NOD32 сказал Conficker.X на внешнем HDD
 

Знаю, что зараза эта из элитных. Прочитал пару мануалов по удалению - ничего не помогло. Решил прийти туда, где не раз помогали (пусть и не в лечении от вирусов). Надеюсь, на то, что великие хелперы подсобят в лечении и моей железяки.
NOD32 сегодня сказал, что на внешнем жестком диске гуляет Conficker.X, имеются заражения в Recycle и файл autorun.inf.
Логи прикрепил. Интересует диск "M:\". Если что не так - не сердчайте. Первый раз у меня такое :).

Добрый день

вот это узнаете?
C:\Users\MDDE5~1.ZHU\AppData\Local\Temp\Torrent2Exe\T2E.exe висит у вас в автозагрузке

на "M:\" вижу автомобильные каталоги, авторана не вижу :)

давайте так

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


Пофиксить в HijackThis
ваши настройки? если нет, то фиксим в HijackThis эту строчку

Сделайте повторные логи AVZ + RSIR
+
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
+
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Conficker (Kido)



1/Скачайте архив kk.zip и распакуйте его в отдельную папку на зараженном компьютере.
2/Отключите компонент Антивирус на время работы утилиты,
3/Запустите файл kk.exe.

При запуске файла kk.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр, проверяет flash-накопители.
Дождитесь окончания сканирования.

По окончании сканирования на компьютере утилита будет ожидать нажатия любой клавиши для закрытия.



ВниманиеЕсли на компьютере, на котором запускается утилита KidoKiller, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

maniy77, это (C:\Users\MDDE5~1.ZHU\AppData\Local\Temp\Torrent2Exe\T2E.exe) мое, но я его уже убрал из автозагрузки
и это наше :)

Касательно всего остального:
Запускаю AVZ, выполняю первый указанный скрипт и получаю ошибку. Никаких перезагрузок. Скриншот во вложении.

А вот куда делся autorun.inf ума не приложу. NOD32 молчит, скрытые системные файлы его не отображают. Он просто взял и пропал, хотя никаких махинаций, после того, как составил логи для этой темы я с внешним HDD не производил. Правда, при сканировании, антивирус все же выдает сообщение:
M:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx - Win32/Conficker.X червь

iskander-k, сделал. Только есть проблема: B]report.txt[/b] объемом 390MБ.

какую ошибку?
пробуем выполнить скрипт, убрав из него строчку SearchRootkit(true, true);

упакуйте и залейте на файлообменник, ссылку сюда

а что с логом Gmer? добавьте при проверке диск "M:\".

Каким образом запускали утилиту ? просто кликом на ехе - файл или с применением команд ?
Вы нодом проверяли до применения утилиты кк или после ?
Вы утилитой кк проверяли ваш внешний диск М ?

В архиве он будет весить намного меньше.

maniy77,
Простите. Забыл вложить скриншот в предыдущее сообщение. и удалил его быстренько. Но убрал указаную Вами строку и все нормально пошло.

Malware тоже выдает ошибку при обновлении. Чую, что проблема с прокси-сервером. Настройки прописал, но не помогло. Человека, который может помочь, сейчас нету. На всякий случай кидаю скриншот.


iskander-k,
Через CMD из корня диска С:\ с ключами для сканирования flash и создания лога, согласно указаниям на сайте Лаборатории Касперского.
Вчера и до, и после. Оба раза мне выругалось только на червь в M:\RECYCLER.
autorun.inf я не нашел, хотя в понедельник вечером он еще был. С жесткимим диском я ничего не делал.
Оно мне проверило и диск С, и диск М.

Ссылка на отчет KK:
report.rar

Прикрепляю:
- логи RSIT;
- логи AVZ;
- лог GMER;
- ошибка Malware.

Проверьте диск М куреитом скачать - http://www.freedrweb.com/cureit/?lng=ru
- и

Kaspersky Virus Removal Tool- http://support.kaspersky.ru/viruses/utility

Просканировал с помощью CureIt свой внешний HDD. Нашло заразу в M:\RECYCLER и удалило ее. После чего просканировал нодом весь комп - ничего не нашло. Я так понимаю, тему можно считать закрытой? :)

можете проверить курейтом и все ваши диски для верности.

Да.

Спасибо за помощь :)