Пару дней назад вырубил касперского (закончился триал), с тех пор ПК не перезагружал работал в режиме гибернация-онлайн.
Сегодня днем придя с работы улыбнулся %):
Раздел где хранились фото, документы и т.д. (был расшарен по лок. сети) как после нашествия саранчи : почти все файлы удалены, оставили записку:

.txt ‎9 ‎июля ‎2011 ‎г., ‏‎16:11:32

Здарова тупой ***** ) Я тебя поимела !1!1 ахахахаха Ты тупой *** ! если чем-то не доволен *** *** , пиши в ICQ 637971570 .

Раздел с системой не тронут.
Пока потихоньку восстанавливаю данные.
Вопрос: по горячим вундеркинда отследить можно?
Чем и как полечится, что необходимо сделать сейчас?

Здравствуйте!

Выполните правила (http://forum.oszone.net/thread-98169.html).

Модераторам: перенесите в лечение.

восстановил данные, вместе с ними походу и всю нечисть за полгода...

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('???Y?.exe','');
QuarantineFile('C:\Windows\system32\pwdspio.sys','');
QuarantineFile('C:\Windows\system32\pwdrvio.sys','');
DeleteFile('???Y?.exe');
DeleteFile('D:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
R3 - URLSearchHook: - - - (no file)

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Malwarebytes' Anti-Malware

Сделайте повторные логи AVZ + RSIT »

удалите в мвам

Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.
Зараженные папки:
c:\Users\moonis\AppData\Roaming\archsoft (Trojan.Agent) -> No action taken.

Зараженные файлы:
c:\Users\moonis\AppData\Roaming\archsoft\winzipu.exe (Trojan.FakeSMS) -> No action taken.
c:\Users\moonis\AppData\Roaming\thinstall\microsoft office enterprise 2007\10000001400002i\msiexec.exe (Trojan.IRCBot) -> No action taken.
c:\Users\moonis\AppData\Roaming\thinstall\microsoft office enterprise 2007\1000000800002i\svchost.exe (Trojan.IRCBot) -> No action taken.
c:\Users\moonis\AppData\Roaming\thinstall\microsoft office enterprise 2007\1000000fd00002i\vssvc.exe (Trojan.IRCBot) -> No action taken.
c:\Users\moonis\AppData\Roaming\thinstall\microsoft office enterprise 2007\300000007100002i\SETUP.EXE (Trojan.IRCBot) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\rubashka.css (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\archstart.exe (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\dir.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\dot.gif (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\foot.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\logo.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\logo2.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\scroll.css (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\wfont.ttf (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\winzipninfo (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\_todel.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\_todel2.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\_todel3.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\_todel4.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\_todel5.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\_todel6.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\_todel7.png (Trojan.Agent) -> No action taken.
c:\Users\moonis\AppData\Roaming\archsoft\_todel8.png (Trojan.Agent) -> No action taken.

Сделайте повторные логи AVZ + RSIT » »

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
R3 - URLSearchHook: - - - (no file)

что с проблемой?

хмм... HijackThis не фиксит!(

что еще беспокоит?

Нет вроде, спасибо!

Смените пароль администратора и важные инетпароли

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли
Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool