Обновления на систему и уязвимый софт все установлены?

Да)

Попробуйте сменить пароли на учетные записи. Соберите логи, когда заражение будет активным - сейчас в логах чисто.

ОК. Вы все таки считаете что это были вредоносы, а не глюки ОС?

Сегодня утром вот такое чудо вылезло:

http://images.vfl.ru/ii/1340526030/f9836ac0/663554.png

Авирой ничего не стал делать, зааплоад файл на ВирусТотал .
Пока новые симптомы: вылетает сам по себе explorer.exe, при наборе текста иногда вываливается всякая чушь типа "воафщышувгадяльсчмфдылвоычмьюбфытукщгшнфылчмьтфывбьюктаыфбсьмтфывбюкьгыфвдшлтсычбьмитфщыукргыьсмитЫЮ ВБЬКАрыБЬСМт ДЛЮОУКРаЛТЧЯИмсБКарофыловарпфывкаофырвмьбаывтраклдыув паывлпор ЛДФЫВопе ЬБВР"

Результаты ВирусТотал по нему (https://www.virustotal.com/file/b631ee47a544c66110af7fb127ddc745d89b3d8a82257131829a2f5fc3cf946f/analysis/1340526182/)

Выполнил скрипт карантина для этого файла, но пока не удалял. Карантин выслал через вашу специальную форму.
Сейчас собираю логи AVZ повторно.Дата создания файла - сегодня, час ночи.

Логи AVZ: https://dl.dropbox.com/u/14356456/oszone/LOG_POSTCARD.rar
Лог RSIT: https://dl.dropbox.com/u/14356456/oszone/rsit_log1.txt

SilverFire, почему у вас базы AVZ 20.05? Обновите и повторите сканирование.

Эм... по непонятным мне причинам не обновляется, хотя пишет, что обновление завершено


http://images.vfl.ru/ii/1340528793/ef8cf019/663623.png

http://images.vfl.ru/ii/1340528812/0427df5c/663624.png

http://z-oleg.com/secur/avz/download.php


В случае проблем с автоматическим обновлением баз можно скачать архив, содержащий всю базу - avzbase.zip (архив обновляется два раза в сутки)
В архиве у них базы от 20.05, так что проблема вряд ли у меня

А отсюда http://tools.oszone.ru/okshef/Soft/Base.zip

https://dl.dropbox.com/u/14356456/oszone/LOG_POSTCARD_1.rar

Говто

Тем временем csrss.exe, кстати, продолжает по чуть-чуть плодится.

Здравствуйте!

Отключите антивирус/фаервол, интернет;

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". (http://safezone.cc/forum/showthread.php?t=10)


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\postcard.exe','');
QuarantineFile('C:\$Recycle.Bin\S-1-5-21-664521535-493802031-535234082-1000\$R5Z7L14.exe/{RAR-SFX}/run.bat','');
QuarantineFile('C:\$Recycle.Bin\S-1-5-21-664521535-493802031-535234082-1000\$R5Z7L14.exe','');
DeleteFile('C:\$Recycle.Bin\S-1-5-21-664521535-493802031-535234082-1000\$R5Z7L14.exe/{RAR-SFX}/run.bat');
DeleteFile('C:\Windows\postcard.exe');
DeleteFile('C:\$Recycle.Bin\S-1-5-21-664521535-493802031-535234082-1000\$R5Z7L14.exe');
BC_ImportAll;
ExecuteSysClean;
if MessageDLG('Отключить автозапуск со всех носителей, кроме CD?', mtConfirmation, mbYes+mbNo, 0) = 6 then
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.


после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ. Выполните обновление баз (Меню Файл - Обновление баз) Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины) В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip Закачайте полученный архив, как описано на этой странице (http://avz.safezone.cc/).

То, что в корзине - мой промах по Shift, когда жал Shift+Del. По адресу C:\Windows\ вредоноса postcard.exe уже нет, в корзине - тоже (очистил).
Карантин с вредоносом postcard.exe уже был выслан ранее через спец. форму на сайте.

Может не стоит делать лишние действия в виде выполнения еще раз скрипта?

лишние действия в виде выполнения еще раз скрипта? »
лишними они всё равно не будут, скрипт зачистит следы от файла в реестре если они есть.

+ к написанному в предыдущем посте.

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)