[alex_sev]

Знаете, за не особо долгое, но продуктивное времяпровождение на форумах лечения я видел и лечил злонамеренные программы на системах с совершенно разными антивирусами - так что антивирус не самый главный хотя и важный помощник защиты ОС. Намного важнее - это настройки и обновление системы и установленных программ. Одну настройку по отключению автозапуска с флеш-накопителей мы уже сделали - это уже важный шаг. Об остальном - после окончания лечения.

[Jensen_C]

Хорошо. Вот логи.

[alex_sev]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

Далее:

• Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.
  
  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  
• В окно Custom Scans/Fixes скопируйте следующую информацию:
  
  
  Код:

  :processes
  :OTL
  SRV - (Ws2vcnte) --  File not found
  DRV - (XDva397) -- C:\WINDOWS\system32\XDva397.sys File not found
  DRV - (XDva394) -- C:\WINDOWS\system32\XDva394.sys File not found
  DRV - (XDva393) -- C:\WINDOWS\system32\XDva393.sys File not found
  DRV - (XDva391) -- C:\WINDOWS\system32\XDva391.sys File not found
  DRV - (PROCEXP151) -- C:\WINDOWS\system32\Drivers\PROCEXP151.SYS File not found
  IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=falco&s={searchTerms}&f=4
  FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
  FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
  ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
  [2011.12.28 00:39:07 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
  
  :Services
  LEGACY_WEBALTASERVICE
  :Files
  
  
  ipconfig /flushdns /c
  
  :Reg
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WEBALTASERVICE]
  
  :Commands
  [EMPTYTEMP]
  [purity]
  [start explorer]
  [Reboot]

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

[Jensen_C]

лог

Код:

All processes killed
========== PROCESSES ==========
========== OTL ==========
Error: No service named Ws2vcnte was found to stop!
No service named Ws2vcnte was found to delete!
File   File not found not found.
Error: No service named XDva397 was found to stop!
No service named XDva397 was found to delete!
File  C:\WINDOWS\system32\XDva397.sys File not found not found.
Error: No service named XDva394 was found to stop!
No service named XDva394 was found to delete!
File  C:\WINDOWS\system32\XDva394.sys File not found not found.
Error: No service named XDva393 was found to stop!
No service named XDva393 was found to delete!
File  C:\WINDOWS\system32\XDva393.sys File not found not found.
Error: No service named XDva391 was found to stop!
No service named XDva391 was found to delete!
File  C:\WINDOWS\system32\XDva391.sys File not found not found.
Error: No service named PROCEXP151 was found to stop!
No service named PROCEXP151 was found to delete!
File  C:\WINDOWS\system32\Drivers\PROCEXP151.SYS File not found not found.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}\ not found.
C:\WINDOWS\assembly\Desktop.ini moved successfully.
========== SERVICES/DRIVERS ==========
Error: No service named LEGACY_WEBALTASERVICE was found to stop!
No service named LEGACY_WEBALTASERVICE was found to delete!
========== FILES ==========
< ipconfig /flushdns /c >
No captured output from command...
C:\Documents and Settings\Jensen_C\Рабочий стол\cmd.bat deleted successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WEBALTASERVICE\ deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: Jensen_C
->Temp folder emptied: 281791 bytes
->Temporary Internet Files folder emptied: 1114028 bytes
->Java cache emptied: 275028 bytes
->Google Chrome cache emptied: 0 bytes
->Opera cache emptied: 20 bytes
->Flash cache emptied: 9573910 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 92 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 11,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 12192012_234003

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_694.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[alex_sev]

Вот и удалился ключик.

Проверимся на уязвимости:

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

Далее можете начинать удалять утилиты которые мы использовали, вот так:

http://safezone.cc/forum/showthread.php?t=19966

[Jensen_C]

Security Check by glax24 version 0.1.5.48 rc1
WebSite: www.safezone.cc
DataLog 20.12.2012 00:07:20
Program directory: C:\Documents and Settings\Jensen_C\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.8
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lan:0419
Service Pack 2 Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Восстановление системы отключено
-------------Antivirus_WMI------------------------
avast! Antivirus
Антивирус обновлен
Сканирование отключено
-------------Firewall_WMI-------------------------
Kaspersky Anti-Hacker
-------------AntiVirusFirewallInstall-------------
avast! Free Antivirus v.7.0.1474.0
Kaspersky Anti-Hacker v.1.9.4
-------------OtherUtilities-----------------------
HijackThis 2.0.2 v.2.0.2
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
Java(TM) 6 Update 30 v.6.0.300 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^
-------------AppleProduction----------------------
QuickTime v.7.72.80.56 Внимание! Скачать обновления
Bonjour v.3.0.0.10
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.4.402.278 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.2.202.235 Внимание! Скачать обновления
Adobe Reader 7.0.5 - Russian v.7.0.5 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.23.0.1271.97
Opera 11.61 v.11.61.1250 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.11.61.1250.0
-------------EndLog-------------------------------






P.s.может стоит оставить утилиты?

Скачал я sp3 по вашей ссылке. После установки на много больше весить будет виндоус? придется ли переставлять какие-то программы?

[alex_sev]

Можете скачать заново и оставить в архивах.

Пройдите по ссылкам из своего поста и скачайте и установите все обновления.

Цитата Jensen_C:

Service Pack 2 Внимание! Скачать обновления ^Возможно потребуется повторная активация Windows^ Java(TM) 6 Update 30 v.6.0.300 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^ QuickTime v.7.72.80.56 Внимание! Скачать обновления Adobe Flash Player 11 ActiveX v.11.4.402.278 Внимание! Скачать обновления Adobe Flash Player 11 Plugin v.11.2.202.235 Внимание! Скачать обновления Adobe Reader 7.0.5 - Russian v.7.0.5 Внимание! Скачать обновления Opera 11.61 v.11.61.1250 Внимание! Скачать обновления»

далее смените все важные пароли, червь имеет функционал для их кражи:

http://www.microsoft.com/security/po...0A%09%09%09%09


Как самочувствие системы?

[Jensen_C]

Паролей нету, я не сохраняю....нет привычки. По поводу sp3 подскажете? я напишу в личку.
Система вроде в норме, ярлыков на флешке более нету.

[alex_sev]

Ознакомьтесь с этими рекомендациями:

http://forum.oszone.net/post-1838507-9.html

[Jensen_C]

Огромное спасибо за помощь! буду обновляться. Тему только не прикрывайте, а то у меня бывает много вопросов