[SolarSpark]

Добрый день

вот это узнаете?
C:\Users\MDDE5~1.ZHU\AppData\Local\Temp\Torrent2Exe\T2E.exe висит у вас в автозагрузке

на "M:\" вижу автомобильные каталоги, авторана не вижу

давайте так

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\Temp\TS_619E.tmp','');
 QuarantineFile('C:\Windows\Temp\TS_1A2C.tmp','');
 DeleteFile('C:\Windows\Temp\TS_1A2C.tmp');
 DeleteFile('C:\Windows\Temp\TS_619E.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


Пофиксить в HijackThis

Код:

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.5.2:3128

ваши настройки? если нет, то фиксим в HijackThis эту строчку

Сделайте повторные логи AVZ + RSIR
+
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
+
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[iskander-k]

Conficker (Kido)



1/Скачайте архив kk.zip и распакуйте его в отдельную папку на зараженном компьютере.
2/Отключите компонент Антивирус на время работы утилиты,
3/Запустите файл kk.exe.

При запуске файла kk.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр, проверяет flash-накопители.
Дождитесь окончания сканирования.

По окончании сканирования на компьютере утилита будет ожидать нажатия любой клавиши для закрытия.



ВниманиеЕсли на компьютере, на котором запускается утилита KidoKiller, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Код:

   
 для сканирования flash-накопителя 
с записью подробного отчета в файл report.txt
 (который создастся в папке, где находится файл kk.exe) используйте следующую команду:
    kk.exe -r -y -l report.txt -v
-l <имя файла>
	

   Запись информации в файл отчета
    для сканирования другого раздела диска, например, D используйте команду:

    kk.exe -p D:\ 

где 
-p <путь для сканирования>

Подробная инструкция - http://support.kaspersky.ru/kis2009/error?qid=208636215

[Muslitel]

maniy77, это (C:\Users\MDDE5~1.ZHU\AppData\Local\Temp\Torrent2Exe\T2E.exe) мое, но я его уже убрал из автозагрузки

Цитата maniy77:

Код: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.5.2:3128 ваши настройки? если нет, то фиксим в HijackThis эту строчку »

и это наше

Касательно всего остального:
Запускаю AVZ, выполняю первый указанный скрипт и получаю ошибку. Никаких перезагрузок. Скриншот во вложении.

А вот куда делся autorun.inf ума не приложу. NOD32 молчит, скрытые системные файлы его не отображают. Он просто взял и пропал, хотя никаких махинаций, после того, как составил логи для этой темы я с внешним HDD не производил. Правда, при сканировании, антивирус все же выдает сообщение:
M:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx - Win32/Conficker.X червь

iskander-k, сделал. Только есть проблема: B]report.txt[/b] объемом 390MБ.

[SolarSpark]

Цитата Muslitel:

апускаю AVZ, выполняю первый указанный скрипт и получаю ошибку. »

какую ошибку?
пробуем выполнить скрипт, убрав из него строчку SearchRootkit(true, true);

Цитата Muslitel:

iskander-k, сделал. »

упакуйте и залейте на файлообменник, ссылку сюда

а что с логом Gmer? добавьте при проверке диск "M:\".

[iskander-k]

Цитата Muslitel:

iskander-k, сделал. Только есть проблема: B]report.txt[/b] объемом 390MБ. »

Каким образом запускали утилиту ? просто кликом на ехе - файл или с применением команд ?

Цитата Muslitel:

А вот куда делся autorun.inf ума не приложу. NOD32 молчит, скрытые системные файлы его не отображают. Он просто взял и пропал, хотя никаких махинаций, после того, как составил логи для этой темы я с внешним HDD не производил. Правда, при сканировании, антивирус все же выдает сообщение: M:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx - Win32/Conficker.X червь »

Вы нодом проверяли до применения утилиты кк или после ?

Цитата Muslitel:

после того, как составил логи для этой темы я с внешним HDD не производил. Правда, при сканировании, антивирус все же выдает сообщение: »

Вы утилитой кк проверяли ваш внешний диск М ?

Цитата Muslitel:

проблема: B]report.txt[/b] объемом 390MБ. »

В архиве он будет весить намного меньше.

[Muslitel]

maniy77,

Цитата maniy77:

какую ошибку? »

Простите. Забыл вложить скриншот в предыдущее сообщение. и удалил его быстренько. Но убрал указаную Вами строку и все нормально пошло.

Malware тоже выдает ошибку при обновлении. Чую, что проблема с прокси-сервером. Настройки прописал, но не помогло. Человека, который может помочь, сейчас нету. На всякий случай кидаю скриншот.


iskander-k,

Цитата iskander-k:

Каким образом запускали утилиту ? просто кликом на ехе - файл или с применением команд ? »

Через CMD из корня диска С:\ с ключами для сканирования flash и создания лога, согласно указаниям на сайте Лаборатории Касперского.

Цитата iskander-k:

Вы нодом проверяли до применения утилиты кк или после ? »

Вчера и до, и после. Оба раза мне выругалось только на червь в M:\RECYCLER.
autorun.inf я не нашел, хотя в понедельник вечером он еще был. С жесткимим диском я ничего не делал.

Цитата iskander-k:

Вы утилитой кк проверяли ваш внешний диск М ? »

Оно мне проверило и диск С, и диск М.

Ссылка на отчет KK:
report.rar

Прикрепляю:
- логи RSIT;
- логи AVZ;
- лог GMER;
- ошибка Malware.

[iskander-k]

Проверьте диск М куреитом скачать - http://www.freedrweb.com/cureit/?lng=ru
- и

Kaspersky Virus Removal Tool- http://support.kaspersky.ru/viruses/utility

[Muslitel]

Просканировал с помощью CureIt свой внешний HDD. Нашло заразу в M:\RECYCLER и удалило ее. После чего просканировал нодом весь комп - ничего не нашло. Я так понимаю, тему можно считать закрытой?

[iskander-k]

Цитата Muslitel:

помощью CureIt свой внешний HDD »

можете проверить курейтом и все ваши диски для верности.

Цитата Muslitel:

Я так понимаю, тему можно считать закрытой? »

Да.