Проблема с компьютером (Сушко)

[Step_BY]

В один злополучный день не пустило в почтовый ящик на mail.ru.
Пароль вводили правильно. С другого компьютеро вошли без проблем.
Решил проверить на вирусы... Родным антивирусом с базами от 24.09.2010 ничего не нашло. Решил проверить курейтом. Оказалось меня не пускает ни на один сайт, посвященный безопасности компьютера Добрался с другого, не зараженного компьютера до вашего форума, скачал офлайн версию правил.
Попытался обновить базы на АВЗ с компьютера, который подозревается в заражении, но не смог соединиться сервером обновления (ошибку выкладываю в скрине). В общем, подготовил весь набор програм на чистом компьютере и в итоге при сканировании курейтом на зараженном компьютере нашло 3 трояна в папке Temporary Internet Files с расширением htm.
Затем, сделал логи, как указано в правилах. Интересно узнать, есть ли что-нибудь подозрительное.

[ARMA9000]

Код:

Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.32

На данный момент актуальная сборка АВЗ 4.35. Пожалуйста, скачайте новую сборку АВЗ, обновите абзы и переделайте логи.

[Step_BY]

ARMA9000, Странно, я обновлял базы с другого компьютера а потом перенес всю папку на зараженный. Сечас буду переделывать...

[Step_BY]

Прошу прощения, сверил обновлённую базу с той что на зараженном компьютере и, действительно, та оказалась старой. Дело в том, что провожу проверку сразу на нескольких компьютерах. Наверное просто забыл переписать базу с флешки после неудачного обновления. Теперь выкладываю новые логи.

Как я делал диагностику: Восстановление системы всегда отключено. Я им не пользуюсь. Выгрузил антивирус (для этого пришлось со второго сервера-антивируса разрешить такую возможность для клиентов), отключил сеть и интернет. Выполнил 3 стандартный скрипт. Перегрузился. 2 стандартный скрипт уже делал с включенным антивирусом и интернетом (если я правильно понял правила, то это нужно было делать так). Снова перегрузился. Сделал лог хайджекзис...

ЗЫ Решил проверить компьютер, с которого отправляю логи курейтом в безопасном. Он ругнулся на файл hosts и предложил восстановить его стандартные значения - я согласился. Вот, что было в "нестандартном":
127.0.0.1 localhost
127.0.0.1 mpa.one.microsoft.com
Это нормально?

[ARMA9000]

Сдается мне, что вы и логи перепутали. В старом логе у вас IE7 в новом 8(если, конечно, вы не установили). Да, и если вы ничего не делали, то сами вирусы вряд ли бы испарились.

127.0.0.1 mpa.one.microsoft.com

Это от кряка.

[Step_BY]

Прошу прощения за невнимательность.
Довели меня вирусняки до

[ARMA9000]

Отключить восстановление системы, защитное ПО.
Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
 QuarantineFile('c:\windows\system32\rserver30\r3in.dll','');
 QuarantineFile('\\?\globalroot\systemroot\system32\kVWF7my.exe','');
 QuarantineFile('C:\WINDOWS\system32\ea5f4250.exe','');
 DeleteFile('C:\WINDOWS\system32\ea5f4250.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\kVWF7my.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить. Что с проблемой?

[Step_BY]

Восстановление системы отключено всегда. Антивирус отключил, выполнил скрипт. Перезагрузился, запаковал карантин с паролем virus. Выполнил стандартный 3 скрипт по правилам. Снова перегрузился. Загрузил антивирус. Открыл в IE virusinfo.info (открылся ). Запустил 2 стандартный скрипт, после выполнения IE вывалился с ошибкой. Перегрузился - выполнил сканировование хаджек.
Вот логи.

[Step_BY]

Карантин:
Файл сохранён как 100925_122420_virus_4c9db1b446469.zip
Размер файла 1581
MD5 dadea493efc0ed40a3d2f2294787a6c8

[ARMA9000]

Установите IE8(даже если не используете его).
c:\windows\system32\rserver30\r3in.dll - этот файл вам знаком?
Больше плохого не вижу.

[Step_BY]

Установите IE8(даже если не используете его).
c:\windows\system32\rserver30\r3in.dll - этот файл вам знаком?
Больше плохого не вижу.

Ставил когда-то RAdmin, возможно его библиотека. Но так как перешел на стандартный виндовый удаленный рабочий стол - снесу его
Спасибо.

Добавлено через 1 час 15 минут

Ограничил основную рабочую учётку пользователю. Обновил ИЕ. Снес Радмин. Всё работает. Тему можно закрывать. Ещё раз огромное спасибо.

ЗЫ. Осталось 4 проблемных компа.

[Bratez]

Осталось 4 проблемных компа.

Каждому - отдельная тема.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены