Поймал Brontok с флешки

[RokWeb]

Здравствуйте. Помогите пожалуйста вылечить ноут от этой гадости - Brontok. Логи прикрепляю.

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\и\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com','');
DeleteFile('C:\Users\и\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com','32');
DeleteFile('C:\Windows\Tasks\At1.job','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(13);
ExecuteRepair(17);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Сделайте лог полного сканирования МВАМ

[RokWeb]

Ответ (KLAN-1459230328)

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского, рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию: https://my.kaspersky.com/ru/support/viruslab. Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов. Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского, Вы можете воспользоваться формой :http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию. Запросы на проверку файлов, отправленные не с перечисленных выше форм, будут обработаны в порядке очереди.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

 

(При этом действительно проверил нахождение файлов помещающихся в карантин - там их нет, поэтому видимо и "файл поврежден").

log.txt

MBAM-log-2014-03-09 (07-36-15).txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Удалите в МВАМ только указанные ниже записи

Обнаруженные ключи в реестре:  4
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{93DBF2BB-A2B3-4683-A92E-57E60751F346} (PUP.Optional.ValueApps.A) -> Действие не было предпринято.
HKCU\Software\Conduit\ValueApps (PUP.Optional.ValueApps.A) -> Действие не было предпринято.
HKCU\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Действие не было предпринято.
HKLM\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Действие не было предпринято.
 
Обнаруженные параметры в реестре:  2
HKCU\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Параметры: 1763663218088148991 -> Действие не было предпринято.
HKLM\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Параметры: 1763663218088148991 -> Действие не было предпринято.
 
Обнаруженные папки:  9
C:\Users\и\AppData\Local\Bron.tok-12-3 (Worm.Brontok) -> Действие не было предпринято.
C:\Users\и\AppData\Local\Bron.tok-12-4 (Worm.Brontok) -> Действие не было предпринято.
C:\Users\и\AppData\Local\Bron.tok-12-5 (Worm.Brontok) -> Действие не было предпринято.
C:\Users\и\AppData\Local\Bron.tok-12-6 (Worm.Brontok) -> Действие не было предпринято.
C:\Users\и\AppData\Local\Bron.tok-12-7 (Worm.Brontok) -> Действие не было предпринято.
C:\Users\и\AppData\Local\Bron.tok-12-8 (Worm.Brontok) -> Действие не было предпринято.
C:\Program Files\Conduit\ValueApps (PUP.Optional.ValueAppsplugin.A) -> Действие не было предпринято.
C:\Program Files (x86)\Conduit\ValueApps (PUP.Optional.ValueAppsplugin.A) -> Действие не было предпринято.
C:\Users\и\AppData\Local\Conduit\ValueApps (PUP.Optional.ValueAppsplugin.A) -> Действие не было предпринято.

[RokWeb]

Сделал. Прикрепляю новые логи.

log.txt

mbam-log-2014-03-09 (13-54-18).txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Проблема решена?

[RokWeb]

Проблема решена?

Не знаю. Видимых признаков наличия Brontok нет. Пока посижу так, если проявится - сообщу! Большое спасибо за помощь!