[alex_sev]

Первое:

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\marischka\start menu\programs\startup\l0z1.exe');
 QuarantineFileF('C:\Documents and Settings\Marischka\Application Data\', '*.exe', false, '', 0, 0);
 QuarantineFile('C:\WINDOWS\ResPatch\Selector.exe','');
 QuarantineFile('E:\MARNUO\guzu.exe','');
 QuarantineFile('C:\Documents and Settings\Marischka\Application Data\Trucuv.exe','');
 QuarantineFile('C:\Documents and Settings\Marischka\Application Data\Grucui.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\pe3ahduc.sys','');
 QuarantineFile('c:\documents and settings\marischka\start menu\programs\startup\l0z1.exe','');
 DeleteFile('C:\Documents and Settings\Marischka\Application Data\Grucui.exe');
 DeleteFile('C:\Documents and Settings\Marischka\Application Data\Trucuv.exe');
 DeleteFile('E:\MARNUO\guzu.exe');
 DeleteFile('C:\Documents and Settings\Marischka\Start Menu\Programs\Startup\l0z1.exe');
 DeleteFile('C:\WINDOWS\ResPatch\Selector.exe');
 DeleteFileMask('C:\Documents and Settings\Marischka\Application Data\', '*.exe', false);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Grucui');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Trucuv');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Второе:

Подготовьте лог OTL by OldTimer

[rosimk]

Спасибо!
Архив quarantine отправил через форму!
Файлы Extras и OTL прикрепляю. Только файл OTL пришлось за архивировать.

ТОЛЬКО ПРИЧИНА НЕ УСТРАНЕНА! РАБОЧИЙ СТОЛ ВСЁ ТАКЖЕ ПУСТ!

[alex_sev]

• Если у вас 32 разрядная версия windows, то скачайте SystemLook (32-bit)
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию SystemLook (64-bit)
• Дважды щелкните SystemLook.exe для его запуска.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Скопируйте содержимое скрипта и вставьте его в текстовое поле программы:
  
  Код:

  :filefind
  explorer.exe

• Нажмите на кнопку Look, чтобы начать сканирование.
• Когда сканирование будет завершено, откроется окно Блокнота с результатами сканирования. Пожалуйста, скопируйте текст отчета в следующее сообщение.
• Если Вы закрыли Блокнот, то файл лога можно найти на рабочем столе: SystemLook.txt.

[rosimk]

Цитата alex_sev:

Нажмите на кнопку Look, чтобы начать сканирование. Когда сканирование будет завершено, откроется окно Блокнота с результатами сканирования. Пожалуйста, скопируйте текст отчета в следующее сообщение. Если Вы закрыли Блокнот, то файл лога можно найти на рабочем столе: SystemLook.txt. ------- »

:-)
Вот текст

SystemLook 30.07.11 by jpshortstuff
Log created at 18:53 on 31/08/2012 by Marischka
Administrator - Elevation successful

========== filefind ==========

Searching for "explorer.exe"
C:\WINDOWS\system32\dllcache\explorer.exe --a--c- 1520640 bytes [12:00 15/04/2008] [12:00 15/04/2008] C9C88CC31A197E90C9AEEB693634FEE5

-= EOF =-

[alex_sev]

Первое:

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 CopyFile('C:\WINDOWS\system32\dllcache\explorer.exe', '%WinDir%\explorer.exe');
 ExecuteRepair(16);
 ExecuteRepair(19);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(false);
end.

Компьютер перезагрузится

Второе:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Третье:

• Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
• Прикрепите файл к следующему сообщению.

Подробнее читайте в руководстве.

[rosimk]

После первого шага со скриптом для АВЗ всё наладилось!
Спасибо!

Как я могу от благодарить?

[alex_sev]

Есть кнопочка Полезное сообщение.

А от остальных рекомендаций не отказывайтесь. У Вас был сетевой червь и еще троян, ворующий пароли - могло много остатков от них остаться

[rosimk]

Как раз только второй шаг закончил..
Вот отчет
-----------

Код:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Версия базы данных:  v2012.08.31.09

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 7.0.5730.13
Marischka :: KOT [администратор]

31.08.2012 20:14:48
mbam-log-2012-08-31 (20-31-40).txt

Тип сканирования:  Полное сканирование  (C:\|D:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  248088
Времени прошло:  14 минут , 15 секунд 

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные ключи в реестре:  0
(Вредоносных программ не обнаружено) 

Обнаруженные параметры в реестре:  1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.

