[Severny]

1. В правилах написано, как отключить Восстановление системы.
Там все равно полно вирусов.
2. Воспользуйтесь утилитой Flash Disinfector.
Запускайте ее при вставленной флешке. Она поправит ассоциации и создаст в корне локальных дисков и флешке папку autorun.inf. Не удаляйте ее. Она предотвратит запуск определенных вирусов с флешки.
3. Как удалить Bonjour Service посмотрите здесь

[lynxxx]

Цитата:

1. В правилах написано, как отключить Восстановление системы.

Перед проверкой я отключал восстановление

Цитата:

Там все равно полно вирусов.

На плеере? Если можно, тут по подробнее

Цитата:

3. Как удалить Bonjour Service посмотрите

а зачем вообще он нужен? Снес его
после использования утилиты Flash Disinfector даже при щелчке правой кнопкой на плеере нет "автозапуск". Папка autorun.inf создалась на плеере. Я так понимаю ауторан был напрочь убит?

[Pili]

lynxxx, Здравствуйте.
C:\WINDOWS\system32\rebuild.exe - проверьте на virustotal.com

Цитата lynxxx:

Перед проверкой я отключал восстановление »

По логу AVZ

Цитата:

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора Восстановление системы: включено

и

Цитата:

1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM

см. внимательно правила.

Цитата lynxxx:

Папка autorun.inf создалась на плеере. Я так понимаю ауторан был напрочь убит? »

Предотвращено заражение со съемных носителей.
Дополнительно для отключения автозапуска
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
	
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь и здесь


Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[lynxxx]

Цитата Pili:

Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените. »

А как потом отменить этот код? Чтоб сделать снова автозапуск
И если можно, опишите что даст сканирование этими программками и что нашло?
Что делать с папкой Qoobox (там на карантине файлы Quarantine\C\WINDOWS\system32...) и SDFix, можно удалять?
Подсажите как "предохранять" Vista Home Basic от подобных червей?
Теперь появился "фильтр фишинга" он от антивируса или брандмауэра работает?
после всех "манипуляций" снова появился значок брандмауэра как его обратно убрать с трэя?

[Pili]

Цитата lynxxx:

А как потом отменить этот код? Чтоб сделать снова автозапуск »

Да, см. Борьба с автозапуском новыми методами

Цитата lynxxx:

Что делать с папкой Qoobox (там на карантине файлы Quarantine\C\WINDOWS\system32...) и SDFix, можно удалять? »

Нет, позже.

Цитата lynxxx:

Подсажите как "предохранять" Vista Home Basic от подобных червей? »

Устанавливать регулярно обновления, у вас Windows XP SP2, но эта рекомендация тоже подходит.

Цитата lynxxx:

Теперь появился "фильтр фишинга" он от антивируса или брандмауэра работает? »

Во встроенном брандмауере windows нет такого фильтра

Цитата lynxxx:

после всех "манипуляций" снова появился значок брандмауэра как его обратно убрать с трэя? »

включить и настроить брандмауэр или, если вы пользуетесь сторонним, отключить через панель управления - центр обеспечения безопасности.
Теперь по логам. Как по рез-ту проверки rebuild.exe?
проверьте на virustoal.com файлы, результат сообщите

Код:

C:\Documents and Settings\Alexander\Application Data\brara1985.sys
C:\Documents and Settings\Alexander\Application Data\lakerda1967.sys
c:\windows\eSellerateEngine.dll

Сохраните текст как fix.reg и примените

Код:

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{beae8dd6-bae2-11dd-8fdb-00e06fcc8345}]

Поищите файл lin32.exe (можно с помощью AVZ - сервис - поиск файлов) по всем дискам (м.б. найдется в C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe), если найдется, скопируйте куда-нибудь, запакуйте с паролем virus и отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, и/или сюда и сюда

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Нажмите
Пуск - выполнить –
вставьте

Код:

dir C:\windows\system32 /A:ashr >C:\scan.txt

файл C:\scan.txt прикрепите к сообщению.

[Vadikan]

Цитата lynxxx:

еперь появился "фильтр фишинга" он от антивируса или брандмауэра работает? »

Он работает "от" IE7.

Цитата lynxxx:

после всех "манипуляций" снова появился значок брандмауэра »

Это значок центра безопасности.

