Здравствуйте,недавно с флешки получил вирусы,заметил это появлением нескольких подозрительных процессов в диспетчере задач и в автозагрузке,помогите пожалуйста избавиться от них,вот логи

Здравствуйте!

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

Вот лог от Malwarebytes' Anti-Malware а от Combofix лог снять не получилось

Combofix лог снять не получилось »
Почему?

Удалите все найденные объекты в MBAM, кроме указанныех ниже:

Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые файлы:
c:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\greenfields.scr (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> No action taken.
c:\program files\half-open\tools\CertMgr.Exe (Malware.Packer.Gen) -> No action taken.
c:\program files\half-open\tools\makecert.exe (Malware.Packer.Gen) -> No action taken.
c:\program files\total commander\Utils\7z\Upack.exe (Malware.Packer.Gen) -> No action taken.
d:\Games\FS\LFS\lfst-y18plusrader_pl.exe (PUP.HackTool.HotKeysHook) -> No action taken.
d:\Всячина\дистрибутивы\Network\keygen.exe (Trojan.Dropper) -> No action taken.

Сделайте новый лог сканирования MBAM.

Internet Explorer обновить до восьмой версии, даже если его не используете!

Combofix зависал на процессе сканирования,пробовал раза 3,ждал долго но толку не было.Internet Explorer обновил,вот новый лог MBAM

Удалить в MBAM:
Заражённые файлы:
c:\WINDOWS\Temp\913.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\Temp\294.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\Temp\513.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\Temp\072.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020724.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020725.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020726.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020727.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020728.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020729.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020730.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{8021a128-01fa-4133-a9f1-bdf9746fd006}\RP16\A0020731.exe (Trojan.Dropper) -> No action taken.

Combofix зависал на процессе сканирования,пробовал раза 3,ждал долго но толку не было »

При использовании ComboFix не забывайте пожалуйста про инструкции:
Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

Если не получается подготовить лог ComboFix в нормальном режиме, то попробуйте подготовить лог загрузившись в безопасном режиме (http://support.microsoft.com/kb/315222) [Safe Mode].

Всё удалил,а Combofix в безопасном режиме тоже не работает

Подготовьте пожалуйста лог OTL by Oldtimer (http://safezone.cc/forum/showthread.php?t=12019)

Вот логи от OTL by Oldtimer

Проверьте файлы на www.virustotal.com и дайте ссылку на результат проверки.
C:\windows\sbsystem.dat
C:\windows\System32\ezsidmv.dat


Запустите OTL. Скопируйте ниже написанный скрипт в окно Custom Scans/Fixes и нажмите кнопку Run Fix
:OTL
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://eroshal.ucoz.ru
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eroshal.ucoz.ru
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://eroshal.ucoz.ru
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eroshal.ucoz.ru
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://eroshal.ucoz.ru
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eroshal.ucoz.ru
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://eroshal.ucoz.ru
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eroshal.ucoz.ru
IE - HKU\S-1-5-21-682003330-1284227242-1417001333-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://eroshal.ucoz.ru
IE - HKU\S-1-5-21-682003330-1284227242-1417001333-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eroshal.ucoz.ru
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKU\S-1-5-21-682003330-1284227242-1417001333-1004\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O32 - AutoRun File - [2010.11.16 20:29:42 | 000,000,000 | -H-D | M] - C:\AUTORUN.INF -- [ FAT32 ]
O32 - AutoRun File - [2010.08.15 19:46:00 | 000,000,000 | -H-D | M] - D:\AUTORUN.INF -- [ NTFS ]
O33 - MountPoints2\{b7547c92-1c25-11e0-84a7-001fc6c5bab1}\Shell\AutoRun\command - "" = J:\PMBP_Win.exe
MsConfig - StartUpFolder: C:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^6k81whi.exe - - File not found
MsConfig - StartUpFolder: C:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^ezav081cno.exe - - File not found
MsConfig - StartUpFolder: C:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^upll2rsn0.exe - - File not found
MsConfig - StartUpFolder: C:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^xnndj60lghm.exe - - File not found

:Files
autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c

:Commands
[purity]
[emptytemp]
[resethosts]
[CREATERESTOREPOINT]
[emptyflash]
[Reboot]

Внимание! Компьютер перезагрузится!

Прикрепите полученный лог к вашему сообщению.

Прикрепите пожалуйста новый лог сканирования [B]MBAM.

http://www.virustotal.com/file-scan/report.html?id=7e8e4e3da961f40613bb098407bd22145a292ef3874f5300575bbd37d6d57552-1300961218

http://www.virustotal.com/file-scan/report.html?id=e3fc1d2300fe854524450f01e46c98f33e825e7bcd2e7898df0a8e4813dfe03b-1300962154

Скрипт выполнил,вот логи

Ka4aHoK, проблема решена?

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://safezone.cc/images/combofix-uninstall.jpg

Запустите OTL, нажмите кнопку CleanUp.
Перезагрузитесь.

zirreX, похоже что да,спасибо огромное за помощь!=)

zirreX, похоже что да,спасибо огромное за помощь! »

Не за что, обращайтесь, если что. :)

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы:
Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам:
- не работать за компьютером с правами администратора
- использовать браузер Firefox с дополнением NoScript (https://addons.mozilla.org/ru/firefox/addon/722/).
(Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения)
- регулярно устанавливать обновления Windows
- обновлять антивирусные базы

zirreX, спасибо за совет =)