Борьба с MCSSC

Добрый день. Несколько дней систему и меня мучает вирус-троян. В процессах Диспетчера задач присутствуют несколько копий процесса MCSSC. Детектится НОДом, но не убивается. Попытки вылечить КуреИтом не возымели успеха как в обычной, так и в сейфмоде. Имеют место часто переименовывающие себя процессы с именами из набора английских букв. Необходима поддержка тяжелой артиллерии, т.к. штатные средства борьбы закончились. Пожалуйста помогите с излечением. Спасибо.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\82.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7261471765-2988619325-980645526-2802\mcssc.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\qoqmgnm.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\hnklede.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\gsqtwle.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\iwtncqo.exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\iwtncqo.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\gsqtwle.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\hnklede.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\qoqmgnm.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7261471765-2988619325-980645526-2802\mcssc.exe');
DeleteFile('C:\WINDOWS\system32\82.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\WINDOWS\system32\36.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\55.exe');
DeleteFile('C:\WINDOWS\system32\87.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=89969[/url]).
Сделайте новые логи.

Все сделал как просили. Дошел ли лог с вирусами? он не пристегивался как надо... Спасибо

[QUOTE='Bratez;720735']Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=89969[/url]).[/QUOTE]
Выполните

Хммм ... не пролезает 2-х метровый лог с вирусами... Отправлен - трижды....

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Результат загрузки
Файл сохранён как 101015_154718_virus_4cb83f4610eaa.zip
Размер файла 2115134
MD5 918dc349da8ca584e71fdf9004bef01d
Файл закачан, спасибо!

Отключите компьютер от интернета, а также [URL="http://virusinfo.info/showthread.php?t=57441"]отключите[/URL] [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
TerminateProcessByName('c:\documents and settings\Администратор\application data\oasgvjf.exe');
TerminateProcessByName('c:\recycler\s-1-5-21-7135590267-8372133385-717278651-1491\mcssc.exe');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\oasgvjf.exe','');
QuarantineFile('c:\documents and settings\Администратор\application data\oasgvjf.exe','');
QuarantineFile('c:\recycler\s-1-5-21-7135590267-8372133385-717278651-1491\mcssc.exe','');
QuarantineFile('C:\WINDOWS\system32\48.exe','');
QuarantineFile('C:\WINDOWS\system32\50.exe','');
QuarantineFile('C:\WINDOWS\system32\56.exe','');
QuarantineFile('C:\WINDOWS\system32\65.exe','');
QuarantineFile('C:\WINDOWS\system32\82.exe','');
QuarantineFile('C:\WINDOWS\system32\08.exe','');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\56.exe');
DeleteFile('C:\WINDOWS\system32\65.exe');
DeleteFile('C:\WINDOWS\system32\82.exe');
DeleteFile('c:\recycler\s-1-5-21-7135590267-8372133385-717278651-1491\mcssc.exe');
DeleteFile('c:\documents and settings\Администратор\application data\oasgvjf.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\oasgvjf.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','msnmsgs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин еще раз по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам

[QUOTE='Andy711;720776']Результат загрузки
Файл сохранён как 101015_154718_virus_4cb83f4610eaa.zip
Размер файла 2115134
MD5 918dc349da8ca584e71fdf9004bef01d
Файл закачан, спасибо! [/QUOTE]
Получено

[B][SIZE=2]Результат загрузки[/SIZE][/B]

[B][SIZE=2]Ошибка загрузки. Данный файл уже был загружен[/SIZE][/B]

Переименование файла не помогает

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Скрипты отправлены на исполнение.

Лог вирусов, по прежнему, переслать не представляется возможным

Получилось!

Пожалуйста скорректируйте последние действия. Уже охрана выгоняет :(

В логах чисто. Что с проблемой?

Комп работает "с натягом" похоже что что то его немного тормозит... В процессах подозрительного не найдено....

Сделайте лог [url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url]

Найдено 4 инфицированных объекта...

Уважаемые хелперы. У меня остался ряд вопросов и тормоза на компе :)
1. Что делать с зараженными файлами?
2. Нужно ли включить обратно восстановление системы?. Я не дождался комментария - думаю что лучше включить (включил).
3. Нужно ли снести МВАМ? (пока оставил)
4. В приложениях находятся устаревшие сведения относительно размеров антивирусных программ. Сегодня выкачивал: Каспер - 78 метров ДрВеб - 48,3. Если будет время - пожалуйста исправьте.
5. Ну и в заключении вот: # Помочь вы нам можете, если перейдёте по данной ссылке и выполните. Спасибо! # А результат - таков: #Тема не существует или не указан идентификатор (номер). Если вы уверены, что использовали правильную ссылку, свяжитесь с администрацией#

КАасперский после перезапуска компа дал такой лог... По всей вероятности из карантина не удалились локализованные вирусы.

Надеюсь это не сведет всю проделанную нами сегодня работу на "нет"... ??
Лог - прилагаю...

up. Пожалуйста посмотрите логи. Спасибо.

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url]
[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.[/CODE]

Выполнено. Что делать с карантином?
Если не сложно, ответте на вопросы 3 поста выше. Спасибо.

[size="1"][color="#666686"][B][I]Добавлено через 39 секунд[/I][/B][/color][/size]

ps тормоза сохранились...

Отключите антивирус и фаервол.
- [url="http://virusinfo.info/showthread.php?t=10025"]Очистите[/url] темп-папки, кэш проводников, cookies и корзину.
Сделайте полную проверку с помощью cureit в безопасном режиме.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.