Код:

Windows Registry Editor Version 5.00 

;отключение сообщений Центра безопасности
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[lynxxx]

Цитата:

Как по рез-ту проверки rebuild.exe?

только eSafe - Suspicious File

brara1985.sys - не заражен
lakerda1967.sys - не заражен, хотя откуда эти два "интересных" файла взялись не знаю
eSellerateEngine.dll- не заражен

Цитата:

fix.reg

Что он корректирует?

Цитата:

Код: dir C:\windows\system32 /A:ashr >C:\scan.txt

читать дальше »

что-то не так ввел?

Цитата:

Поищите файл lin32.exe

1. Файл не был найден, если память мне не изменяет, этот lin32.exe был на зараженном ПК, но там Аваст словил его (кстати, lin32.exe это не системный файл? Поднимал вопрос на форуме аваста по зараженному ПК, но ответа так и не дождался на логи) откуда я и получил червя ...
2. Во время того как интернет был включен и ничего не устанавливалось на ПК (никакой активности со стороны пользователя) засветился мастер установки нового оборудования (так вроде) в трэе, что-то начало грузить, начал "прыгать" аплоад трафик, что бы это значило?
3. В безопасном режиме есть ещё учетная запись "Администратор". На форуме Касперского писали, что лучше её обезопасить, каким образом (кроме пароля)?
4. Как правильно и эффективно чистить папку Temp? Использую, как стандартную очистку диска так и CCleaner, тем не менее, там остаётся много не нужных файлов.
Извините за не сдержался, очень уж квалифицированную помощь ВЫ даете

Цитата:

Это значок центра безопасности. Код:

А для Vista Home Basic можно применить этот код?

[Pili]

Цитата lynxxx:

Что он корректирует? »

Удаляет в реестре HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{beae8dd6-bae2-11dd-8fdb-00e06fcc8345}
в нем lin32.exe - это зловред.

Цитата lynxxx:

что-то не так ввел? »

сорри, забыл cmd
Выполните
Пуск - выполнить - cmd
Вставьте

Код:

dir C:\windows\system32 /A:ashr >C:\scan.txt

файл C:\scan.txt прикрепите к сообщению.

Цитата lynxxx:

2. Во время того как интернет был включен и ничего не устанавливалось на ПК (никакой активности со стороны пользователя) засветился мастер установки нового оборудования (так вроде) в трэе, что-то начало грузить, начал "прыгать" аплоад трафик, что бы это значило? »

AVZM включали? Если нет, посмотрите в журнале событий.

Цитата lynxxx:

3. В безопасном режиме есть ещё учетная запись "Администратор". На форуме Касперского писали, что лучше её обезопасить, каким образом (кроме пароля)? »

Можно переименовать уч. запись

Цитата lynxxx:

4. Как правильно и эффективно чистить папку Temp? Использую, как стандартную очистку диска так и CCleaner, тем не менее, там остаётся много не нужных файлов. »

ATF-Cleaner - есть в правилах, можно вручную удалить файлы, можно ещё так:
Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Очистите также корзину (удалите все из папки RECYCLER на всех дисках)

Цитата lynxxx:

А для Vista Home Basic можно применить этот код? »

У вас по логам Windows XP SP2 (WinNT 5.01.2600)
Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Запустите Otmoveit, нажмите CleanUp!

Скачайте DDS и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

Cкачайте полиморфный AVZ, переименованный в game.pif здесь, сохраните в отдельную папку и запустите. обновлять антивирусные базы для этой версии не требуется, сделайте логи AVZ с помощью этой версии AVZ и новый лог HijackThis
Скачайте и запустите GetSystemInfo (GSI), укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.

[lynxxx]

Цитата:

dir C:\windows\system32 /A:ashr >C:\scan.txt

что это за серийный номер?

Цитата:

AVZM включали?

нет

Цитата:

Можно переименовать уч. запись

свою можно, а "Администратор" не получается.

Отчет OTMoveIt3:

читать дальше »

========== PROCESSES ==========
Unable to kill process: explorer.exe
========== COMMANDS ==========
File delete failed. C:\Temp\log.txt scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01282009_112338

Цитата:

(удалите все из папки RECYCLER на всех дисках)

т.е. сделать их видимыми и удалить?

Цитата:

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

не получается

читать дальше »

папки в корне диска (Qoobox, SDFix, _OTMoveIt можно будет просто удалять?)
Логи: