При запуске Malwarebytes' Anti-Malware перезагружается рабочий стол, исчезает картинка ярлыка и при последующем запуске пишет, что путь заблокирован. Запускал через безопасный режим - все ок, вирусов не обнаружено. Что ему мешает? Иногда avast кричит, что обнаружен малваре в пути c:\windows\sistem32\x .

byaka, Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html#post717373) инструкциями.

byaka, c:\windows\sуstem32\x - это должен быть от Net-Worm.Win32. Kido (http://www.viruslist.com/ru/alerts?alertid=203698715)
Предварительно отключите автозапуск со съемных носителей (http://forum.oszone.net/showpost.php?p=825101), включите брандмауэр windows и уберите в исключениях брандмауэра (http://www.microsoft.com/rus/windowsxp/sp2/sp2_wfexeptions.mspx) общий доступ к файлам и принтерам. Отключите компьютер от сети и проверьте систему с помощью KidoKiller_v3.2 (http://forum.oszone.net/attachment.php?attachmentid=21849&d=1234695874) (желательно в безопасном режиме). Рекомендую дополнительно почитать здесь (http://forum.oszone.net/post-1014045-21.html). Если проблема не решится:

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) и здесь (http://support.microsoft.com/kb/310994) - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) (http://support.microsoft.com/kb/310994#) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=535d248d-5e10-49b5-b80c-0a0205368124).
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) (на англ.яз.) и здесь (http://www.spyware-ru.com/combofix/) (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте Gmer (http://www.gmer.net/gmer.zip), запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Скачайте DDS (http://download.bleepingcomputer.com/sUBs/dds.scr) и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение.

прикрепил логи согласно 1-го ответа

проверьте систему с помощью KidoKiller_v3.2 (желательно в безопасном режиме) »
Ничего утилита не обнаружила

byaka, по логам AVZ и hijackthis ничего плохого, c:\windows\sуstem32\x ещё обнаруживается? Попробуйте выполнить рекомендации поста 3.

Попробуйте выполнить рекомендации поста 3. »

только утилита Gmer нашла вирус. Прикрепляю лог.

по логам AVZ и hijackthis ничего плохого »

Когда выполнялся 3й скрипт - avz ругался на подмену файлов красным шрифтом

А где все остальное?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\jwsros.dll');
DeleteService('dwicks', );
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

А где все остальное? »
Прикрепил. ComboFix запустился только в безопасном режиме. С рабочего стола к нему так же был запрёщён доступ, как и к Malwarebytes' Anti-Malware, причем блокировка начиналась ещё в процессе закачивания утилиты. Скачивал в 3 приёма, через перезагрузку.

Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". »

Скрипт запустил. Гадость нашлась. Комп перезагрузился. Запустил опять этот скрипт - опять таже гадость. Почему не удаляется? Прикрепляю лог avz_log

PS. Если что-то делаю не так - не ругайтесь :)

Давайте так:
Скачайте OTMoveIt3 by OldTimer (http://oldtimer.geekstogo.com/OTMoveIt3.exe) или с зеркала (http://virusnet.info/soft/OTMoveIt3.exe) и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services
FXDRV
dwicks
:Files
C:\khs
C:\WINDOWS\system32\jwsros.dll
c:\windows\sуstem32\x
C:\xhapvu.exe
:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

И попробуйте ComboFix запустить. И подготовьте еще один лог gmer и DDS

Давайте так: »
Логи отправляю. ComboFix запускается только из безопасного режима.

Предварительно отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам. »
Сделали?
Рекомендую дополнительно почитать здесь. »
Рекомендации описанные здесь (http://forum.oszone.net/post-1014045-21.html) выполняли? Утилиту wwdc использовали? Также там есть ссылки на заплатки и другие утилиты.
По видимому рекомендации были проигнорированы, т.к.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
И OtmoveIt удалил вредоносную службу, но вы снова заразились, если бы выполнили рекомендации, то зловред был бы удален ещё скриптом из поста 8
Пока вы не выполните рекомендации по защите, лечение бесполезно (компьютер будет заражаться из сети снова)

Деинсталлируйте или Dr.Web или avast и оставьте один антивирус, в Spybot S&D отключите teatimer или также временно деинсталлируйте Spybot S&D
Запустите GMER, нажмите справа от вкладки Rootkit/Malware клавишу >>>, выберите вкладку Files. Появится аналог проводника. Найдите файл
C:\WINDOWS\system32\jwsros.dll
Нажмите Copy и скопируйте файл в отдельную папку, например C:\virus, далее нажмите Deletе для удаления файла и подтвердите удаление.
Нажмите справа от вкладки Rootkit/Malware клавишу >>>, Выберите вкладку Sevices найдите
dwicks
пр.кн.мыши - delete или, если будет недоступно, выберите disable и после перезагрузки запустите gmer и выберите - delete

