Новые логи

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

DEQUARANTINE::
C:\Qoobox\Quarantine\c\program files\Internet Explorer\iexplore.exe.vir

RegLock::
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\.Default\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\AppGPFault\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\CCSelect\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\Close\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\CriticalBatteryAlarm\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\DeviceConnect\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\DeviceDisconnect\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\DeviceFail\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\InternetAlert\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\LowBatteryAlarm\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\MailBeep\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\Maximize\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\MenuCommand\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\MenuPopup\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\Minimize\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\Open\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\PrintComplete\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\RestoreDown\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\RestoreUp\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\ShowBand\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemAsterisk\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemExclamation\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemExit\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemHand\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemNotification\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemQuestion\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemStart\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\WindowsLogoff\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\WindowsLogon\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\ActivatingDocument\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\BlockedPopup\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\EmptyRecycleBin\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\FeedDiscovered\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\MoveMenuItem\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\Navigating\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\SearchProviderDiscovered\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\SecurityBand\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\PictureIt\PiDeleteObject\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\PictureIt\PiMiscue\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\PictureIt\PiTaskButton\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Names\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences]

Reboot:

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

c:\program files\Internet Explorer\iexplore.exe - проверьте на www.virustotal.com

Я, после проверки компьютера комбофиксом, попытался запустить Internet Explorer, ярлык остался, а фаил iexplore.exe был удален, я установил новый эксплоуер.
Комбофикс удалить способом указанным в http://safezone.cc/forum/showthread.php?t=2892, не получилось, удалил в ручную.

Проблемы, которые были до обращения на форум, пока не наблюдаются...
не пометил проблему решенной, т.к. решил выждать несколько дней, чтоб быть уверенным.

Напишите пожалуйста, есть ли смысл заново устанавливать комбофикс и выполнять дейтсвия из последнего письма?
Спасибо.

Ответ из лаборатории Касперского
_______________________________________________________
Здравствуйте,

Это сообщение сформировано автоматической системой обработки писем.

bcqr00001.dat,
bcqr00002.dat,
cbzvl.exe - P2P-Worm.Win32.Palevo.cvoh

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

С уважением, Лаборатория Касперского

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

RegLock::
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\.Default\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\AppGPFault\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\CCSelect\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\Close\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\CriticalBatteryAlarm\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\DeviceConnect\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\DeviceDisconnect\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\DeviceFail\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\InternetAlert\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\LowBatteryAlarm\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\MailBeep\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\Maximize\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\MenuCommand\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\MenuPopup\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\Minimize\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\Open\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\PrintComplete\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\RestoreDown\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\RestoreUp\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\ShowBand\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemAsterisk\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemExclamation\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemExit\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemHand\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemNotification\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemQuestion\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemStart\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\WindowsLogoff\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\WindowsLogon\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\ActivatingDocument\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\BlockedPopup\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\EmptyRecycleBin\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\FeedDiscovered\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\MoveMenuItem\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\Navigating\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\SearchProviderDiscovered\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\SecurityBand\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\PictureIt\PiDeleteObject\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\PictureIt\PiMiscue\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\PictureIt\PiTaskButton\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Names\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences]

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

раз палево), тогда делаем еще раз контрольные логи RSIT
+
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

После проверки ComboFix, снова не работает Internet Explorer...
Буду переустанавливать.

Уже третий день ни каких признаков вирусов.

Спасибо всем за помощь, думаю проблема решена.

Последние логи прилагаю.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://safezone.cc/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

Ок.
Спасибо.