Conficker.

Привет.
Прочитал новость об эпидемии червя - попытался зайти на сайт майкрософта - не получилось. Из антивирусов стоит Nod32, обновленный, не обнаружил ничего. Фаервола не имею. Понятия не имею также, как отключить автозапуск USB устройств.
Удалил Конфикер с помощью майкрософтовской утилиты (windows-kb890830-v2.6), установил патч на ХР, поменял пароль администратора - вроде бы удалилось.
Но конфикер все равно продолжает лезть. Удалял уже раза три-четыре - без успеха. Сейчас это зашло настолько далеко, что svchost.exe завершается с ошибкой и после этого система отвисает.
Я в отчаянии. Формат делать нельзя - важные файлы. Помогите пожалуйста избавиться от гадости. Не хочу быть в списке зомбей досящих сайт президента.

Ниже прилагаю три лога в соответствии с правилами.

Скачайте [URL="http://www.gmer.net/gmer.zip"]Gmer.[/URL] Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Лог прикрепил.

Бамп. Опять лезет.
CureIt определяет зверя как Win32.HLLW.Shadow.based.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dnzin.dll ',' ');
DeleteFile('C:\WINDOWS\system32\dnzin.dll');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

[COLOR=Red]На этом лечение не закончится![/COLOR]

После выполнения скрипта, сделайте еще раз лог Gmer.

Скрипт не удалил ничего. Чтобы зайти на сайт и взять его мне пришлось удалить именно тот самый dll, потому что вирус блокирует любые адреса содержащие virusinfo, microsoft и так далее. А если я его удалю еще раз, чтобы зайти и скопипастить новый скрипт на удаление новой твари - тварь при следующем ребуте делает dll уже с другим именем. Замкнутый круг.

Видимо придется делать формат.
Теперь такой вопрос: конфикер может заразить файлы с расширением *.ai, *.fla, *.as, *.eps, если их аплоадить с освобожденного на некоторое время компьютера на сервер через фтп? Хотя бы часть файлов сохраню, если да.

[quote=AndrewBG;337829]Видимо придется делать формат.[/quote]
Не надо делать формат! Мы что тут зря стараемся!?

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('jmqnyud');
DeleteService('wnzbubia');
DeleteService('xhnkdnvn');
DeleteService('ycpizatbr');
DeleteService('zeakfyv');
QuarantineFile('C:\WINDOWS\system32\dnzin.dll',' ');
DeleteFile('C:\WINDOWS\system32\dnzin.dll');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\jmqnyud','Description');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\wnzbubia','Description');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\xhnkdnvn','Description');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\ycpizatbr','Description');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\zeakfyv','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\jmqnyud');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\wnzbubia');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\xhnkdnvn');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\ycpizatbr');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\zeakfyv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('jmqnyud');
BC_DeleteSvc('wnzbubia');
BC_DeleteSvc('xhnkdnvn');
BC_DeleteSvc('ycpizatbr');
BC_DeleteSvc('zeakfyv');
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=37890[/URL]

3. Повторите лог Gmer.

Карантин прислал, лог gmer сделать не могу - после перезапуска системы через некоторое время завершается ошибкой процесс svchost.exe, после чего система зависает намертво. Помогает только резет.

А в безопасном режиме грузится?

Да. Вот лог.

1. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
DeleteService('trcqw');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\trcqw','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\trcqw');
BC_DeleteSvc('trcqw');
BC_Activate;
RebootWindows(true);
end.[/code]2. Повторите лог Gmer.

Вот.

Что с проблемой?

Вирус пока не подает признаков жизни, сайт майкрософта открывается. Но gmer ругается.

Загрузка проходит нормально?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[quote=AndrewBG;337923]Но gmer ругается.[/quote]
Знаю, а вообще опасности от такого ключа нету.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Давайте мы удалим эти ключи с помощью самого же Gmer в закладке реестр (в ручную).

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

HKLM\SYSTEM\CurrentControlSet\Services все ключи с trcqw
HKLM\SYSTEM\ControlSet002\Services все ключи с trcqw
HKLM\SYSTEM\ControlSet001\Services все ключи с trcqw

[QUOTE]Загрузка проходит нормально?[/QUOTE]
Загрузка системы? Пока что ошибок от svchost не было, тьфу-тьфу-тьфу, чтоб не сглазить.
[QUOTE]
Давайте мы удалим эти ключи с помощью самого же Gmer в закладке реестр (в ручную).
В HKLM\SYSTEM\CurrentControlSet\Services все ключи с trcqw
HKLM\SYSTEM\ControlSet002\Services все ключи с trcqw
HKLM\SYSTEM\ControlSet001\Services все ключи с trcqw[/QUOTE]
Если не сложно, как это можно сделать? Ключи нашел, а вот удалить - не знаю как.

Все понятно?

Вирус опять активен.

С чего Вы взяли?