[Pili]

SANIOK_AV, Здравствуйте. Проблема в других браузерах появляется?
Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Documents and Settings\BOBA\Google\googletoolbar1.dll

В настройки IE прокси 1111:1111 сами поставили?
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\BOBA\Google\googletoolbar1.dll','');
 QuarantineFile('Srtcirteiu2m.sys','');
 DeleteFile('Srtcirteiu2m.sys');
 DeleteFile('C:\Documents and Settings\BOBA\Google\googletoolbar1.dll');
 DeleteService('Srtcirteiu2m');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

Если проблема появляется только в опере, запустите оперу, далее Ctrl+F12-Дополнительно-Содержимое-Настроить JavaScript - папка пользовательских скриптов - папка указана? Содержимое папки можете проверить на VT, а также запаковать с паролем virus и отправить в вирлаб на newvirus@kaspersky.com, само поле пользовательских скриптов можете очистить и папку удалить. Альтернатива - удалить и установить оперу или лучше перейти на Firefox c плагином NoScript

[Котяра]

Pili, там по логам C:\WINDOWS\vcdplayx.exe подозрительный мне кажется...

Цитата Pili:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch »

Pili, а эта строка что значит?

[SANIOK_AV]

Цитата Pili:

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему. »

отправил

Цитата Pili:

Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis »

прикрепляю

Цитата Pili:

В настройки IE прокси 1111:1111 сами поставили? »

трудно сказать ...хозяин компа от этого далёк... у него интернет через модем (помоему adsl) в сетевую карту...

[Pili]

Цитата Котяра:

там по логам C:\WINDOWS\vcdplayx.exe подозрительный мне кажется... »

воспользуйтесь поиском в google

Цитата Котяра:

а эта строка что значит? »

В данном случае ICW должен производить настройку WMP при запуске.

SANIOK_AV, в логах чисто, проблема ещё наблюдается?

[SANIOK_AV]

Цитата Pili:

Ctrl+F12-Дополнительно-Содержимое-Настроить JavaScript - папка пользовательских скриптов - папка указана? »

указан файл с расширением js

Цитата Pili:

Содержимое папки можете проверить на VT »

это как?

Цитата Pili:

а также запаковать с паролем virus и отправить в вирлаб »

всю папку profile запаковать или только файлик который был указан в Ctrl+F12-Дополнительно-Содержимое-Настроить JavaScript - папка пользовательских скриптов?

Цитата Pili:

само поле пользовательских скриптов можете очистить и папку удалить »

удалить папку profile?

Цитата Pili:

SANIOK_AV, в логах чисто, проблема ещё наблюдается? »

так говорю же....нет возможности ща этот комп к инету подключить...(((((

[Pili]

Цитата SANIOK_AV:

это как? »

этот файл с расширением js можете проверить на http://www.virustotal.com/

Цитата SANIOK_AV:

или только файлик который был указан »

Если профиль используется, то только файл, если не используется, то можно всю папку (вероятно в ней только один файл).

Цитата SANIOK_AV:

поле пользовательских скриптов можете очистить »

Можете просто перенести файл или папку в другое место, запаковать и отправить в вирлаб.

Цитата SANIOK_AV:

нет возможности ща этот комп к инету подключить...((((( »

Ну, здесь я никак не могу помочь подключить компьютер к интернету...

Цитата:

8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя

Если что-то из этого не нужно, скажите, можно будет отключить скриптом.

Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем
Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor доп. см. здесь
И проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI)
Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ

[SANIOK_AV]

Цитата Pili:

этот файл с расширением js можете проверить на http://www.virustotal.com/ »

McAfee-GW-Edition 6.7.6 2009.04.16 Heuristic.HTML.Malware
остальные -

Цитата Pili:

Если профиль используется »

как узнать что профиль используется?

Цитата Pili:

то можно всю папку (вероятно в ней только один файл).»

в ней 13 папок и в корне 15 файлов...

Цитата Pili:

Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! »

это домашний ПК ...

Цитата Pili:

>> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) »

это я поотключаю...

Цитата Pili:

>> Безопасность: к ПК разрешен доступ анонимного пользователя »

как это отключить?

[Pili]

Цитата SANIOK_AV:

остальные - »

3-ий раз рекомендую, отправьте файл в вирлаб.

Цитата SANIOK_AV:

как узнать что профиль используется? »

Спросите у того, кто использует и настраивал оперу, выше я рекомендовал 2 раза

Цитата Pili:

перейти на Firefox c плагином NoScript »

Цитата SANIOK_AV:

как это отключить? »

Выполните в AVZ скрипт

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
end.

[SANIOK_AV]

Цитата Pili:

3-ий раз рекомендую, отправьте файл в вирлаб. »

так отправил уже...))