win32/nuwar червь и сопутствующие вирусы [Trojan-Downloader.Win32.Exchanger.arr ]

[Moksana]

Добрый вечер.
После нажатия на ссылку в интернет, nod 32 выдал несколько сообщений о вирусах. После недолгих поисков, был обнаружен процесс Oks.exe (именно так называется пользователь Oks) который невозможно было остановить. Этот же файл был найден на диске С, пробовала удалить его, отключить из автозагрузки - ничего не помогает. В безопасном режиме его не видно вовсе.
После запуска антивирусов и диагностики, по вашей схеме, сразу выслать файлы не смогла, так как интернет перестал работать.
Сначала думала, что это действия вируса. Решила даже переустановить Windows, но выяснилось, что не работает CD-rom. После обновления драйверов, отката и т.д. CD-rom начал работать и одновременно выяснилось, что проблемы с интернет - это проблемы СТРИМ, неудачное стечение обстоятельств.
Но за это время файл Oks.exe - исчез, и из автозагрузки и с диска С.

Прилагаю логи, сделанные до пропажи файла.
Помогите пожалуйста справиться.

[Макcим]

Логи нужны самые свежие.

[Moksana]

освежила логи)

[Макcим]

Выполните скрипт

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DelAutorunByFileName('digeste.dll');
 QuarantineFile('c:\windows\system32\cbevtsvc.exe','');
 DeleteFile('c:\windows\system32\cbevtsvc.exe');
 BC_ImportALL;
 BC_DeleteSvc('is-P9H3Jdrv');
 BC_Activate;
 ExecuteSysClean;
 ExecuteWizard('TSW', 1, 1, true);
 ExecuteWizard('BT', 1, 1, true);
 RebootWindows(true);
end.

Загрузите карантин согласно приложению №3 правил. Повторите логи.

[Moksana]

Скрипт выполнен без ошибок, согласно сообщению AVZ. но система не перезагрузилась, а повисла с одной только мышью на экране.
Пришлось перезагружать насильно.
Логи прилагаю.

[Moksana]

с карантином что-то не получается. Сначала писал что тему не указала, хотя она указана была. Теперь пишет что файл уже загружен..

Добавлено через 1 минуту

Результат загрузки
Файл сохранён как 081228_211116_virus_4957c14486d2e.zip
Размер файла 93605
MD5 20d4f0036386fcfcafe4724245d3726c

Файл закачан, спасибо!

[Макcим]

Выполните скрипт

Код:

begin
 RegKeyDel('HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Control\SecurityProviders','SecurityProviders');
 ExecuteStdScr(6);
end.

Чисто. Жалобы есть?

Карантин загрузился.

[Moksana]

нууу, как вам сказать. Жалобы они всегда есть))
Вот например в процессе этого всего действа заметила, что при выключении компьютера - окошеско ждущий режим, выключение, перезагрузка - должно быть сверху подписано: "мой компьютер" а там квадратики, как на конверте почтовом, для индекса. Вот. Не знаю, мне это конечно не мешает) А что значит то?

Добавлено через 52 секунды

Скрипт выполнила.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\cbevtsvc.exe - Trojan-Downloader.Win32.Exchanger.arr (DrWEB: Trojan.DownLoad.4419)