Знаю, что зараза эта из элитных. Прочитал пару мануалов по удалению - ничего не помогло. Решил прийти туда, где не раз помогали (пусть и не в лечении от вирусов). Надеюсь, на то, что великие хелперы подсобят в лечении и моей железяки.
NOD32 сегодня сказал, что на внешнем жестком диске гуляет Conficker.X, имеются заражения в Recycle и файл autorun.inf.
Логи прикрепил. Интересует диск "M:\". Если что не так - не сердчайте. Первый раз у меня такое :).

Добрый день

вот это узнаете?
C:\Users\MDDE5~1.ZHU\AppData\Local\Temp\Torrent2Exe\T2E.exe висит у вас в автозагрузке

на "M:\" вижу автомобильные каталоги, авторана не вижу :)

давайте так

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\Temp\TS_619E.tmp','');
QuarantineFile('C:\Windows\Temp\TS_1A2C.tmp','');
DeleteFile('C:\Windows\Temp\TS_1A2C.tmp');
DeleteFile('C:\Windows\Temp\TS_619E.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.5.2:3128
ваши настройки? если нет, то фиксим в HijackThis (http://forum.oszone.net/post-1430293-2.html) эту строчку

Сделайте повторные логи AVZ + RSIR
+
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
+
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Conficker (Kido)



1/Скачайте архив kk.zip (http://support.kaspersky.ru/downloads/utils/kk.zip) и распакуйте его в отдельную папку на зараженном компьютере.
2/Отключите компонент Антивирус на время работы утилиты,
3/Запустите файл kk.exe.

При запуске файла kk.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр, проверяет flash-накопители.
Дождитесь окончания сканирования.

По окончании сканирования на компьютере утилита будет ожидать нажатия любой клавиши для закрытия.



ВниманиеЕсли на компьютере, на котором запускается утилита KidoKiller, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.


для сканирования flash-накопителя
с записью подробного отчета в файл report.txt
(который создастся в папке, где находится файл kk.exe) используйте следующую команду:
kk.exe -r -y -l report.txt -v
-l <имя файла>


Запись информации в файл отчета
для сканирования другого раздела диска, например, D используйте команду:

kk.exe -p D:\

где
-p <путь для сканирования>

Подробная инструкция - http://support.kaspersky.ru/kis2009/error?qid=208636215

maniy77, это (C:\Users\MDDE5~1.ZHU\AppData\Local\Temp\Torrent2Exe\T2E.exe) мое, но я его уже убрал из автозагрузки
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.5.2:3128
ваши настройки? если нет, то фиксим в HijackThis эту строчку »
и это наше :)

Касательно всего остального:
Запускаю AVZ, выполняю первый указанный скрипт и получаю ошибку. Никаких перезагрузок. Скриншот во вложении.

А вот куда делся autorun.inf ума не приложу. NOD32 молчит, скрытые системные файлы его не отображают. Он просто взял и пропал, хотя никаких махинаций, после того, как составил логи для этой темы я с внешним HDD не производил. Правда, при сканировании, антивирус все же выдает сообщение:
M:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx - Win32/Conficker.X червь

iskander-k, сделал. Только есть проблема: B]report.txt[/B] объемом 390MБ.

апускаю AVZ, выполняю первый указанный скрипт и получаю ошибку. »
какую ошибку?
пробуем выполнить скрипт, убрав из него строчку SearchRootkit(true, true);

iskander-k, сделал. »

упакуйте и залейте на файлообменник, ссылку сюда

а что с логом Gmer? добавьте при проверке диск "M:\".

iskander-k, сделал. Только есть проблема: B]report.txt[/b] объемом 390MБ. »
Каким образом запускали утилиту ? просто кликом на ехе - файл или с применением команд ?
А вот куда делся autorun.inf ума не приложу. NOD32 молчит, скрытые системные файлы его не отображают. Он просто взял и пропал, хотя никаких махинаций, после того, как составил логи для этой темы я с внешним HDD не производил. Правда, при сканировании, антивирус все же выдает сообщение:
M:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx - Win32/Conficker.X червь »
Вы нодом проверяли до применения утилиты кк или после ?
после того, как составил логи для этой темы я с внешним HDD не производил. Правда, при сканировании, антивирус все же выдает сообщение: »
Вы утилитой кк проверяли ваш внешний диск М ?

проблема: B]report.txt[/b] объемом 390MБ. »
В архиве он будет весить намного меньше.

maniy77,
какую ошибку? »
Простите. Забыл вложить скриншот в предыдущее сообщение. и удалил его быстренько. Но убрал указаную Вами строку и все нормально пошло.

Malware тоже выдает ошибку при обновлении. Чую, что проблема с прокси-сервером. Настройки прописал, но не помогло. Человека, который может помочь, сейчас нету. На всякий случай кидаю скриншот.


iskander-k,
Каким образом запускали утилиту ? просто кликом на ехе - файл или с применением команд ? »
Через CMD из корня диска С:\ с ключами для сканирования flash и создания лога, согласно указаниям на сайте Лаборатории Касперского.
Вы нодом проверяли до применения утилиты кк или после ? »
Вчера и до, и после. Оба раза мне выругалось только на червь в M:\RECYCLER.
autorun.inf я не нашел, хотя в понедельник вечером он еще был. С жесткимим диском я ничего не делал.
Вы утилитой кк проверяли ваш внешний диск М ? »
Оно мне проверило и диск С, и диск М.

Ссылка на отчет KK:
report.rar (http://upload.net.ua/download.php?file=report_rar38)

Прикрепляю:
- логи RSIT;
- логи AVZ;
- лог GMER;
- ошибка Malware.

Проверьте диск М куреитом скачать - http://www.freedrweb.com/cureit/?lng=ru
- и

Kaspersky Virus Removal Tool- http://support.kaspersky.ru/viruses/utility

Просканировал с помощью CureIt свой внешний HDD. Нашло заразу в M:\RECYCLER и удалило ее. После чего просканировал нодом весь комп - ничего не нашло. Я так понимаю, тему можно считать закрытой? :)

помощью CureIt свой внешний HDD »
можете проверить курейтом и все ваши диски для верности.

Я так понимаю, тему можно считать закрытой? »
Да.

Спасибо за помощь :)