Не могу избавиться от вирусов Generic и Chydo. Каждый день делаю полную проверку и лечение антивирусом Касперского, но вирус размножается заново.

[136511]

Не могу избавиться от вирусов Generic и Chydo.
Каждый день делаю полную проверку и лечение антивирусом Касперского, но вирус размножается заново.
В папках с файлами появляются *.exe файлы с именем папки, а также файлы *.bat и *.scr
Пару дней назад поудалял их все. Также был настроен автозапуск на зараженные исполняемые файлы со странными именами в папке C:\TEMP. Эти Файлы также удалил Unloker'ом и убрал автозапуск.
Но сегодня опять антивирус Касперского обнаружил:

• IM-Worm.Win32.Chydo.ccq
• IM-Worm.Win32.Chydo.ehv
• UDS.DangerousObject.Multi.Generic

virusinfo_syscheck.zip
hijackthis.log

[Info_bot]

Уважаемый(ая) 136511, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
 StopService('WindowsMangerProtect');
 QuarantineFile('WindowsMangerProtect.sys', '');
 QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe', '');
 DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe', '32');
 DeleteFile('WindowsMangerProtect.sys', '32');
 DeleteService('IHProtect Service');
 DeleteService('WindowsMangerProtect');
 DeleteFileMask('c:\programdata\windowsmangerprotect', '*', true);
 DeleteDirectory('c:\programdata\windowsmangerprotect');
 DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'bkrdnwklt');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AppsHat');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

Есть подозрение, что вирусы с других компьютеров по сети лезут.

[136511]

virusinfo_syscheck.zip
AdwCleaner[R0].txt

[Vvvyg]

Внимание

Удалите файл quarantine.zip из вложений!

Даже если его не принимает карантин, не нужно quarantine.zip прикреплять к сообщению.

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Другие компьютеры в локальной сети есть?

[136511]

Есть другой ПК, соединяеется с помощью Connectify. Но на нем никаких подобных проблем нет.
Изначально первый компьютер (тот что сейчас заражен) использовался без антивируса. На втором ПК изначально был Avast, и никаких проблем сейчас с ним нет.
MARINA-PC_2015-06-02_22-20-03.zip
AdwCleaner[S0].txt

[Vvvyg]

Не дождались, пока полный образ автозапуска uVS создастся. Если по моей ссылке скачивали (а надо бы), он будет уже упакован в формат .7z.

[136511]

MARINA-PC_2015-06-02_23-03-35.7z
Извините, сразу не разобрался

[Vvvyg]

Выполните скрипт в uVS:

Код:

;uVS v3.85.22 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delref ICURMGFRKFRYJXETWZFY.EXE
deltmp
restart

Компьютер перезагрузится.

Удалите остатки Avast! утилитой aswclear.exe в безопасном режиме.

Загрузите SecurityCheck by glax24 отсюда и сохраните на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[136511]

SecurityCheck.txt

[Vvvyg]

Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления

Установите Internet Explorer 11 даже если им не пользуетесь, это критически важный для безопасности компонент Windows.

Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Доставит некоторые неудобства при запуске программ, требующих повышения прав, но если реагировать адекватно на вопросы "Разрешить внесение изменений на данном компьютере следующей программе неизвестного издателя?", многие трояны не установятся в систему и не запустятся без такого предупреждения.

Центр обновления Windows (wuauserv) - Служба остановлена

Рекомендую включить Центр обновления и устанавливать своевременно все обновления, современные трояны используют уязвимости системы и приложений для своего распространения.

Adobe Flash Player 12 ActiveX & Plugin 64-bit v.12.0.0.44 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^

Системный брандмауэр включён, проверьте.