[SolarSpark]

Уберите virusinfo_cure.zip из вложения!!!

Обновите Internet Explorer до IE8

Зоркий глаз сами устанавливали?

Проверьте сами на http://www.virustotal.com файлы

Код:

c:\program files\зоркий глаз\base\execctrl.dll
c:\program files\megafon internet\updatedog\ouc.exe

ссылку на результат запостите здесь

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\repsvc.exe');
TerminateProcessByName('C:\WINDOWS\ggdrive32.exe');
 QuarantineFile('c:\windows\repsvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\repsvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\01.scr','');
 QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
 DeleteFile('C:\WINDOWS\ggdrive32.exe');
 DeleteFile('C:\WINDOWS\system32\01.scr');
 DeleteFile('c:\windows\repsvc.exe');
 DeleteFile('C:\WINDOWS\system32\repsvc.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Remote Registry Service');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Пофиксить в HijackThis следующие строчки:

Код:

R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKLM\..\Run: [Remote Registry Service] repsvc.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\ggdrive32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\ggdrive32.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)

Сделайте повторные логи AVZ с обновленными базами!!!+ RSIR

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

[MyPPuK]

Цитата maniy77:

Зоркий глаз сами устанавливали? »

ДА http://exnax.narod.ru/antivir.htm

[SolarSpark]

Файл карантина (virusinfo_cure.zip) не надо вкладывать во вложения, и ссылки не надо на него давать!
Только по требованию хэлпера.
Уберите ссылку, пожалуйста, на virusinfo_cure.zip.
Логи жду

[MyPPuK]

Серьезный случай, забрал ноут к себе...

[SolarSpark]

Установите все новые обновления для Windows!! через дырки лезет эта зараза.
Иначе, борьба с сетевым червем будет подобна борьбе с ветряной мельняцей

- Запустите MBAM
- выберите Perform Full Scan (Провести полную проверку)
- нажмите Scan (Проверить)
- после сканирования выберите Ок и далее Show Results (Показать результаты)
- нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете).

Код:

Заражённые папки:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Заражённые файлы:
c:\WINDOWS\nigzss.txt (Malware.Trace) -> No action taken.
c:\xdx.exe (Worm.Palevo) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 TerminateProcessByName('c:\documents and settings\user\serv8.exe');
 TerminateProcessByName('c:\documents and settings\user\ms.exe');
 TerminateProcessByName('c:\windows\ggdrive32.exe');
 QuarantineFile('C:\xdx.exe','');
 QuarantineFile('C:\WINDOWS\system32\88.exe','');
 QuarantineFile('C:\WINDOWS\system32\61.exe','');
 QuarantineFile('C:\WINDOWS\system32\01.exe','');
 QuarantineFile('C:\WINDOWS\system32\00.exe','');
 QuarantineFile('G:\autorun.inf','');
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,explorer.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 QuarantineFile('c:\documents and settings\user\serv8.exe','');
 QuarantineFile('c:\documents and settings\user\ms.exe','');
 QuarantineFile('c:\windows\ggdrive32.exe','');
QuarantineFile('C:\Documents and Settings\User\dq.exe','');
DeleteFile('C:\Documents and Settings\User\dq.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 DeleteFile('c:\documents and settings\user\ms.exe');
 DeleteFile('C:\Documents and Settings\User\serv8.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,explorer.exe');
 DeleteFile('C:\WINDOWS\ggdrive32.exe');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 DeleteFile('G:\autorun.inf');
 DeleteFile('C:\WINDOWS\system32\00.exe');
 DeleteFile('C:\WINDOWS\system32\01.exe');
 DeleteFile('C:\WINDOWS\system32\61.exe');
 DeleteFile('C:\WINDOWS\system32\88.exe');
 DeleteFile('C:\xdx.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\ggdrive32.exe');
BC_Activate;
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

повторяем все логи

[MyPPuK]

См.

[SolarSpark]

Как ваши дела? В логах чисто

1)Установить все возможные обновления продуктов Adobe, которые установлены на вашем компьютере или удалите их.

2)Срочно смените и усложните все пароли (qwert или 1234 не есть сложный пароль): для учетных записей администраторов и пользователей, от e-mail, аккаунтов в интернете и прочие.

3)Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd
4)Деинсталлируйте Malwarebytes' Anti-Malware - программа предназначена для временного пользования

Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли

Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- при использовании Internet Explorer отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы

[MyPPuK]

Всё отлично, адоб удалю, что делает АТФ Клинер с Оперой и Лисой?
ну и на последок...

МБАМ Обновил, инет вкл.

ПС: из за чего всетаки воскресал вирус, грузился какойто драйвер?

[SolarSpark]

Чисто

Цитата MyPPuK:

из за чего всетаки воскресал вирус, »

это сетевой червь, http://ru.wikipedia.org/wiki/%D0%A1%...80%D0%B2%D0%B8

Цитата MyPPuK:

о делает АТФ Клинер с Оперой и Лисой? »

чистит временные файлы

Вы запускали Combofix?
лог могу увидеть?

Что из этого вам нужно? Для закрытия уязвимостей дам вам скрипт

Код:

Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей