Недавно подхватил у друга на флеху Trojan.generic. У него стоит нод 32 и он его не видит, а у меня каспер и он сразу выдал "обнаружено: потенциально опасное ПО Trojan.generic Процесс: K:\EULRMU.EXE" я запретил выполнения этого процеса! Но после перезагрузки у меня началося тормажение , опера запускается с ошибками, включилась UAC защита (хотя галачка не стоит и не получается её поставить).
Когда вставил другую флеху каспер выдал:"обнаружено: потенциально опасное ПО Worm.P2P.generic Процесс: C:\WINDOWS\SYSTEM32\CSRCS.EXE" я опять запретил. У каспера базы старые (02.2008). Стоит Windows Vista SP1.
Нехочу опять переустанавливать систему, только переустановил после AUTORAN

Вот логи

C:\Windows\system32\drivers\blbdrive.sys
C:\Windows\system32\DRIVERS\ipinip.sys
проверьте на virustotal.com, результат сообщите
Multi Password Recovery удалите через установку/удаление программ
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Multi Password Recovery\mpr_freader.sys','');
QuarantineFile('K:\wakfqg.exe','');
QuarantineFile('K:\autorun.inf','');
QuarantineFile('C:\Windows\system32\cftm.exe','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('C:\Windows\system32\cftm.exe');
DeleteFile('K:\autorun.inf');
DeleteFile('K:\wakfqg.exe');
DeleteFile('C:\Program Files\Multi Password Recovery\mpr_freader.sys');
DeleteService('mpr_freader');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
RebootWindows(true);
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
O4 - HKLM\..\Run: [cftm] C:\Windows\system32\cftm.exe
O4 - HKLM\..\RunServices: [cftm] C:\Windows\system32\cftm.exe
Советую выполнить рекомендации по защите от автозапуска (http://forum.oszone.net/post-825101-59.html)
Повторите логи.

А чем Multi Password Recovery плох ?
Я его специально установил, что б просматривать свои логины и пароли.

А чем Multi Password Recovery плох ? »
mpr_freader.sys - Dangerous (http://www.greatis.com/appdata/d/m/mpr_freader.sys.htm)
mpr_freader.sys | ThreatExpert statistics (http://www.threatexpert.com/files/mpr_freader.sys.html)
Можете удалить и после лечения заново установить, но в этом случае при повторном заражении обращайтесь на другой форум, пароли лучше держать в голове.

C:\Windows\system32\drivers\blbdrive.sys
C:\Windows\system32\DRIVERS\ipinip.sys
Нет этих файлов почему-тоЧерез тотал комадер смотрел со включеными срытыми файлами, так как в проваднике , когда я включаю показывать скрытые , системные файлы оно через секунды опять меняется и не показует)

K:\wakfqg.exe
K:\autorun.inf
C:\Windows\system32\cftm.exe
c:\windows\system32\csrcs.exe
Так и остались на свох местах

O4 - HKLM\..\Run: [cftm] C:\Windows\system32\cftm.exe
O4 - HKLM\..\RunServices: [cftm] C:\Windows\system32\cftm.exe
хоть и выбирал их и нажимал на них они всё равно добавляются в автозакрузку и светятся в процесах деспечера задачь.

Зделал первый лог, перезагрузился зделал второй, сделал hijackthis и смотрю, что
O4 - HKLM\..\Run: [cftm] C:\Windows\system32\cftm.exe
O4 - HKLM\..\RunServices: [cftm] C:\Windows\system32\cftm.exe
Уже нет, в деспечере весит csrcs.exe запущенно аж 2 (пользователь "систем"),
На флехе ( К:/) сколько не удаляй, всё равно создаётся wakfqg.exe и autorun.inf. Если эти файлы удалить с другого компа , они исчезнут, до того как я вставлю в свой!

ZaYAC-UA, Защитное ПО отключали на время выполнения скрипта (антивирус, Windows Defender и пр.)?
рекомендации по защите от автозапуска (http://forum.oszone.net/post-825101-59.html) - выполняли?
C:\Windows\system32\cftm.exe по логу больше не наблюдается, если есть удалите вручную, KAV с новыми базами знает зловредов, обновите базы.
Удалите Bonjour Service см. здесь (http://virusinfo.info/showthread.php?t=27923) или здесь (http://forum.oszone.net/post-659376.html)
c:\program files\ups\ippon_ups.exe - проверьте на virustotal.com
Запустите AVZ через правую кн. мыши от имени администратора, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\csrcs.exe');
SetServiceStart('mpr_freader', 4);
QuarantineFile('c:\windows\system32\ice_time.dll','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('C:\Program Files\Multi Password Recovery\mpr_freader.sys');
DeleteFile('K:\autorun.inf');
DeleteFile('K:\wakfqg.exe');
DeleteService('mpr_freader');
DeleteFile('c:\windows\system32\ice_time.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('K:\wakfqg.exe');
BC_DeleteFile('c:\windows\system32\csrcs.exe');
BC_DeleteFile('K:\autorun.inf');
BC_DeleteSvc('mpr_freader');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
RebootWindows(true);
end.
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""

Скачайте и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) Flash Drive Disinfector (http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/tools/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Повторите лог virusinfo_syscheck.zip
Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe), сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.

Результат проверки файла ippon_ups.exe:
Файл ippon_ups.exe получен 2008.11.26 14:40:25 (CET)
Антивирус;Версия;Обновление;Результат
AhnLab-V3;2008.11.24.3;2008.11.26;-
AntiVir;7.9.0.35;2008.11.26;-
Authentium;5.1.0.4;2008.11.26;-
Avast;4.8.1281.0;2008.11.26;-
AVG;8.0.0.199;2008.11.26;-
BitDefender;7.2;2008.11.26;-
CAT-QuickHeal;10.00;2008.11.26;-
ClamAV;0.94.1;2008.11.26;-
DrWeb;4.44.0.09170;2008.11.26;-
eSafe;7.0.17.0;2008.11.25;Suspicious File
eTrust-Vet;31.6.6228;2008.11.26;-
Ewido;4.0;2008.11.26;-
F-Prot;4.4.4.56;2008.11.25;-
F-Secure;8.0.14332.0;2008.11.26;-
Fortinet;3.117.0.0;2008.11.26;-
GData;19;2008.11.26;-
Ikarus;T3.1.1.45.0;2008.11.26;-
K7AntiVirus;7.10.533;2008.11.25;-
Kaspersky;7.0.0.125;2008.11.26;-
McAfee;5445;2008.11.25;-
McAfee+Artemis;5445;2008.11.25;-
Microsoft;1.4104;2008.11.26;-
NOD32;3642;2008.11.26;-
Norman;5.80.02;2008.11.26;-
Panda;9.0.0.4;2008.11.25;-
PCTools;4.4.2.0;2008.11.26;-
Prevx1;V2;2008.11.26;-
Rising;21.05.22.00;2008.11.26;-
SecureWeb-Gateway;6.7.6;2008.11.26;-
Sophos;4.35.0;2008.11.26;-
Sunbelt;3.1.1830.2;2008.11.26;-
Symantec;10;2008.11.26;-
TheHacker;6.3.1.1.163;2008.11.25;-
TrendMicro;8.700.0.1004;2008.11.26;PAK_Generic.001
VBA32;3.12.8.9;2008.11.26;-
ViRobot;2008.11.26.1487;2008.11.26;-
VirusBuster;4.5.11.0;2008.11.25;-

Дополнительная информация
File size: 34816 bytes
MD5...: 3f91c48822715371ca07a18530e3682f
SHA1..: 19e6515ea8f7b04d6381bd4b3f045e7034089e3a
SHA256: de49b080ff390b39b50dbfe916a19afe21fe7ae37bc008f95d726605f496c300
SHA512: ac2ac0cafdb1a087ca2a3fc0021e4e5f53f224508cdaeadba912877e53ad2827<BR>6b4001809ee3e58940ca44b82c9e4b90f3bfcb588570152aa83442ab221c9089<BR>
ssdeep: 768:Isu2sKzngv8K9KWWITv1XVXjiWGiuGlqHh:/h35KNXjiFGlqH<BR>
PEiD..: UPX 2.90 [LZMA] -&gt; Markus Oberhumer, Laszlo Molnar &amp; John Reiser
TrID..: File type identification<BR>UPX compressed Win32 Executable (39.5%)<BR>Win32 EXE Yoda's Crypter (34.3%)<BR>Win32 Executable Generic (11.0%)<BR>Win32 Dynamic Link Library (generic) (9.8%)<BR>Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x418b00<BR>timedatestamp.....: 0x46e1e756 (Sat Sep 08 00:05:42 2007)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x10000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x11000 0x8000 0x7e00 7.88 cacf3759c02fc058d203bfa50c2635a1<BR>.rsrc 0x19000 0x1000 0x600 3.92 d4174098bc37532bd6821e654b4f9af4<BR><BR>( 5 imports ) <BR>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess<BR>&gt; ADVAPI32.dll: RegCloseKey<BR>&gt; ole32.dll: CoInitialize<BR>&gt; POWRPROF.dll: GetPwrCapabilities<BR>&gt; USER32.dll: MessageBoxA<BR><BR>( 0 exports ) <BR>
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
P.S.это програма для безперебойника(вольтаж, раряд батареи,... смотреть)

Защитное ПО отключали на время выполнения скрипта (антивирус, Windows Defender и пр.)? - ДА

рекомендации по защите от автозапуска - выполняли? - НЕТ, но уже зделал.

Прикрепляю логи, и щас посмотрю про "Удалите Bonjour Service см. здесь или здесь", так как с начала его не заметил.

В логах чисто. Проблемы ещё наблюдаются?

Да, опера запускается с ошибками, не удатся выключить UAC защиту (хотя галачка не стоит и не получается её поставить), Аимп не хочет воспроизводить музыку ( я его переустанавливал - безтолку) ,PhotoImpact 7 запускается с ошибками! Может надо реестр востанавливать ?

ZaYAC-UA, это уже проблемы, не связанные с вирусами, попробуйте удалить и установить снова данное ПО, по проблемам с конкретными программами можете обратиться в раздел Программное обеспечение Windows (http://forum.oszone.net/forum-7.html)