Проявился Win32.HLLW.Autoruner.5555 (он же Kido)

[Vadyanoi]

Здравствуйте! Опять возникла проблема с вирусом, и теперь уже точно знаю к кому обращаться (...и всем, кстати рекомендую).
Вчера вечером во время работы в Инете, обратил внимание, что исходящий траффик превосходит входящий, сразу понял, что "попался". И точно жена призналась, что письмо открывала с вложением , якобы с сайта "Жди меня". Антивирус не стоял... Загрузил CureIt!, 24 часа сканировал, я думал сил не хватит... понял что "5555- Kido" добрался до меня. Всё сделал, как написано в правилах. Была только одна проблема, в Avz до обновления баз была абракадабра в меню написана, потом всё нормализовалось.
Высылаю логи, и с нетерпением жду ответа. Заранее, благодарю.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('L:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\helper.exe','');
 DeleteFile('L:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\helper.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteSvc('Virtual Memory Protector');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=43856

3. Повторите логи.

4. Сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118

[Vadyanoi]

Спасибо за ответ. Скрипт выполнил, карантин тоже отправил. Вот требуемые логи. Жду дальнейших указаний...

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\helper.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\helper.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=43856

3. Повторите лог virusinfo_syscheck.

[Vadyanoi]

Здравствуйте, карантин вроде бы отправил, (наверное на ту же тему, в ссылке не отобразилась).
Скрипт выполнил, единственное отключил Dr. Web (самозащиту), который установлен, но не заметил, что работает Guard, он опять выловил вирус "5555", отключил его. Теперь не знаю, может повторить все шаги с выключенным Guardом?
С нетерпением ожидаю у компа ответа.

[Aleksandra]

Ничего зловредного в логах нет.

[Vadyanoi]

Получается, что можно работать?
Подскажите, пожалуйста, такой вопрос , если комп у меня подключен к домашней сети локальной (около 2000 пользователей), достаточно ли установленного теперь Dr. Weba, и по Вашему мнению необходимо ли устанавливать Firewall? Если Да - то какой порекомендуете?
Спасибо за помощь (реальную и толковую).

[Vadyanoi]

Ну вот, не стал писать во время и сразу после праздников... Только мне ответили, что комп чист. Сразу отключил сетевой кабель, сделал образ диска "С" Акронисом, на всякий случай пока комп чист...и! вновь, эти 5555 вылезли на диске "С"... хорошо хоть Web его ловит, периодически эта ситуация повторяется. Значит не так уж хорошо и полечился, хотя вроде всё, как в правилах делал?(
Подскажите что делать вновь?

[pig]

Логи, наверное.

[Vadyanoi]

Было много работы, поэтому долго не мог прислать логи. За это время, комп раз в час полтора находит вирус в 2 папках и Dr. Web без проблем его удаляет. Сейчас делал логи без входа в локальную сеть, Инет включал по беспарольнику...
Надеюсь на помощь. Заранее благодарю.

[Aleksandra]

Сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118

[Vadyanoi]

Высылаю лог. Очень хочется скорее решить проблему, потому что по беспарольному доступу скорость, ну просто ужасная, а сеть ещё не включал, во время создания логов.

[Vadyanoi]

Дополнение: во время работы в Инете сегодня раза три комп зависал при открытии страницы. Ctrl Alt Delete не помогали, приходилось перезагружать комп на системном блоке. Это вирусная активность?

[Vadyanoi]

Читал, что в случае суточного отсутствия ответа, желательно повторить сообщение, может его просто не заметили.
И вот... вновь жду помощи...

[Aleksandra]

В логе Gmer чисто.

Выполните скрипт в AVZ:

Код:

begin
 ExecuteAVUpdate;
 SetAVZPMStatus(true);    
 RebootWindows(true);
end.

Повторите логи...

[Vadyanoi]

Скрипт выполнил. Выкладываю логи.
Пока работаю по беспарольному инету без сети вроде проблем нет. Вирус не выскакивает и пока комп не зависал...

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\drivers\OURRVORQ.sys'); 
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_DeleteSvc('OURRVORQ');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Повторите лог virusinfo_syscheck.

[Vadyanoi]

Высылаю необходимый лог. Заранее благодарю за помощь.

[Aleksandra]

Ничего зловредного в логах нет. Что с проблемами?

[Vadyanoi]

Вроде бы после выполнения логов и скриптов Internet Explorer больше не зависал так, что ни туда, ни сюда. Правда, и в Инете я специально долго не сидел, сейчас конечно сделаю образ диска Акронисом.
Вот только хотел бы действительно выслушать совет, по файерволу. Дело в том, что никогда им не пользовался, думаю какой ставить. Понимаю, что вероятнее всего проблема в домашней локальной сети, где очень много пользователей, уже две недели в ней не был, но надо кабель подключить, ибо там скорость Инета значительно выше, да и файлообменник необходим.
Надеюсь на совет, спасибо за помощь в лечении.