[Pili]

sasha-lav, Здравствуйте. С помощью AVPTool систему проверяли?
Деинсталлируйте Target Marketing Agency (C:\Program Files\Common Files\Target Marketing Agency)
Файлы

Цитата:

c:\program files\okclock\OkClock.exe C:\Sender\Sender.exe c:\program files\ace lab\smart vision\smart.exe

проверьте на virustotal.com

Цитата:

Восстановление системы: включено

Отключите восстановление системы или очистите предыдущие точки восстановления (см. правила)
Рекомендую временно деинсталлировать AGAVA Firewall (чтобы не мешал), отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('abp470n5', 4);
 QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\iuosnk.sys','');
 QuarantineFile('c:\progra~1\common~1\target~1\tmagent\tmasrv.exe','');
 DeleteFile('c:\progra~1\common~1\target~1\tmagent\tmasrv.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\iuosnk.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\iuosnk.sys');
 DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
DeleteFileMask('C:\Program Files\Common Files\Target Marketing Agency\', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\Target Marketing Agency');
 DeleteService('abp470n5');
 DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('abp470n5');
BC_Activate;
RebootWindows(true);
end.

Очистите временные файлы с помощью ATF Cleaner (см. правила)

Код:

1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Включите AVZM (см. правила) и повторите логи.

[sasha-lav]

С помощью AVPTool систему проверял, на virustotal.com файлы проверил.
Восстановление системы: включено - в логе AVZ стоит и сейчас, но я выключил службу, оставив тип запуска "Вручную". Надеюсь, так можно.
AGAVA Firewall деинсталлировал, скрипт выполнил, логи повторяю. Оформление рабочего стола как классическое вроде бы теперь закрепилось, и Amon НОДовский запускается, НО только если компьютер перезагружается в автоматическом режиме ночью (он работает круглосуточно, каждую ночь перезагружаясь). Если же перезагружать его вручную через "Пуск-Завершение работы", то AMON не запускается. В чем разница - не понимаю. И еще вопрос: а чем Антивирусу Зайцева не угодил AGAVA Firewall и в частности его рекламный модуль Target Marketing Agency, без которого AGAVA работать не будет? Почему Зайцев его удаляет?
Спасибо.

[Pili]

sasha-lav, Target Marketing Agency - это adware
c:\cachesys
C:\Program Files\Katren\WinPrice2
знакомо? Если да, то логам больше придраться не к чему.

Цитата sasha-lav:

Если же перезагружать его вручную через "Пуск-Завершение работы", то AMON не запускается. В чем разница - не понимаю »

Возможно из-за установленного софта, м.б. несовместимого.
Можете дополнительно провериться с помощью MBAM

Цитата:

8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: разрешен автоматический вход в систему Проверка завершена 9. Мастер поиска и устранения проблем >> Разрешен автозапуск с HDD

Советую отключить неиспользуемые службы, отключить автозапуск со съемных носителей и настроить безопасность.
По службам можно почитать здесь, дополнительно по безопасности Windows XP можно почитать здесь, если что не нужно, скажите, можно будет отключить скриптом.

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем

Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ

[sasha-lav]

Цитата Pili:

Target Marketing Agency - это adware »

Но его же ставит Agava, только с ним можно бесплатной Агавой пользоваться!

Цитата Pili:

c:\cachesys C:\Program Files\Katren\WinPrice2 знакомо? »

Знакомей некуда.:-)

Цитата Pili:

Возможно из-за установленного софта, м.б. несовместимого »

Правда, началось это после заражения... Ну да ладно, не так часто приходится делать.

Цитата Pili:

>> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: к ПК разрешен доступ анонимного пользователя »

Прикольно, я это убирал, у меня, слава Богу, "Безопасный Интернет. Универсальная защита для Windows ME - Vista" - настольная книга.:-) Уберу, спасибо, а то я даже и не смотрел на это.
И Internet Explorer'ом я не увидел, чтобы там кто-то пользовался в последнее время, а там девчонки работают, которые не умеют скрывать следы своего присутствия в инете. Они пользуются только заявочными программами поставщиков, от которых, по идее вреда-то быть не должно, НО тем не менее это произошло. И обновления все стоят там. Там одна проблема, инет очень медленный Dial-up, антивирусник просто не успевает обновить свои базы, а вирусы похоже успевают пролезть. Так что "следи за собой, будь осторожен!" (В.Цой) Спасибо за рекомендации, и все же вопрос про Агаву, что же её - не ставить?
Спасибо огромаднейшее!

[Pili]

Цитата sasha-lav:

Но его же ставит Agava, только с ним можно бесплатной Агавой пользоваться! »

TMAGENT . DLL , Prevx
TMASRV . EXE , Prevx
Как хотите, можете пользоваться, но вас передупреждали.

Цитата sasha-lav:

Правда, началось это после заражения... »

Восстановление сист. файлов sfc /scannow делали? См. метод лечения системы от файловых вирусов. Можно продолжить проверку другими утилитами, но если exe файлы изменены, что часто бывает после файлового вируса, то утилиты могут ничего не найти.
Если хотите продолжить проверку:
Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь и здесь

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте OTListIt2, сохраните на рабочий стол и запустите, поставьте галочку Scan All Users, LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

[sasha-lav]

Цитата Pili:

Как хотите, можете пользоваться, но вас передупреждали »

До заражения стоял только штатный брандмауэр с убранными исключениями, но зараза прошла. А есть еще какие бесплатные, но русскоязычные файерволлы, Вы можете подсказать?

Цитата Pili:

Восстановление сист. файлов sfc /scannow делали »

Да, делал. Что интересно, несмотря на то, что установлена XP Home Edition, утилита потребовала диск Professional. Или это так и должно быть?
И спасибо за дальнейшие рекомендации, сделаю!

[Pili]

Цитата sasha-lav:

До заражения стоял только штатный брандмауэр с убранными исключениями, но зараза прошла »

Если вы о файловом вирусе Sality, то этот вирус не использует для распространения сеть (кроме общих файловых ресурсов), т.е. ту технологию, которые используют черви типа Net-Worm.Win32.Kido

Цитата sasha-lav:

А есть еще какие бесплатные, но русскоязычные файерволлы, Вы можете подсказать? »

FAQ | Firewalls (AKA Файеры, брандмауэры, МЭ или ПСЭ) - ТОЛЬКО ОБЩИЕ вопросы

Цитата sasha-lav:

Что интересно, несмотря на то, что установлена XP Home Edition, утилита потребовала диск Professional. Или это так и должно быть? »

Разное - sfc /scannow - проверка целостности системных файлов - .: [все вопросы] :.

[sasha-lav]

Pili, высылаю логи прикрепленными файлами.

[Pili]

sasha-lav, сохраните текст ниже как fix.reg и примените

Код:

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f85796b0-9823-11dd-94cc-0018f35015ab}]

Проверьте на флешке есть ли файл F:\nuejrk.exe, если есть - удалите.
Больше ничего плохого не вижу.
Судя по папкам

Цитата:

C:\found.001 C:\found.000

У вас начинает сыпаться винт.
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Запустите OTListIt2, нажмите CleanUp!

Цитата:

[1 C:\*.tmp files] [1 C:\WINDOWS\System32\drivers\*.tmp files] [1 C:\WINDOWS\System32\*.tmp files] [7 C:\WINDOWS\*.tmp files]

Временные файлы можете удалить.
Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Проблемы ещё наблюдаются?