После заражения и лечения вируса Win32.Sality.aa в Windows XP Home появились некоторые проблемы.
Вычистил диски с помощью CureIT и утилиты Касперского. AVZ, на мой взгляд, ничего криминального не показал.
Но тем не менее проблемы такие:
1. Жму: "Рабочий стол - Свойства - закладка "Оформление" - "Окна и кнопки" выбираю "Классический стиль". Если автоматический вход в систему не стоит, то после перезагрузки сохраняется классический стиль, а если ставлю через реестр автоматический вход, то Windows всегда загружается со стилем Windows XP. Хоть меняй на классический, хоть не меняй - все равно после перезагрузки будет стиль ХР.
2. При перезагрузке компьютера не всегда включается резидентный модуль AMON антивируса НОД-32. При автоматической перезагрузке ночью включается, а при ручной перезагрузке - нет. Логика, честно говоря, мне не понятна. Переустановка не помогает, вернее иногда помогает, но после обновления баз и последующей перезагрузке AMON опять не загружается.
Логи прилагаю.
Спасибо.

sasha-lav, Здравствуйте. С помощью AVPTool систему проверяли?
Деинсталлируйте Target Marketing Agency (C:\Program Files\Common Files\Target Marketing Agency)
Файлы
c:\program files\okclock\OkClock.exe
C:\Sender\Sender.exe
c:\program files\ace lab\smart vision\smart.exe
проверьте на virustotal.com
Восстановление системы: включено
Отключите восстановление системы или очистите предыдущие точки восстановления (см. правила)
Рекомендую временно деинсталлировать AGAVA Firewall (чтобы не мешал), отключите автозапуск со съемных носителей (http://forum.oszone.net/showpost.php?p=825101), включите брандмауэр windows и уберите в исключениях брандмауэра (http://www.microsoft.com/rus/windowsxp/sp2/sp2_wfexeptions.mspx) общий доступ к файлам и принтерам.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html), нажмите кнопку «Запустить».
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('abp470n5', 4);
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\iuosnk.sys','');
QuarantineFile('c:\progra~1\common~1\target~1\tmagent\tmasrv.exe','');
DeleteFile('c:\progra~1\common~1\target~1\tmagent\tmasrv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\iuosnk.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\iuosnk.sys');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
DeleteFileMask('C:\Program Files\Common Files\Target Marketing Agency\', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\Target Marketing Agency');
DeleteService('abp470n5');
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('abp470n5');
BC_Activate;
RebootWindows(true);
end.
Очистите временные файлы с помощью ATF Cleaner (см. правила)
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Включите AVZM (см. правила) и повторите логи.

С помощью AVPTool систему проверял, на virustotal.com файлы проверил.
Восстановление системы: включено - в логе AVZ стоит и сейчас, но я выключил службу, оставив тип запуска "Вручную". Надеюсь, так можно.
AGAVA Firewall деинсталлировал, скрипт выполнил, логи повторяю. Оформление рабочего стола как классическое вроде бы теперь закрепилось, и Amon НОДовский запускается, НО только если компьютер перезагружается в автоматическом режиме ночью (он работает круглосуточно, каждую ночь перезагружаясь). Если же перезагружать его вручную через "Пуск-Завершение работы", то AMON не запускается. В чем разница - не понимаю. И еще вопрос: а чем Антивирусу Зайцева не угодил AGAVA Firewall и в частности его рекламный модуль Target Marketing Agency, без которого AGAVA работать не будет? Почему Зайцев его удаляет?
Спасибо.

sasha-lav, Target Marketing Agency - это adware
c:\cachesys
C:\Program Files\Katren\WinPrice2
знакомо? Если да, то логам больше придраться не к чему.
Если же перезагружать его вручную через "Пуск-Завершение работы", то AMON не запускается. В чем разница - не понимаю »
Возможно из-за установленного софта, м.б. несовместимого.
Можете дополнительно провериться с помощью MBAM (http://www.besttechie.net/mbam/mbam-setup.exe)

8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD

Советую отключить неиспользуемые службы (http://www.oszone.net/2517/), отключить автозапуск (http://forum.oszone.net/showpost.php?p=825101) со съемных носителей и настроить безопасность.
По службам можно почитать здесь (http://www.oszone.net/2517/), дополнительно по безопасности Windows XP можно почитать здесь (http://www.oszone.net/47/), если что не нужно, скажите, можно будет отключить скриптом.