Объекты реестра обнаружены:  3
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные папки:  0
(Вредоносных программ не обнаружено) 

Обнаруженные файлы:  20
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Program Files\Total Commander\Utils\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{0E9299EA-D55D-4214-8CFC-1E7B583EF575}\RP107\A0033509.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{0E9299EA-D55D-4214-8CFC-1E7B583EF575}\RP108\A0038611.exe (Backdoor.Bot) -> Действие не было предпринято.
C:\System Volume Information\_restore{0E9299EA-D55D-4214-8CFC-1E7B583EF575}\RP108\A0038612.exe (Backdoor.Bot) -> Действие не было предпринято.
C:\System Volume Information\_restore{0E9299EA-D55D-4214-8CFC-1E7B583EF575}\RP109\A0038728.exe (Trojan.Zbot) -> Действие не было предпринято.
C:\System Volume Information\_restore{0E9299EA-D55D-4214-8CFC-1E7B583EF575}\RP109\A0038729.exe (Backdoor.Small) -> Действие не было предпринято.
C:\WINDOWS\Green Fields.scr (Malware.Packer.Gen) -> Действие не было предпринято.
C:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> Действие не было предпринято.
C:\WINDOWS\system32\dllcache\ctfmon.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\WINDOWS\ResPatch\ResPatch.exe (Backdoor.Small) -> Действие не было предпринято.
C:\WINDOWS\system32\com.run (Trojan.Banker) -> Действие не было предпринято.
C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> Действие не было предпринято.

(конец)

А вот после сканирование SecurityCheck текстовый файл с логом не сформировался...

[alex_sev]

Хорошо идем таким путем по порядку:

Первое:

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\dp1.fne','');
 QuarantineFile('C:\WINDOWS\ResPatch\ResPatch.exe','');
 QuarantineFile('C:\WINDOWS\system32\com.run','');
 QuarantineFile('C:\WINDOWS\system32\eAPI.fne','');
 QuarantineFile('C:\WINDOWS\system32\krnln.fnr','');
 QuarantineFile('C:\WINDOWS\system32\og.dll','');
 QuarantineFile('C:\WINDOWS\system32\og.EDT','');
 QuarantineFile('C:\WINDOWS\system32\RegEx.fnr','');
 QuarantineFile('C:\WINDOWS\system32\shell.fne','');
 QuarantineFile('C:\WINDOWS\system32\spec.fne','');
 DeleteFile('C:\WINDOWS\system32\dp1.fne');
 DeleteFile('C:\WINDOWS\ResPatch\ResPatch.exe');
 DeleteFile('C:\WINDOWS\system32\com.run');
 DeleteFile('C:\WINDOWS\system32\eAPI.fne');
 DeleteFile('C:\WINDOWS\system32\krnln.fnr');
 DeleteFile('C:\WINDOWS\system32\og.dll');
 DeleteFile('C:\WINDOWS\system32\og.EDT');
 DeleteFile('C:\WINDOWS\system32\RegEx.fnr');
 DeleteFile('C:\WINDOWS\system32\shell.fne');
 DeleteFile('C:\WINDOWS\system32\spec.fne');
 DeleteFile('C:\WINDOWS\system32\ul.dll');
 DeleteFileMask('C:\WINDOWS\system32\', '*.fne', false);
 DeleteFileMask('C:\WINDOWS\system32\', '*.fnr', false);
 DeleteFileMask('C:\Documents and Settings\Marischka\Application Data\', '*.tmp', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Второе:

Повторно запустите OTL by OldTimer и нажмите кнопку CleanUp

Третье:

Выполните в AVZ скрипт расположенный по этой ссылке http://dataforce.ru/~kad/ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Четвертое:

Смените все Важные пароли (контакт, почта)

Пятое:

Ознакомьтесь с этими рекомендациями