+ живой Win32/Caphaw, образ снят из безопасного режима.


[QUOTE]Полное имя C:\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\CRASH REPORTS\REGINI.EXE
Имя файла                   REGINI.EXE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ВИРУС
Сигнатура                   Win32/Caphaw.A [глубина совпадения 64(64), необх. минимум 8, максимум 64]
                           
Удовлетворяет критериям    
CURRENTVERSION.RUN          (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     527A279163000
Linker                      8.0
Размер                      405504 байт
Создан                      14.07.2009 в 02:58:28
Изменен                     14.07.2009 в 04:14:30
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            lexlse.exe
Версия файла                21, 16, 23, 1249
Версия продукта             23, 16, 23, 159
Описание                    gex ocx
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
SHA1                        D10EDEAD31FFC03AA257021ED2D4C40973FD86D1
MD5                         05188C8462CE608363CD09727276733A
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-4235267976-468952248-1436290218-1000\Software\Microsoft\Windows\CurrentVersion\Run\6m28ei1UE­RwiAk3q44ipcnsE
6m28ei1UERwiAk3q44ipcnsE    "C:\Users\User\AppData\Roaming\Mozilla\Firefox\Crash Reports\regini.exe"
[/QUOTE]
http://forum.esetnod32.ru/forum6/topic10233/

вот этот файл
[QUOTE]%SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\CRASH REPORTS\REGINI.EXE[/QUOTE]
в нормальном режиме, скорее всего не будет виден... только в безопасном режиме...

в нормальном режиме его вот эти записи в логи выдают.

[QUOTE](!) Обнаружен сплайсинг: NtQueryDirectoryFile
--------------------------------------------------------
Загружено реестров пользователей: 2
Построение списка процессов и модулей...
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам[/QUOTE]

если проблема не решится скриптом из 9 сообщения,
то еще раз сделать образ из безопасного режима, добавить на форум.... и не выходить из сессии безопасного режима....
пока не напишем скрипт.

иначе может смутировать в новой перезагрузке....

вот он, в безопасен виден....
выполнить скрипт из безоопасного режима.

но может смутировать в новой перезагрузке.


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE]
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
addsgn A7679B19B9728B37E3D4AEB164204CFBDA7596F6E3FA75786D64C5BC5029­64CC6357C33D3E3F9D232B7F91B3065649907DB7348017DADA2C4777CC83­3544228C 8 Win32/Caphaw.A

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\CRA­SH REPORTS\REGINI.EXE
bl 05188C8462CE608363CD09727276733A 405504
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

варианты такие:
сделайте образ автозапуска с проблемной машины
http://forum.esetnod32.ru/forum9/topic2687/

и лог ESET sysinspector
http://forum.esetnod32.ru/forum9/topic54/

я на рабочей и домашней машине установил семерку, ухудшений в работе системы нет.

но на всех остальных  рабочих машинах использую корпоративные версии: 3, 4 и 5.

в рабочей сети ставлю только корпоративные.

home нужен для того чтобы посмотреть на новый функционал, который возможно будет со временем перенесен в корпоративные версии.

>>>>>>Обновили все машины в офисе на версию 7 и тут началось

новое обновление антивира до 7.302.26 установили? прежнее было 7.302.8

с версиями антивирусов всегда надо аккуратно работать. при выходе новой версии установить на 2-3 машинах, в том числе и на своей, если вы исполняете обязанности админа, поработать некоторое время.... затем уже переводить остальные компы на новую версию.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
delref HTTP://WWW.RAMBLER.RU/IE8
delref HTTP://SEARCH.BABYLON.COM/?AF=108921&BABSRC=NT_SS&MNTRID=3CB63648000000000000444553544F­53
deltmp
delnfr
; Babylon toolbar
exec C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.7.2\uninstall.exe

; Java™ 6 Update 17
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[QUOTE]06.11.2013 9:23:39 Защита в режиме реального времени файл C:\Documents and Settings\ванечка\Local Settings\Application Data\MadLen.uCoz.coM\tbMad2.dll модифицированный Win32/Toolbar.Conduit.B потенциально нежелательная программа очищен удалением MICROSOF-CFF92B\ванечка Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Internet Explorer\iexplore.exe.
06.11.2013 9:23:38 Защита в режиме реального времени файл C:\Documents and Settings\ванечка\Local Settings\Application Data\MadLen.uCoz.coM\tbMad2.dll модифицированный Win32/Toolbar.Conduit.B потенциально нежелательная программа очищен удалением - изолирован MICROSOF-CFF92B\ванечка Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Internet Explorer\iexplore.exe.
[/QUOTE]
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[QUOTE]Также Создайте лог в uVS в безопасном режиме.[/QUOTE]

давайте придерживаться терминологии uVS

лог - это логи выполнения скрипта,

образ автозапуска - это файл, который мы просим для создания по ссылке
http://forum.esetnod32.ru/forum9/topic2687/

да, по терминологии uVS - лог - это лог выполнения скрипта.
а файл, который рекомендован к созданию по ссылке называется образом автозапуска.
-----------
его по инерции продолжают называть логом.

так что нужен образ автозапуска из безопасного режима.

по логу журнала угроз:

[QUOTE]05.11.2013 12:07:06 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Users\User\AppData\Roaming\Skype\g.roman18\chatsync\ee\sethc.exe модифицированный Win32/Kryptik.BOEO троянская программа очищен удалением - изолирован
05.11.2013 10:04:39 Защита в режиме реального времени файл C:\Users\User\AppData\Local\Temp\252E.tmp.exe модифицированный Win32/Kryptik.BODK троянская программа очищен удалением - изолирован Desktop\User Событие произошло в новом файле, созданном следующим приложением: C:\Program Files (x86)\ASUS\ASUS Smart Gesture\QuickGesture\x86\QuickGesture.exe.

05.11.2013 9:05:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = KMService.exe(4924) модифицированный Win32/AutoRun.Caphaw.A червь очищен удалением
05.11.2013 9:05:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = KMService.exe(4924) модифицированный Win32/AutoRun.Caphaw.A червь очищен удалением

[/QUOTE]

файлики похоже очищены, но глянем еще на образ автозапуска системы из безопасного режима.

сделайте проверку в Комбофикс
http://forum.esetnod32.ru/forum9/topic735/