Доброго вам здоровья! Уже 4час бьюсь с этой гадостью, перепробовал все, что можно, но ни один антивирус (Dr.Web CureIt, AVZ, касперский) не видит этот вирус в папке RECYCLE. Прочитал такую же тему, сделал зайцевым архив карантин по скрипту. Вот та тема: http://forum.oszone.net/thread-216226.html
Отправил архив с карантином, надеюсь поможете...уже голову сломал, весь реестр излазил.

Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html) инструкциями.

Вот что-то удалось.....
уже все вычистил в реестре, оно все равно там появляется в разделе RUN....уже мозг кипит как чайник китайский

Файл virusinfo_cure.zip удалите из сообщения

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Jensen_C\Application Data\Yqomok.exe','');
QuarantineFile('C:\Documents and Settings\Jensen_C\Application Data\Protected.exe','');
DeleteFile('C:\Documents and Settings\Jensen_C\Application Data\Protected.exe');
DeleteFile('C:\Documents and Settings\Jensen_C\Application Data\Yqomok.exe');
DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PELock');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yqomok');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.


Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


Microsoft Windows XP Professional Service Pack 2 - такую дырявую систему лечить бесполезно, скачайте и установите Пакет сетевой установки пакета обновления 3 (SP3) для ОС Windows XP (http://www.microsoft.com/ru-ru/download/details.aspx?id=24) может потребоваться повторная активация

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=16050)

Ух ты,сколько полезной информации. Спасибо, я вечером дома это все сделаю, а пока такой вопрос....сервис пак 2 настолько слаб по сравнению с 3? Есть ли вероятность, что 3пак тоже поймает вирус?

Необходимо вообще поставить все обновления, чтобы исключить пути проникновения зловредов через известные уязвимости.

Есть ли вероятность, что 3пак тоже поймает вирус? »
Вероятность всегда есть, но снизить ее возможно))

ага...понял. У меня стоит уже изначально активированная версия винды. 3пак придется активировать как-то? Когда лучше 3пак поставить, после очистки от вируса? Еще не понятно, там по ссылке написано мол не жать загрузку, если обновление требуется на 1пк...

там по ссылке написано мол не жать загрузку »
Сейчас уже надо SP2 не поддерживается центром обновлений

3пак придется активировать как-то? »
Если система лицензия, то скорее всего никак, обсуждение же нелицензионного софта запрещено правилами форума.

Все понял. Спасибо. Тогда до вечера, вечером буду действовать.

В течение дня родился еще один вопрос. Hdd разбит на два: C и D. Может есть смысл проштудировать и диск D, а то вдруг вирус еще там окопался?

Это для чего указано думаете?
обновите базы, выберите "Perform Full Scan" ("Полное сканирование") »

Доброго вечера. По вашим советам все сделал, скрипты, логи. Скрипт дали суперский, он видел вирус и отменил авторан со сьемных носителей.

Повторите сканирование в MBAM если его закрыли и удалите только следующие объекты:

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WEBALTASERVICE (Adware.Webalta) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Действие не было предпринято.


Как самочувствие системы?

Сканирование выполнял в безопасном режиме около часа, т.к. в обычном произошла какая-то ошибка. Вручную может шарахнуть или все же через MBAM?
В реестре HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run перестала выползать гадость с окончанием .ехе, до скрипта была аж в двух вариантах. Вчера я ее удалял, но после перезагрузки появлялась вновь, сейчас не появляется....флешку боюсь вставлять))))))
Да,и если в MBAM, то номер 1 на диске С?

Можете и так шарахнуть, если опыта хватит ветку реестра удалить.

Флешку подключайте без боязни, автозапуск мы отключили, но ничего не ней не запускайте те же самые ярлыки вместо папок ведут к запуску червя.

Скопируйте следующий текст в Блокнот и сохраните, как run.cmd:

attrib -S -H /D /S

скопируйте файл run.cmd в корень флешки и запустите

Внимание не запускайте этот файл, когда он находится на жестком диске

Можете и так шарахнуть, если опыта хватит ветку реестра удалить.
Флешку подключайте без боязни, автозапуск мы отключили, но ничего не ней не запускайте те же самые ярлыки вместо папок ведут к запуску червя.
Скопируйте следующий текст в Блокнот и сохраните, как run.cmd:
Код:
attrib -S -H /D /S
скопируйте файл run.cmd в корень флешки и запустите
Внимание не запускайте этот файл, когда он находится на жестком диске »
С реестром я немного дружу. По поводу ярлыков я уже в курсе, еще до регистрации на форуме прочитал на разных сайтах. Нус, щас продолжу....
Так, из реестра вебальта не удаляется. Пишет ошибка при удалении. Я эту вебальту убил еще пол года назад, вместе с smaxxi.biz и еще чем-то, этож навязчивый поисковик, но он уничтожен и вообще занес в черные списки браузеров, может просто хвост остался...

Так, из реестра вебальта не удаляется »
Давайте тогда часть хвостов сейчас еще подчистим:

Сделайте 3 лога:

HiJackThis - http://forum.oszone.net/thread-177677.html

Далее:

Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению.Подробнее читайте в этом руководстве (http://safezone.cc/forum/showthread.php?goto=newpost&t=19726).

Далее:

Подготовьте лог OTL by OldTimer, как описано на этой странице (http://safezone.cc/forum/showpost.php?p=64662&postcount=1). Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению. Если логи не прикрепляются запакуйте их в архив.

С хвостами безоговорочно продолжим.
Нус, щас продолжу по русскилу....
И так:
Флешка номер раз на 256мб. Обнаружена зловредная папка ресайкл с ее ярлыком, видимо со вчерашнего дня остаток, обоих снес в пыль. КМДфайлик остался, который скидывает параметры папок (о чем вы писали выше).
Флешка номер два на 2Гб. Все тоже самое, остатки этой дряни, порезали насмерть. Заветный файлик кмд будет жить и на ней дальше, а то малоли.
Флешка номер три на 4Гб. А нету хвостов. Ей повезло больше всех вчера, т.к. один раз снес ресайкл с бактерией и больше на нее не попало. Кмд файл оставлю жить и там.
Примечательно, что MBAM в упор не видит вирус "бэкдор.вин32.русскилл", впрочем как и зайцев, доктор веб куреит, аваст итд...А это не есть хорошо. Ну зайцеву я отправил конечно вирус на изучение, посмотрим, что будет в будущем. В инете где-то писали, что KIS вроде как видит вируса этого и даже справляется с ним. Одно могу сказать, похоже вирус убит вашим скриптом для Зайцева! В чем его секрет?
P.S. Еще примечательно, что открываются страницы антивирей, сейчас качну хайджек и будем чистить хвосты :-)

В чем его секрет? »
то что не видно на автомате - видно глазами. Не беспокойтесь, по вирлабам ваш файл разослал, на днях добавят.

Касперский действительно его знает, ну и у меня на домашнем компе Norton его сразу прибил)))

Просто я имел в виду, что этот скрипт надо же как-то было создать? Наверное есть смысл докинуть его в авз, чтоб был как инструмент в случае чего. Кстати, русс.килл еще не позволяет сделать отключение флешки, он ее занимает просто.
Я пока тут разбираюсь с хайджеком и остальным, можете ли посоветовать, какой антивир поставить для реального времени, а то я аваст поставил и не знаю даже...лучшебы что поэффективнее конечно, ну и файерволл какой? у меня сейчас стоит kah 1.9.4.0 на инглише без перевода, атаки отражает вроде.