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights (http://download.microsoft.com/download/f/2/e/f2e49491-efde-4bca-9057-adc89c476ed4/DropMyRights.msi) см. здесь (http://saule.sporaw.ru/library/droprights.html) и здесь (http://virusinfo.info/showthread.php?t=2852) или SanboxIE (http://www.sandboxie.com), пользоваться браузером Opera или Firefox (http://www.mozilla-europe.org/ru/firefox/) c плагином NoScript (https://addons.mozilla.org/firefox/addon/722) и AdBlock Plus (https://addons.mozilla.org/ru/firefox/addon/1865)
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем (http://forum.oszone.net/forum-20.html)

Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista (http://security-advisory.ru/),
Базовая концепция системы безопасности ОС Windows семейства NT (http://forum.freesoft.ru/index.php?showtopic=1274)
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ (http://www.z-oleg.com/secur/news/news1347.php)

Target Marketing Agency - это adware »
Но его же ставит Agava, только с ним можно бесплатной Агавой пользоваться!
c:\cachesys
C:\Program Files\Katren\WinPrice2
знакомо? »
Знакомей некуда.:-)Возможно из-за установленного софта, м.б. несовместимого »
Правда, началось это после заражения... Ну да ладно, не так часто приходится делать.>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя »
Прикольно, я это убирал, у меня, слава Богу, "Безопасный Интернет. Универсальная защита для Windows ME - Vista" - настольная книга.:-) Уберу, спасибо, а то я даже и не смотрел на это.
И Internet Explorer'ом я не увидел, чтобы там кто-то пользовался в последнее время, а там девчонки работают, которые не умеют скрывать следы своего присутствия в инете. Они пользуются только заявочными программами поставщиков, от которых, по идее вреда-то быть не должно, НО тем не менее это произошло. И обновления все стоят там. Там одна проблема, инет очень медленный Dial-up, антивирусник просто не успевает обновить свои базы, а вирусы похоже успевают пролезть. Так что "следи за собой, будь осторожен!" (В.Цой) Спасибо за рекомендации, и все же вопрос про Агаву, что же её - не ставить?
Спасибо огромаднейшее!

Но его же ставит Agava, только с ним можно бесплатной Агавой пользоваться! »
TMAGENT . DLL , Prevx (http://www.prevx.com/filenames/X1628801863125141228-0/TMAGENT2EDLL.html)
TMASRV . EXE , Prevx (http://www.prevx.com/filenames/1889669023498503910-0/TMASRV.EXE.html)
Как хотите, можете пользоваться, но вас передупреждали.
Правда, началось это после заражения... »
Восстановление сист. файлов sfc /scannow делали? См. метод лечения системы от файловых вирусов (http://forum.oszone.net/post-780845-7.html). Можно продолжить проверку другими утилитами, но если exe файлы изменены, что часто бывает после файлового вируса, то утилиты могут ничего не найти.
Если хотите продолжить проверку:
Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.htm) здесь (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) или здесь (http://www.downloads.andymanchesta.com/RemovalTools/SDFix.zip), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html) и здесь (http://virusnet.info/forum/showthread.php?t=512)

Скачайте Malwarebytes' Anti-Malware здесь (http://malwarebytes.gt500.org/mbam-setup.exe), здесь (http://www.besttechie.net/mbam/mbam-setup.exe), здесь (http://www.malwaresupport.com/mbam/program/mbam-setup.exe) или здесь (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe). Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) и здесь (http://support.microsoft.com/kb/310994) - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) (http://support.microsoft.com/kb/310994#) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=535d248d-5e10-49b5-b80c-0a0205368124).
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) (на англ.яз.) и здесь (http://www.spyware-ru.com/combofix/) (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте OTListIt2 (http://oldtimer.geekstogo.com/OTListIt2.exe), сохраните на рабочий стол и запустите, поставьте галочку Scan All Users, LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

Как хотите, можете пользоваться, но вас передупреждали »
До заражения стоял только штатный брандмауэр с убранными исключениями, но зараза прошла. А есть еще какие бесплатные, но русскоязычные файерволлы, Вы можете подсказать?
Восстановление сист. файлов sfc /scannow делали »
Да, делал. Что интересно, несмотря на то, что установлена XP Home Edition, утилита потребовала диск Professional. Или это так и должно быть?
И спасибо за дальнейшие рекомендации, сделаю!

