[byaka]

Цитата akok:

Давайте так: »

Логи отправляю. ComboFix запускается только из безопасного режима.

[Pili]

Цитата Pili:

Предварительно отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам. »

Сделали?

Цитата Pili:

Рекомендую дополнительно почитать здесь. »

Рекомендации описанные здесь выполняли? Утилиту wwdc использовали? Также там есть ссылки на заплатки и другие утилиты.
По видимому рекомендации были проигнорированы, т.к.

Код:

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

И OtmoveIt удалил вредоносную службу, но вы снова заразились, если бы выполнили рекомендации, то зловред был бы удален ещё скриптом из поста 8
Пока вы не выполните рекомендации по защите, лечение бесполезно (компьютер будет заражаться из сети снова)

Деинсталлируйте или Dr.Web или avast и оставьте один антивирус, в Spybot S&D отключите teatimer или также временно деинсталлируйте Spybot S&D
Запустите GMER, нажмите справа от вкладки Rootkit/Malware клавишу >>>, выберите вкладку Files. Появится аналог проводника. Найдите файл

Код:

C:\WINDOWS\system32\jwsros.dll

Нажмите Copy и скопируйте файл в отдельную папку, например C:\virus, далее нажмите Deletе для удаления файла и подтвердите удаление.
Нажмите справа от вкладки Rootkit/Malware клавишу >>>, Выберите вкладку Sevices найдите

Код:

dwicks

пр.кн.мыши - delete или, если будет недоступно, выберите disable и после перезагрузки запустите gmer и выберите - delete

Файл SysUtils.exe поищите на диске, можно с помощью AVZ или FAR, проверьте на virustotal.com, если зловред - перенесите в др. папку и запакуйте.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

File::
C:\WINDOWS\system32\jwsros.dll
c:\windows\sуstem32\x
Driver::
dwicks

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5298:TCP"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1f2a43eb-f3c0-11dc-bae5-00016cba8a71}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b23ab61e-6410-11dc-ba1f-00016cba8a71}]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dwicks]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dwicks]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\dwicks]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe



Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Повторите лог gmer и DDS, а также скачайте GetSystemInfo (GSI) здесь или здесь, запустите, укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.

[byaka]

Цитата Pili:

По видимому рекомендации были проигнорированы »

Прошелся ещё раз по рекомендациям, нашел пару упущений Всё повторил и с лечения по 8-му посту зловред был убит. Окончательно. Как Вы и написали. Всё теперь запускается, всё летает.

Всем Огромное Спасибо!!! И за терпение, и за разжевывание.

[Pili]

byaka, пожалуйста )
Скрипт combofix ещё сделайте из поста 12, там дополнительно ещё убивается мусор

Цитата:

8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: к ПК разрешен доступ анонимного пользователя Проверка завершена 9. Мастер поиска и устранения проблем >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей

Советую отключить неиспользуемые службы и настроить безопасность.
По службам можно почитать здесь, дополнительно по безопасности Windows XP можно почитать здесь, если что не нужно, скажите, можно будет отключить скриптом.

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем

Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ

[byaka]

Цитата Pili:

Скрипт combofix ещё сделайте из поста 12 »

Прикрепил.

[Pili]

byaka, да, всё чисто. По отключения служб и настройкам безопасности вы ничего не написали по

Цитата Pili:

если что не нужно, скажите, можно будет отключить скриптом. »

Если не скриптом. то можете настроить через реестр или групповую политику.
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Запустите OTMoveIt3 и нажмите “CleanUp!”
Рекомендую в дальнейшем не отключать встроенный брандмауэр windows, а в случае использования стороннего файервола, грамотно прописывать правила для входящих и исходящих соединений.
Чистого вам интернета!

[byaka]

Цитата Pili:

По отключения служб и настройкам безопасности вы ничего не написали »

Да сходу и не могу сказать, что нужно а что нет. Этот комп на работе, раньше был в сети. Расшарен был максимально, даже в тех местах, про которые нормальный человек и думать не будет. Наверное кроме службы автообновления и времени ничего не нужно. В сеть выхожу через адсл либо через гпрс с помощью блютуз.

Цитата Pili:

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u Запустите OTMoveIt3 и нажмите “CleanUp!” »

А это обязательно? Места они на диске много не занимают

Цитата Pili:

Рекомендую в дальнейшем не отключать встроенный брандмауэр windows »

Я им пользоваться совсем не умею - он либо всё пропускает, либо блокирует наглухо

[Pili]

Цитата byaka:

Да сходу и не могу сказать, что нужно а что нет. Этот комп на работе, раньше был в сети»

Наиболее небезопасные службы и административный доступ к дискам уже отключены, т.е. безопасность системы в среднем настроена чуть выше, чем у остальных, появляющихся в этом разделе. Рекомендую ещё отключить доступ анонимного пользователя, скрипт AVZ

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
end.

Цитата byaka:

А это обязательно? Места они на диске много не занимают »

Не обязательно, но зачем вам мусор на компьютере? Если периодически хотите проверять систему, можете это делать с помощью CureIT, AVPTool, MBAM или другими антивирусами.

Цитата byaka:

Я им пользоваться совсем не умею - он либо всё пропускает, либо блокирует наглухо »

Настройка брандмауэра Windows
По сторонним firewall читайте документацию, также выше была ссылка на раздел Защита компьютерных систем, в котором вы можете обсудить интересующие вас вопросы защиты.