[akoK]

Попробуйте деинсталировать по этой инструкции
http://www.pandasecurity.com/homeusers/support/card?id=41209&idIdioma=2

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку «ОК«

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Что с проблемами?

[akoK]

Сборка от зверя? У Вас стоял антивирус Panda?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::



File::

E:Documents and SettingsAdminГлавное менюПрограммыАвтозагрузкаdata.exe

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[akoK]

Здраствуйте.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
— скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
— если вы используете Firefox, нажмите Firefox — Select All — Empty Selected
— нажмите No, если вы хотите оставить ваши сохраненные пароли
— если вы используете Opera, нажмите Opera — Select All — Empty Selected
— нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:ComboFix.txt и прикрепите к сообщению. (или скопируйте в сообщение)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его. (или скопируйте в сообщение)

[akoK]

А в карантине лежало:

C:WINDOWSsystem32wintems.exe — Email-Worm.Win32.Bagle.o
C:WINDOWSsystem32driverssrosa.sys — Trojan-Downloader.Win32.Bagle.afm
C:WINDOWSsystem32mdelk.exe — Email-Worm.Win32.Bagle.of

[akoK]

Должен появится лог virusinfo_syscure.zip — вот его и приложите….также лог RSIT

[akoK]

В карантине
C:WINDOWSsystem32wintems.exe — Email-Worm.Win32.Bagle.of

AVZ, меню «Файл — Выполнить скрипт» — Скопировать ниже написанный скрипт— Нажать кнопку «Запустить».

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('%System32%driverssrosa.sys','');

QuarantineFile('%System32%drivershldrrr.exe','');

QuarantineFile('%System32%wintems.exe','');

QuarantineFile('%System32%driversmdelk.exe','');

QuarantineFile('%System32%mdelk.exe','');

DeleteFile('%System32%drivershldrrr.exe');

DeleteFile('%System32%driverssrosa.sys');

DeleteFile('%System32%wintems.exe');

DeleteFile('%System32%driversmdelk.exe');

DeleteFile('%System32%mdelk.exe');

BC_ImportALL;

ExecuteSysClean;

If DirectoryExists('%System32%driversdown') then

begin

DeleteFileMask('%System32%driversdown', '*.*', true);

DeleteDirectory('%System32%driversdown');

If DirectoryExists('%System32%driversdown') then

AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');

end

else

AddToLog('Папки down нет');

If DirectoryExists('%System32%driversdownld') then

begin

DeleteFileMask('%System32%driversdownld', '*.*', true);

DeleteDirectory('%System32%driversdownld');

If DirectoryExists('%System32%driversdownld') then

AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');

end

else

AddToLog('Папки downld нет');

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit') then

begin

AddToLog('Обнаружен параметр в реестре drvsyskit');

RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit');

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit') then

AddToLog('Ошибка удаления параметра drvsyskit') else

AddToLog('Параметр drvsyskit успешно удален');

end;

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe') then

begin

AddToLog('Обнаружен параметр в реестре german.exe');

RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe');

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe') then

AddToLog('Ошибка удаления параметра german.exe') else

AddToLog('Параметр german.exe успешно удален');

end;

if RegKeyExists('HKEY_CURRENT_USER', 'SoftwareFirstRRRun') then

begin

AddToLog('Найден ключ реестра FirstRRRun');

RegKeyDel('HKEY_CURRENT_USER', 'SoftwareFirstRRRun');

If RegKeyExists('HKEY_CURRENT_USER', 'SoftwareFirstRRRun') then

AddToLog('Ошибка удаления ключа реестра FirstRRRun') else

AddToLog('ключ реестра FirstRRRun успешно удален');

end;

SaveLog(GetAVZDirectory + 'B_d.txt');

BC_DeleteSvc('srosa');

BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Полученный архив отправьте на akokpisem.net с указанной ссылкой на тему. (at=@)

После перезагрузки выполнить такой скрипт:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

DeleteFile('%System32%drivershldrrr.exe');

DeleteFile('%System32%driverssrosa.sys');

DeleteFile('%System32%wintems.exe');

DeleteFile('%System32%driversmdelk.exe');

DeleteFile('%System32%mdelk.exe');

DeleteFile('c:windowssystem32wintems.exe');

DeleteFile('c:windowssystem32driverswinfilse.exe');

DeleteFile('c:documents and settingslidia.homeapplication datamflec006.exe');

DeleteFile('C:WINDOWSsystem32wintems.exe');

DeleteFile('C:WINDOWSsystem32driverswinfilse.exe');

DeleteFile('C:WINDOWSsystem32driverssrosa.sys');

DeleteFile('C:WINDOWSsystem32lphcew7j0e3fl.exe');

DeleteFile('D:System Volume Information_restore{932E7383-1977-44AF-9E7F-988839CF2A1B}RP42A0039651.exe');

DeleteFile('D:System Volume Information_restore{932E7383-1977-44AF-9E7F-988839CF2A1B}RP43A0041461.exe');

DeleteFile('D:System Volume Information_restore{932E7383-1977-44AF-9E7F-988839CF2A1B}RP43A0042429.exe');

DeleteFile('D:System Volume Information_restore{932E7383-1977-44AF-9E7F-988839CF2A1B}RP44A0043892.exe');

BC_ImportALL;

ExecuteSysClean;

If DirectoryExists('%System32%driversdown') then

begin

DeleteFileMask('%System32%driversdown', '*.*', true);

DeleteDirectory('%System32%driversdown');

If DirectoryExists('%System32%driversdown') then

AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');

end

else

AddToLog('Папки down нет');

If DirectoryExists('%System32%driversdownld') then

begin

DeleteFileMask('%System32%driversdownld', '*.*', true);

DeleteDirectory('%System32%driversdownld');

If DirectoryExists('%System32%driversdownld') then

AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');

end

else

AddToLog('Папки downld нет');

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit') then

begin

AddToLog('Обнаружен параметр в реестре drvsyskit');

RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit');

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit') then

AddToLog('Ошибка удаления параметра drvsyskit') else

AddToLog('Параметр drvsyskit успешно удален');

end;

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe') then

begin

AddToLog('Обнаружен параметр в реестре german.exe');

RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe');

If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe') then

AddToLog('Ошибка удаления параметра german.exe') else

AddToLog('Параметр german.exe успешно удален');

end;

if RegKeyExists('HKEY_CURRENT_USER', 'SoftwareFirstRRRun') then

begin

AddToLog('Найден ключ реестра FirstRRRun');

RegKeyDel('HKEY_CURRENT_USER', 'SoftwareFirstRRRun');

If RegKeyExists('HKEY_CURRENT_USER', 'SoftwareFirstRRRun') then

AddToLog('Ошибка удаления ключа реестра FirstRRRun') else

AddToLog('ключ реестра FirstRRRun успешно удален');

end;

SaveLog(GetAVZDirectory + 'B_d.txt');

BC_DeleteSvc('srosa');

BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.

Прикрепите к следующему сообщению
B_d.txt и boot_clr_B_d.log

Повторите логи.

Для удобства
AVZ, меню «Файл — Выполнить скрипт» — Скопировать ниже написанный скрипт— Нажать кнопку «Запустить».

begin

ExecuteStdScr(3);

RebootWindows(true);

end.

[Автор]

Сообщения