Помогите определить вирус и защититься от него

Пользователь прошел по ссылке в письме, скачал архив, распаковал из него файл с расширением scr .... и... на ПК появились файлы офиса с расширением .docxenos.
У пользователя (Windows XP SP 3, Nod32 с обновленными базами)


Просканировал его ПК CureIt - все чисто, kaspersky virus removal tool - нашел вирус и определил его как uds:DangerousObject.Multi.Generic.

Что я сделал:
0. Создал виртуальную машину, установил на нее Trend Micro Maximum Security (обновил базы).
1. На виртуальной машине прошелся по ссылке, скачал файл и запустил его.
1.1. Натравил установленный антивирус на архив - угроз не обнаружено.
1.2. Натравил установленный антивирус на распакованный из архива файл - угроз не обнаружено.
2. Проверил файл через онлайн сканеры:
2.1. virusscan.jotti.org/ru- определил, что файл чист;
2.2. virustotal.com - только kaspersky (один из 57 лабораторий) определил UDS:DangerousObject.Multi.Generic
2.3. metascan-online.com - только Xvirus (один из 44) определил Heur:Threat@79
3. Проделал все необходимые операции указанные в инструкции по запросу помощи на Вашем сайте.

Вопрос:
1. Надо ли еще чем-то просканировать ПК пользователя?
2. Как защититься от подобных вирусов в корпоративной сети (одноранговая сеть)?
3. Может ли эта зараза расползтись по локальной сети?

Уважаемый(ая) [B]Patriot01[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
QuarantineFile('c:\documents and settings\all users\application data\zdsupport\zdserv\cancelautoplay_server.exe','');
QuarantineFile('C:\DOCUME~1\Admin\C316~1\903F~1\ADMN20~1\ADMN20~1.SCR','');
DeleteFile('C:\DOCUME~1\Admin\C316~1\903F~1\ADMN20~1\ADMN20~1.SCR','32');
ExecuteSysClean;
RebootWindows(true);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

файлы добавлены

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]

проверил, прикладываю логи

[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
C:\Documents and Settings\Admin\Local Settings\Temp\downloader.exe
C:\Documents and Settings\Admin\Local Settings\Temp\storePwd.exe
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]