[thyrex]

Пофиксите в HiJack

Код:

 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\3e12587e.exe,\\?\globalroot\systemroot\system32\GUXsuka.exe,
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Run: [svvchost.exe] C:\WINDOWS\system32\svvchost.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cidrive32.exe
O4 - HKLM\..\Run: [MS Virtual CLS] C:\WINDOWS\system32\msvmcls64.exe
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cidrive32.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\GUXsuka.exe','');
 QuarantineFile('C:\WINDOWS\system32\svvchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\3e12587e.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-2905220113-3771559440-814764635-4365\syscr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-3138314658-3492141702-376189354-1860\syscr.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-2905220113-3771559440-814764635-4365\syscr.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 TerminateProcessByName('c:\windows\system32\msvmcls64.exe');
 QuarantineFile('c:\windows\system32\msvmcls64.exe','');
 TerminateProcessByName('c:\windows\cidrive32.exe');
 QuarantineFile('c:\windows\cidrive32.exe','');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe','');
 DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
 DeleteFile('c:\windows\cidrive32.exe');
 DeleteFile('c:\windows\system32\msvmcls64.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-2905220113-3771559440-814764635-4365\syscr.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
 DeleteFile('C:\RECYCLER\S-1-5-21-2905220113-3771559440-814764635-4365\syscr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-3138314658-3492141702-376189354-1860\syscr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('C:\WINDOWS\system32\3e12587e.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
 DeleteFile('C:\WINDOWS\system32\svvchost.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svvchost.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\GUXsuka.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

Выполните дополнительно в обязательном порядке^

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению.
Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[pv ibn v]

Не удалось отправить quarantine.zip т.к. его размер больше 1.5 Мб. Как быть? В остальном сделал всё, как Вы сказали, во время работы Gmer компьютер самопроизвольно перезагружался.

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\AUOXfHo.exe
c:\windows\system32\YP4R4NY.exe
c:\windows\system32\oExFN6N.exe
c:\windows\system32\LCWfFco.exe
c:\windows\system32\eDe7YoF.exe
c:\windows\system32\jEnpBBK.exe
C:\WINDOWS\system32\cdbmq.dll

Driver::
fqevsd
oimev

Folder::

NetSvc::
fqevsd
oimev

Registry::
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fqevsd]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oimev]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fqevsd]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\oimev]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\fqevsd]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\oimev]

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Новый лог gmer также сделайте

[pv ibn v]

К сожалению не получается воспользоваться Gmer'ом - виснет. На сайты антивирусов заходить теперь можно, обрывы связи продолжаются, но теперь хотя бы получается её восстанавливать. Снова позвонил провайдеру, он утверждает, что с сетью всё OK и никаких обрывов быть не должно.

[thyrex]

Цитата pv ibn v:

К сожалению не получается воспользоваться Gmer'ом - виснет. »

Защитный софт (антивирус, файрволл из PC Tools) отключали? Если нет, сделайте и попробуйте. Также деинсталлируйте Daemon Tools перед созданием лога gmer.

Сделайте новый лог virusinfo_syscheck.zip

Сделайте дополнительно лог МВАМ

[pv ibn v]

С пятой попытки завершил сканирование Gmer'ом, удалил daemon tools, а файрволл и антивирус я всегда перед сканированием отключал. Выкладываю новые результаты. э-э-э virusinfo-syscheck получается после выполнения второго скрипта, я ничего, надеюсь, не перепутал?

[thyrex]

Удалите в МВАМ все найденное

После этого прикрепите новый лог МВАМ

[pv ibn v]

Удалил в MBAM всё найденное, прикрепляю новый лог. Соединение сейчас вроде бы стабильное обрывов связи почти 2 часа не было.

[thyrex]

Таак, за это время снова едва не схватили Кидо

Ознакомтесь со статьей http://support.kaspersky.ru/kis2009/error?qid=208636215 и выполните все рекомендованное.
А лучше установить все обновления, вышедшие после SP3.

После проверки КидоКиллером, сообщите результаты проверки