Файл SysUtils.exe поищите на диске, можно с помощью AVZ или FAR, проверьте на virustotal.com, если зловред - перенесите в др. папку и запакуйте.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html)

File::
C:\WINDOWS\system32\jwsros.dll
c:\windows\sуstem32\x
Driver::
dwicks

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5298:TCP"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1f2a43eb-f3c0-11dc-bae5-00016cba8a71}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b23ab61e-6410-11dc-ba1f-00016cba8a71}]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dwicks]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dwicks]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\dwicks]


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

http://virusnet.info/images/CFScript.gif

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Повторите лог gmer и DDS, а также скачайте GetSystemInfo (GSI) здесь (http://telecharger.kaspersky.fr/Tools/GetSystemInfo.exe) или здесь (ftp://ftp.kaspersky.ru/utils/getsysteminfo/GetSystemInfo.exe), запустите, укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.

По видимому рекомендации были проигнорированы »

Прошелся ещё раз по рекомендациям, нашел пару упущений :) Всё повторил и с лечения по 8-му посту зловред был убит. Окончательно. Как Вы и написали. Всё теперь запускается, всё летает.

Всем Огромное Спасибо!!! И за терпение, и за разжевывание. :oszone:

byaka, пожалуйста )
Скрипт combofix ещё сделайте из поста 12, там дополнительно ещё убивается мусор :)
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Советую отключить неиспользуемые службы (http://www.oszone.net/2517/) и настроить безопасность.
По службам можно почитать здесь (http://www.oszone.net/2517/), дополнительно по безопасности Windows XP можно почитать здесь (http://www.oszone.net/47/), если что не нужно, скажите, можно будет отключить скриптом.

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights (http://download.microsoft.com/download/f/2/e/f2e49491-efde-4bca-9057-adc89c476ed4/DropMyRights.msi) см. здесь (http://saule.sporaw.ru/library/droprights.html) и здесь (http://virusinfo.info/showthread.php?t=2852) или SanboxIE (http://www.sandboxie.com), пользоваться браузером Opera или Firefox (http://www.mozilla-europe.org/ru/firefox/) c плагином NoScript (https://addons.mozilla.org/firefox/addon/722) и AdBlock Plus (https://addons.mozilla.org/ru/firefox/addon/1865)
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем (http://forum.oszone.net/forum-20.html)

Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista (http://security-advisory.ru/),
Базовая концепция системы безопасности ОС Windows семейства NT (http://forum.freesoft.ru/index.php?showtopic=1274)
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ (http://www.z-oleg.com/secur/news/news1347.php)

Скрипт combofix ещё сделайте из поста 12 »
Прикрепил.

byaka, да, всё чисто. По отключения служб и настройкам безопасности вы ничего не написали по
если что не нужно, скажите, можно будет отключить скриптом. »
Если не скриптом. то можете настроить через реестр или групповую политику.
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Запустите OTMoveIt3 и нажмите “CleanUp!”
Рекомендую в дальнейшем не отключать встроенный брандмауэр windows, а в случае использования стороннего файервола, грамотно прописывать правила для входящих и исходящих соединений.
Чистого вам интернета!

По отключения служб и настройкам безопасности вы ничего не написали »

Да сходу и не могу сказать, что нужно а что нет. Этот комп на работе, раньше был в сети. Расшарен был максимально, даже в тех местах, про которые нормальный человек и думать не будет. :) Наверное кроме службы автообновления и времени ничего не нужно. В сеть выхожу через адсл либо через гпрс с помощью блютуз.

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Запустите OTMoveIt3 и нажмите “CleanUp!” »

А это обязательно? Места они на диске много не занимают :)

Рекомендую в дальнейшем не отключать встроенный брандмауэр windows »

Я им пользоваться совсем не умею - он либо всё пропускает, либо блокирует наглухо

Да сходу и не могу сказать, что нужно а что нет. Этот комп на работе, раньше был в сети»
Наиболее небезопасные службы и административный доступ к дискам уже отключены, т.е. безопасность системы в среднем настроена чуть выше, чем у остальных, появляющихся в этом разделе. Рекомендую ещё отключить доступ анонимного пользователя, скрипт AVZ
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
end.
А это обязательно? Места они на диске много не занимают »
Не обязательно, но зачем вам мусор на компьютере? Если периодически хотите проверять систему, можете это делать с помощью CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe), AVPTool (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/), MBAM (http://malwarebytes.gt500.org/mbam-setup.exe) или другими антивирусами.
Я им пользоваться совсем не умею - он либо всё пропускает, либо блокирует наглухо »
Настройка брандмауэра Windows (http://www.microsoft.com/rus/windowsxp/sp2/sp2_wfsettings.mspx)
По сторонним firewall читайте документацию, также выше была ссылка на раздел Защита компьютерных систем (http://forum.oszone.net/forum-20.html), в котором вы можете обсудить интересующие вас вопросы защиты.