[SolarSpark]

rzdpasha, смотрю ваши логи

[SolarSpark]

суть заражения ясна. сетевой червь, а потому в обязательном порядке скачайте и установите критические обновления windows
особенное внимание обратите на эти заплатки
MS08-067
MS08-068
MS09-001
+ к вышесказанным рекомендациям
Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль)
Отключите автозапуск программ с различных носителей, кроме CDROM. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

Код:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
 ExecuteRepair(8);
 ExecuteRepair(13);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Пофиксить в HijackThis следующие строчки:

Код:

O1 - Hosts: 193.218.156.153 www.vkontakte.ru
O1 - Hosts: 193.218.156.153 www.vk.com
O1 - Hosts: 193.218.156.153 vkontakte.ru
O1 - Hosts: 193.218.156.153 vk.com
O1 - Hosts: 193.218.156.153 www.odnoklassniki.ru
O1 - Hosts: 193.218.156.153 odnoklassniki.ru
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

если GMER не работает не запустится

Воспользуйтесь графической оболочкой для kidokiller - Quick Killer - GUI для консольных утилит Лаборатории Касперского. Скачайте архив. Запустите утилиту QuickKiller.exe

1. Установите переключатель в положение KidoKiller
2. Установите галочку Записать в лог 'report'
3. Установите галочку Удаление остатков служб оставшихся после вируса
4. По окончании не ждать нажатия любой клавиши...
5. Нажмите кнопку Выполнить

Дождитесь окончания сканирования и после чего в папке из которой был запущен QuickKiller появится лог report-[Kido].txt прикрепите его к сообщению.

Сделайте повторные логи AVZ + выполните лог RSIT

[rzdpasha]

SolarSpark, благодарю за проделанную работу. Применить все рекомендации на машине смогу через несколько часов, тогда и сообщу о результатах.
P.S. Надо бы тоже освоить вкуривание логов.

[iskander-k]

Цитата rzdpasha:

P.S. Надо бы тоже освоить вкуривание логов. »

Можете научиться - http://forum.oszone.net/announcement.php?a=182

[rzdpasha]

Указанные ниже строки в HijackThis отсутствовали:

Цитата SolarSpark:

O1 - Hosts: 193.218.156.153 www.vkontakte.ru O1 - Hosts: 193.218.156.153 www.vk.com O1 - Hosts: 193.218.156.153 vkontakte.ru O1 - Hosts: 193.218.156.153 vk.com O1 - Hosts: 193.218.156.153 www.odnoklassniki.ru O1 - Hosts: 193.218.156.153 odnoklassniki.ru

Поскольку GMER запустился, то эти пункты пропустил:

Цитата SolarSpark:

Воспользуйтесь графической оболочкой для kidokiller - Quick Killer - GUI для консольных утилит Лаборатории Касперского. Скачайте архив. Запустите утилиту QuickKiller.exe 1. Установите переключатель в положение KidoKiller 2. Установите галочку Записать в лог 'report' 3. Установите галочку Удаление остатков служб оставшихся после вируса 4. По окончании не ждать нажатия любой клавиши... 5. Нажмите кнопку Выполнить Дождитесь окончания сканирования и после чего в папке из которой был запущен QuickKiller появится лог report-[Kido].txt прикрепите его к сообщению.

Новые логи:

[SolarSpark]

rzdpasha, Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service igkgu
gmer.exe -del service itqejw
gmer.exe -del file "C:\WINDOWS\system32\qglvxxdz.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\itqejw"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\igkgu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\itqejw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\igkgu"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

и я запрашивала лог RSIT

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[SolarSpark]

а лог HijackThis вообще старый прикрепили, повторите сканирование и прикрепите свежий
заплатки поставили? без них лечение бессмысленно

[rzdpasha]

Виноват. Действительно, лог RSIT забыл. Бегаю тут между компами с флэшкой. Заплатки поставил. Я на этой машине сразу после лечения Касперским установил Critical и Secure PreSP4-пакеты, видимо тех, что вы указали в них не было, хотя не вглядывался. В любом случае автоматическое обновление в момент заражения было напрочь отключено, ESET, видимо, тоже не обновлялся.

[SolarSpark]

rzdpasha, с флешками осторожнее, Conficker/Kido весьма опасный и вирулентный червячок..
Отключите автозапуск на пк со всех носителей кроме CDROM, повторюсь еще раз, хотя уже давала эту рекомендацию
Но в нашем случае-повторение только во благо.
В окно командной строки скопируйте и вставьте команду:

Код:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите enter. Для подтверждения перезаписи нажмите Y.

Лог GMER чист-лечение успешно.
Деинсталлируем утиль. Для этого скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Цитата rzdpasha:

ESET, видимо, тоже не обновлялся. »

но я вижу у вас еще и Kaspersky Anti-Virus 2011
определитесь с антивирусом-второй деинсталлируйте!

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\FONTS\E23D411.com','');
 DeleteFile('C:\WINDOWS\FONTS\E23D411.com');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\TempCom')
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Сделайте повторные логи RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM