[thyrex]

Перед выполнением скриптов на всякий случай запишите настройки сетевых подключений

Пофиксить в HiJack

Код:

 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\F942~1\LOCALS~1\Temp\don2D0.tmp

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('F:\autorun.inf','');
 QuarantineFile('E:\autorun.inf','');
 DelBHO('{FFFFE708-B832-42F1-BAFF-247753B5E452}');
 DelBHO('{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5}');
 QuarantineFile('C:\WINDOWS\system32\3rs23591.dll','');
 QuarantineFile('C:\Documents and Settings\Сергей\Application Data\ofjqa.exe','');
 TerminateProcessByName('c:\docume~1\f942~1\locals~1\temp\don2d0.tmp');
 QuarantineFile('c:\docume~1\f942~1\locals~1\temp\don2d0.tmp','');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\don2d0.tmp');
 DeleteFile('C:\Documents and Settings\Сергей\Application Data\ofjqa.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wscc');
 DeleteFile('C:\WINDOWS\system32\3rs23591.dll');
 DeleteFile('E:\autorun.inf');
 DeleteFile('F:\autorun.inf');
 QuarantineFile('c:\documents and settings\сергей\cookies\userlib.dll','');
 DeleteFile('c:\documents and settings\сергей\cookies\userlib.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

[Ordo]

Продолжаем развлекаться.
Все скрипты выполнены без ошибок.
Ответ от касперского: В присланном Вами файле не найдено ничего вредоносного.

После выполнения скриптов windows стал долго загружаться на моменте "Запуск Windows" до окна логина. При выключении на сохранении параметров подвисает...
Иконки как на рабочем столе, так и в папках, стало невозможно переместить (нет, автовыравнивание не включено), таким же образом невозможно скопировать и переместить файл. Так же в контекстном меню недоступны кнопки копировать, вставить и вставить ярлык...
На панели инструментов пропала панель задач.
Касательно сетевых подключений - пропала сетевая карта.

Логи сейчас попробую предоставить, если адекватной работы компьютера добьюсь.
Но думается мне, что нужна уже тяжелая артиллерия...

---
UPD
По причине отсутствия времени было решено начисто поставить систему.
Это будет быстрее, чем возиться с этим и восстанавливать нормальную работоспособность.

Поступила информация, что отец подцепил такую же заразу. Поэтому сюда выложу логи уже с другого компьютера. И там уже действительно интересно будет разобраться по полной программе. Спасибо за участие.

[Ordo]

Ну вот. Логи с другого компьютера с той же заразой.

[okshef]

Ordo, выполните скрипт AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Home\Cookies\userlib.dll','');
 DeleteFile('C:\Documents and Settings\Home\Cookies\userlib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
ExecuteRepair(15);
RebootWindows(true);
end.

После перезагрузки - еще один скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сообщите о наличии проблем, сделайте новые логи

[Ordo]

Файл с карантином отправил, пока ответа нет.
Вот логи.
Отмечу, что autoran.inf на дисках h: и i: не являются частью вируса, это созданные мной заглушки с измененными атрибутами, уж слишком доставали меня эти вирусы, переносившиеся на флешках.

Пока все ведет себя нормально, не как с первым компом, там вообще караул творился..

[okshef]

Ordo, ничего страшного, может еще "доктора" подскажут.
Выполните скрипт AVZ

Код:

begin
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
ExecuteSysClean;
end.

Скачайте Malwarebytes Anty-Malware (free), после установки выполните обновление баз и полную проверку, лог приложите. Учтите, программа не любит keygen-ы и кряки - будьте внимательны при удалении.

[Drongo]

Цитата Ordo:

Отмечу, что autoran.inf на дисках h: и i: не являются частью вируса, это созданные мной заглушки с измененными атрибутами, уж слишком доставали меня эти вирусы, переносившиеся на флешках. »

Обработайте систему и флешки утилитой - Flash Disinfector

[Ordo]

Цитата okshef:

Скачайте Malwarebytes Anty-Malware (free), после установки выполните обновление баз и полную проверку, лог приложите. Учтите, программа не любит keygen-ы и кряки - будьте внимательны при удалении. »

Говорит, все чисто. Система тоже нормально работает.

Ответ от Касперского - ничего вредоносного там нету...

Цитата Drongo:

Обработайте систему и флешки утилитой - Flash Disinfector »

Код:

Flash Disinfector выполняет следующие функции:
удаляет с корня всех доступных дисков известные ей файлы троянов
восстанавливает возможность редактирования реестра
восстанавливает работу Восстановления системы
удаляет из реестра автозапуск autorun.inf троянов
создает на каждом из доступных дисков каталог autorun.inf с атрибутами скрытый и системный, что позволяет блокировать повторное заражение ваших дисков

Последнее создано руками (:
Хоть какой-то спасение.
Буду иметь ввиду на счет утилки.

Спасибо всем, тему можно считать решенной.

[okshef]

Цитата Ordo:

Ответ от Касперского - ничего вредоносного там нету... »

думаю, фокус в перенастройке SPI/LSP. Заключительные рекомендации:

1. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
2. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.