Worm.Win32.AutoRun.qfi
 

На iriver T20 (1gb) попал червь Worm.Win32.AutoRun.qfi антивирус успешно удалил его, но захватил с собой (судя по всему) файл открытия флэшки, запускается только через автозапуск. При входе в "Мой компьютер" и двойном щелчке на съемный диск выдает: "Отказано в доступе". И что ещё не очень нравится, значок съемного диска уже в виде обычной папки.
После удаления файла autorun.inf плеер начал открываться нормально и значок флэшки стал исходным (при проверке CureIt выдало: "Возможно, Win32.HLLW.Autoruner.corrupted"), но при вставлении плеера в USB она сразу открывается как окно, нет уже выбора действий (ясно по чему). Каким образом исправить эту проблему?
Во время проверки ещё обнаружил вот это:

1. В правилах написано, как отключить Восстановление системы.
Там все равно полно вирусов.
2. Воспользуйтесь утилитой Flash Disinfector.
Запускайте ее при вставленной флешке. Она поправит ассоциации и создаст в корне локальных дисков и флешке папку autorun.inf. Не удаляйте ее. Она предотвратит запуск определенных вирусов с флешки.
3. Как удалить Bonjour Service посмотрите здесь

Перед проверкой я отключал восстановление :o
На плеере? Если можно, тут по подробнее
а зачем вообще он нужен? Снес его
после использования утилиты Flash Disinfector даже при щелчке правой кнопкой на плеере нет "автозапуск". Папка autorun.inf создалась на плеере. Я так понимаю ауторан был напрочь убит?

lynxxx, Здравствуйте.
C:\WINDOWS\system32\rebuild.exe - проверьте на virustotal.com
По логу AVZ
и
см. внимательно правила.
Предотвращено заражение со съемных носителей.
Дополнительно для отключения автозапуска
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь и здесь


Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

А как потом отменить этот код? Чтоб сделать снова автозапуск
И если можно, опишите что даст сканирование этими программками и что нашло?
Что делать с папкой Qoobox (там на карантине файлы Quarantine\C\WINDOWS\system32...) и SDFix, можно удалять?
Подсажите как "предохранять" Vista Home Basic от подобных червей?
Теперь появился "фильтр фишинга" он от антивируса или брандмауэра работает?
после всех "манипуляций" снова появился значок брандмауэра как его обратно убрать с трэя?

Да, см. Борьба с автозапуском новыми методами
Нет, позже.
Устанавливать регулярно обновления, у вас Windows XP SP2, но эта рекомендация тоже подходит.
Во встроенном брандмауере windows нет такого фильтра
включить и настроить брандмауэр или, если вы пользуетесь сторонним, отключить через панель управления - центр обеспечения безопасности.
Теперь по логам. Как по рез-ту проверки rebuild.exe?
проверьте на virustoal.com файлы, результат сообщите
Сохраните текст как fix.reg и примените
Поищите файл lin32.exe (можно с помощью AVZ - сервис - поиск файлов) по всем дискам (м.б. найдется в C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe), если найдется, скопируйте куда-нибудь, запакуйте с паролем virus и отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, и/или сюда и сюда

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Нажмите
Пуск - выполнить –
вставьте
файл C:\scan.txt прикрепите к сообщению.

Он работает "от" IE7.

Это значок центра безопасности.

только eSafe - Suspicious File

brara1985.sys - не заражен
lakerda1967.sys - не заражен, хотя откуда эти два "интересных" файла взялись не знаю
eSellerateEngine.dll- не заражен

Что он корректирует?


что-то не так ввел?

1. Файл не был найден, если память мне не изменяет, этот lin32.exe был на зараженном ПК, но там Аваст словил его (кстати, lin32.exe это не системный файл? Поднимал вопрос на форуме аваста по зараженному ПК, но ответа так и не дождался на логи) откуда я и получил червя ...
2. Во время того как интернет был включен и ничего не устанавливалось на ПК (никакой активности со стороны пользователя) засветился мастер установки нового оборудования (так вроде) в трэе, что-то начало грузить, начал "прыгать" аплоад трафик, что бы это значило? :ninja2:
3. В безопасном режиме есть ещё учетная запись "Администратор". На форуме Касперского писали, что лучше её обезопасить, каким образом (кроме пароля)?
4. Как правильно и эффективно чистить папку Temp? Использую, как стандартную очистку диска так и CCleaner, тем не менее, там остаётся много не нужных файлов.
Извините за :off: не сдержался:blush2:, очень уж квалифицированную помощь ВЫ даете

А для Vista Home Basic можно применить этот код?

Удаляет в реестре HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{beae8dd6-bae2-11dd-8fdb-00e06fcc8345}
в нем lin32.exe - это зловред.
сорри, забыл cmd
Выполните
Пуск - выполнить - cmd
Вставьте
файл C:\scan.txt прикрепите к сообщению.
AVZM включали? Если нет, посмотрите в журнале событий.
Можно переименовать уч. запись
ATF-Cleaner - есть в правилах, можно вручную удалить файлы, можно ещё так:
Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Очистите также корзину (удалите все из папки RECYCLER на всех дисках)
У вас по логам Windows XP SP2 (WinNT 5.01.2600)
Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Запустите Otmoveit, нажмите CleanUp!

Скачайте DDS и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

Cкачайте полиморфный AVZ, переименованный в game.pif здесь, сохраните в отдельную папку и запустите. обновлять антивирусные базы для этой версии не требуется, сделайте логи AVZ с помощью этой версии AVZ и новый лог HijackThis
Скачайте и запустите GetSystemInfo (GSI), укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.

что это за серийный номер?
нет
свою можно, а "Администратор" не получается.

Отчет OTMoveIt3:

т.е. сделать их видимыми и удалить?
не получается
папки в корне диска (Qoobox, SDFix, _OTMoveIt можно будет просто удалять?)
Логи:

номер тома. скрытых файлов (от kido) не обнаружено.
Через групповую политику или утилитами, воспользуйтесь поиском по форуму, вопрос уже неоднократно поднимался.
Да, если через проводник, но необязательно, можно удалить с помощью FAR
Combofix на раб. стол сохраняли (по рекомендации д.б. на раб. столе)? Если нет, запустите Combofix /u в той папке, где сохранили Combofix
Запустите Otmoveit, нажмите CleanUp! - удалиться, остальное можно вручную. Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd

Запустите в AVZ, Файл - Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Советую отключить неиспользуемые службы, отключить автозапуск со съемных носителей и настроить безопасность.
По службам можно почитать здесь, дополнительно по безопасности Windows XP можно почитать здесь, если что не нужно, скажите, можно будет отключить скриптом.

По логам ничего зловредного не обнаружено.
Если у вас есть ещё проблемы, связанные с вирусами, можете провериться другими антивирусами, например с помощью F-Secure Online Scanner и/или Panda ActiveScan

Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы

Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor доп. см. здесь
Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT