчас гляну логи

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" (http://safezone.cc/forum/showthread.php?t=10)

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Gnv\Application Data\Dxsesh.exe','');
DeleteFile('C:\Documents and Settings\Gnv\Application Data\Dxsesh.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dxsesh');
DeleteFileMask('C:\Log09PAHZPCvb6N','*.*',true);
DeleteDirectory('C:\Log09PAHZPCvb6N');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



ПК перезагрузится. Выполните скрипт в AVZ:


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Архив quarantine.zip из папки с AVZ отошлите через веб-форму (http://www.oszone.net/virusnet/).

Сделайте новые логи AVZ&RSIT


Скачайте Malwarebytes' Anti-Malware (http://www.malwarebytes.org/mbam-download-exe-random.php), установите, обновите базы
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению


Вы заархивировали файлы? Отправьте их через веб-форму (http://www.oszone.net/virusnet/)

Скрипты выполнил. Архив quarantine.zip из папки с AVZ отправил. Свой архив с этими файлами пока отправить не смог, там через 20 минут только можно, отправлю позже.

Новые логи AVZ4 и RSIT прилагаю.

А вот с Malwarebytes' Anti-Malware не получилось: скачалось и установилось нормально, но не запустилось - вышла та же ошибка "Приложению не удалось запуститься, поскольку MSVBVM60.DLL не был найден. Повторная установка приложения может исправить эту проблему". Видимо что-то в системе слетело. Вы не знаете как это можно исправить или это уже в другой раздел форума?

А еще на диске С по-прежнему появляется папка с названием Log09PAHZPCvb6N.

Только сейчас обратил внимание: на диске С одновременно с созданием одной из этих папок со звучными названиями появился еще файл ntldl. Не помню точно, вроде он там и раньше был, но видимо был заменен на зараженный.

Попробовал его отправить в архив, вышло сообщение, что используется другим приложением. Тогда скачал Unlocker, разблокировал его и удалил, кинув копию в архив. Перезагрузил компьютер, файл ntldl и папка Log09PAHZPCvb6N вновь созданы и рвуться в бой, жаль поле битвы мой комп :) Наверное, остатки трояна, удаленного AVZ4. Еще и с ними как-то надо бороться :(

•Скачайте ComboFix (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix (http://virusnet.info/forum/showthread.php?t=2773)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

Вот лог от ComboFix

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

Folder::
C:\Log09PAHZPCvb6N


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Новый лог ComboFix готов, только вот папка эта снова на своем, не побоюсь этого слова, "законном" месте :)

Люди добрые, давайте вместе ее отправим на тот свет, только на этот раз безвозвратно, хватит ей уже изображать из себя птицу феникс!

Скачайте Avenger (http://swandog46.geekstogo.com/avenger2/download.php), разархивируйте и запустите с правами администратора. Скопируйте и вставьте текст ниже в окно выполнения скрипта:

Folders to delete:
C:\Log09PAHZPCvb6N


Нажмите Execute и подтвердите, нажав Yes

Компьютер перезагрузится
прим. Компьютер может перезагрузиться несколько раз

Архив C:\avenger\backup.zip отправьте через веб-форму (http://www.oszone.net/virusnet/)
Файл c:\avenger.txt прикрепите к сообщению

Лог от Avenger готов, только вот папка снова на своем месте. А может уже забить на нее? Написал же AVZ4 в первом логе: "C:\WINDOWS\Temp\~TM6D.tmp >>>>> Trojan-Dropper.Win32.Vidro.dil успешно удален", а больше никто ничего не находил, просто уже как то несерьезно столько внимания уделять пустой папке :dont-know

А вот с Malwarebytes' Anti-Malware не получилось: скачалось и установилось нормально, но не запустилось - вышла та же ошибка "Приложению не удалось запуститься, поскольку MSVBVM60.DLL не был найден »
http://forum.oszone.net/thread-176149.html попробуйте.

Папку C:\Qoobox\Quarantine заархивируйте с паролем "virus" (без кавычек) и отправьте через веб-форму (http://www.oszone.net/virusnet/).

Нажмите Пуск => Выполнить. В окне наберите команду:
Combofix /Uninstall
Нажмите кнопку ОК


Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe), запустите, нажмите Clean up


Выполните для предотвращения повторных заражений:

Очистите и создайте новую контрольную точку восстановления (http://virusnet.info/forum/showthread.php?t=2065)
Установите Service Pack 3 (http://www.microsoft.com/downloads/details.aspx?FamilyID=2fcde6ce-b5fb-4488-8c50-fe22559d164e&displayLang=ru) (если не установлен) + все (http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru) последующие обновления
Установите Internet Explorer 8 (http://www.microsoft.com/downloads/details.aspx?FamilyID=341c2ad5-8c3d-4347-8c03-08cdecd8852b&displayLang=ru)
Обновите Adobe Flash Player (http://get.adobe.com/ru/flashplayer/)
Обновите Java SE (http://www.java.com/ru/download/manual.jsp#win)
Отключите автозапуск со всех устройств, кроме CD/DVD. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Ну что, можно открывать шампанское :4u:

Счет 1 : 0 в пользу людей :dwarf: против этой небогоугодной заразы :vampire:

Всем, кто принял участие в изгнании нечистой с моего компьютера выражаю благодарность :bow: