Вирус.

Вирус разошелся по сети.Выкладываю логи и карантин 2 ПК. Заранее спасибо.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('c:\windows\services.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('c:\program files\internet explorer\wmpscfgs.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\i81xnt5.sys','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2357581825-4114344874-343490852-6314\nissan.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\nisgw.exe,C:\RECYCLER\S-1-5-21-2357581825-4114344874-343490852-6314\nissan.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\ahrg.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\fouton.exe','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\qpctgmeeo.sys','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\tnhhjqqhiow.sys','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\haqkkoknfwiv.sys','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\jwxyubokf.sys','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\nkcykv.sys','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\jfvzweamc.sys','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\lkzht.sys','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\gkudsk.sys','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\lfvvjs.sys','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\cdunlvwnkkvgk.sys','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\cdunlvwnkkvgk.sys');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\lfvvjs.sys');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\gkudsk.sys');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\lkzht.sys');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\jfvzweamc.sys');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\nkcykv.sys');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\jwxyubokf.sys');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\haqkkoknfwiv.sys');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\tnhhjqqhiow.sys');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\qpctgmeeo.sys');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\fouton.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\nisgw.exe,C:\RECYCLER\S-1-5-21-2357581825-4114344874-343490852-6314\nissan.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\ahrg.exe');
DeleteFile('c:\program files\internet explorer\wmpscfgs.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2357581825-4114344874-343490852-6314\nissan.exe');
DeleteFile('F:\autorun.inf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','regatte');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe_Reader');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteService('ummplctqdnrgy');
DeleteService('zsxslgarypi');
DeleteService('spgpigynv');
DeleteService('qurfyepa');
DeleteService('qqpnif');
DeleteService('onrdnleylldl');
DeleteService('jurzxkdla');
DeleteService('jpnyokvz');
DeleteService('jdaarqcruloxv');
DeleteService('droclsaf');
DeleteFileMask('C:\Windows\Tasks', 'At*.job', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи (по возможности обычным AVZ)
Полиморфный AVZ в моей подписи поновее будет. Пользуйтесь им, если обычный не запустится

Выкладываю новые логи.

[B]Внимание[/B]: один из файлов, относящихся к принтеру или утилите для работы с принтером, подменен вирусом. Придется переустановить драйвера и программы для принтера

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\spool\drivers\w32x86\3\cnap2lak.exe');
DeleteFile('c:\windows\system32\spool\drivers\w32x86\3\cnap2lak.exe');
DeleteFile('c:\program files\internet explorer\wmpscfgs.exe');
DeleteFileMask('C:\Windows\Tasks', 'At*.job', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится

Сделайте новые логи [SIZE="3"][B](по возможности обычным AVZ с обновленными базами)[/B][/SIZE]
[B]Полиморфный AVZ в моей подписи поновее будет. Пользуйтесь им, если обычный не запустится[/B]

Логи

Плохого не видно. Что с проблемой?

Все Окей. Большое спасибо!!!

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Сейчас будет карантин.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]113[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор\application data\microsoft\fouton.exe - [B]Trojan-Clicker.Win32.Cycler.ozg[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APFB, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\program files\internet explorer\wmpscfgs.exe - [B]Trojan-Clicker.Win32.Cycler.ozg[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APFB, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\services.exe - [B]Trojan-Clicker.Win32.Cycler.ozg[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APFB, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\spool\drivers\w32x86\3\cnap2lak.exe - [B]Trojan-Clicker.Win32.Cycler.ozg[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APFB, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]