[thyrex]

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[reckuez]

Извините за задержку с ответом.
Не получилось. Заражённый компьютер выполняет ряд прикладных задач, и находится в локалке из 6 компьютеров (без внешних связей). GMER тормозит все эти процессы и нарушается нормальная работа. Только если его поставить «на прикол».
Скажите п-ста, а на основании анализа тех логов, что я Вам выслал, нельзя сделать какие либо выводы?

[thyrex]

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению.
Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[reckuez]

Спасибо, вопрос решён.

[Drongo]

reckuez, Каким образом. Помогло сканирование утилитами SDFix и ComboFix ? Если да. То прикрепите логи, нам будет интересно взглянуть на них. Если что-то другое помогло - озвучте в теме решение.

[reckuez]

Скажу заранее, что полгода назад причиной необходимости принять какие либо меры – послужило то, что постоянно наблюдалась медленная , или вообще никакая, работа протокола обмена по сети. А так как таймаут контроля работы равен 3 минуты, то компьютер очень часто перезагружался (так построен алгоритм). С помощью утилиты launch.exe сделана проверка и лечение. Вирус был классифицирован как сетевой червь -*kido. Описание я нашёл здесь http://haker.taba.ru/blog/f/Hack/2230_Virus_Kido.html . Между прочим, этот червь оказался опасен более, чем я ожидал. Одна из его модификаций (которая была на этом компе) напрочь вывела из строя в час «Х» несколько терминальных устройств сопряженных с ним. Теперь ближе к делу. Я свои логи, посланные на первом посте не смотрел, но наблюдал процесс работы утилиты AVZ. На сегодняшний день, причиной появления авторана на флешке, как я убедился практически, послужила загружаемая библиотека shpxdt.dll . К сожалению, мне не удалось найти источник её появления, (помощь в этом я рассчитывал получить здесь) и процесс который её активизировал. Тем не менее, она была удалена, и проблема как таковая решена, хотя остаётся чувство неудовлетворённости. Софт, который мне предложили для лечения, я не использовал по нескольким причинам. Это во первых то, что не имею возможности остановить процесс работы (переход в безопасный режим), и то, что не очень доверяю софтам, которые автоматически, без моего разрешения меняют либо конфигурацию, либо ключи в реестре и т.п. А если по ошибке….. , то что? ……………
Но, всё-таки, прихожу к мысли, что этот червяк гуляет по сети. Надо бы решать эту проблему во всей сети, но как это сделаешь, если в сети более 100 машин, и сеть постоянна в работе. Хотелось бы найти что то , что на программном уровне решало эту проблему. А здесь опять, натыкаемся на протокол TCP/IP. Так что, …. Вот такие дела!

[thyrex]

То, что у Вас Kido, было видно еще после первых логов. Но поскольку AVZ с ним справиться не может, Вам и были рекомендованы сторонние утилиты. Но, увы, Вы пошли другим путем

Читайте http://support.kaspersky.ru/kis2009/error?qid=208636215 и проверяйте сеть