До заражения стоял только штатный брандмауэр с убранными исключениями, но зараза прошла »
Если вы о файловом вирусе Sality, то этот вирус не использует для распространения сеть (кроме общих файловых ресурсов), т.е. ту технологию, которые используют черви типа Net-Worm.Win32.Kido
А есть еще какие бесплатные, но русскоязычные файерволлы, Вы можете подсказать? »
FAQ | Firewalls (AKA Файеры, брандмауэры, МЭ или ПСЭ) - ТОЛЬКО ОБЩИЕ вопросы (http://forum.oszone.net/thread-28570.html)

Что интересно, несмотря на то, что установлена XP Home Edition, утилита потребовала диск Professional. Или это так и должно быть? »
Разное - sfc /scannow - проверка целостности системных файлов - .: [все вопросы] :. (http://forum.oszone.net/showthread.php?t=40792)

Pili, высылаю логи прикрепленными файлами.

sasha-lav, сохраните текст ниже как fix.reg и примените
REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f85796b0-9823-11dd-94cc-0018f35015ab}]
Проверьте на флешке есть ли файл F:\nuejrk.exe, если есть - удалите.
Больше ничего плохого не вижу.
Судя по папкам
C:\found.001
C:\found.000
У вас начинает сыпаться винт.
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Запустите OTListIt2, нажмите CleanUp!
[1 C:\*.tmp files]
[1 C:\WINDOWS\System32\drivers\*.tmp files]
[1 C:\WINDOWS\System32\*.tmp files]
[7 C:\WINDOWS\*.tmp files]
Временные файлы можете удалить.
Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Проблемы ещё наблюдаются?

Pili, спасибо, всё сделал. Наблюдается только одна проблема: при перезагрузке компьютера вручную не запускается Amon НОДа-32. Но так как компьютер этот как правило перезагружается в автоматическом режиме, то проблема не сильно актуальна. Хотя всё же интересно, чем же отличаются эти два способа перезагрузки.
Спасибо огромное за помощь.

sasha-lav, я с подобным вирусом расправился с помощью ComboFix » После запустил восстановление системы в AVZ4. После перезагрузки установил бесплатную Avira. По очереди позапускал установленные программы. Всё, что не удалили и не исправили вышеперечисленные, Авира плевалась на битые "экзешники". При запросе "чё делать" нажимал "лечить". При повторном запуске уже проблем не было. А у тебя, скорее всего, вирус Нода сожрал. Удали и установи заново. Просто НОД работает, можно сказать "никак". Всё пропустил.

sasha-lav, NOD попробуйте удалить и установить заново.

Pili, спасибо за помощь. Сейча всё успокоилось на том, что при перезагрузке включается стиль ХР, даже если перед этим стоял классический стиль. Зато НОД работает нормально. Попробовал переустановить, ничего не изменилось. Ну, да Бог с ним.
Просто НОД работает, можно сказать "никак". »
Нет идеальных антивирусников, как и идеальных людей.:-) А НОД-32 мне подходит по ряду причин, потому и стоит везде.

при перезагрузке включается стиль ХР, даже если перед этим стоял классический стиль. »
Симптомы червя kido, проверьтесь точно как сказано в рекомендациях Утилита для удаления Net-Worm.Win32.Kido (Conficker,Downup, Downadup) (http://forum.kaspersky.com/index.php?showtopic=101154)

Симптомы червя kido, проверьтесь точно как сказано в рекомендациях Утилита для удаления Net-Worm.Win32.Kido (Conficker,Downup, Downadup) »
Никакого kido у меня не оказалось, похоже, что это всё-таки последствия Sality.

sasha-lav, проблема, о которой вы упоминали в посте 14 ещё осталась? Брандмауэр windows включили? При проверки утилитой антивирус отключали? Обновления все установили?

проблема, о которой вы упоминали в посте 14 ещё осталась? »
Я без калькулятора с трудом до 14-ти считаю...:-) Если Вы имеете в виду самопроизвольное переключение в стиль ХР после перезагрузки, то да, проблема осталась. Брандмауэр включил. Антивирус при проверке отключал. Обновления стоят все, кроме мартовских, причем, они стояли, насколько я помню, еще до заражения.

Еще забыл упомянуть одну неприятную вещь. 21-го марта и сегодня комп вываливался в BSOD 0x000000c2 (0x00000007, 0x00000c3e, 0x00000000, 0xe2535433).
Microsoft Windows XP [Версия 5.1.2600]
Анализ дампа показал, что проблема в незнакомом мне драйвере:

Crash date: Sat Mar 21 00:11:23.593 2009 (GMT+3)
Stop error code: 0xc2_7
Process name: System
Probably caused by: uziznzyw.sys ( uziznzyw+177b )

Описание его я в инете не нашел. Не знаете, что это за драйвер?

uziznzyw.sys »
д.б. от AVZ, выполните скрипт
begin
SetAVZPMStatus(false);
ExecuteStdScr(6);
RebootWindows(true);
end.
Если Вы имеете в виду самопроизвольное переключение в стиль ХР после перезагрузки, то да, проблема осталась »
Украшательства, типа VistadriveIcon не используются?
Скачайте Gmer (http://www.gmer.net/gmer.zip), запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Скачайте DDS DDS.scr (http://download.bleepingcomputer.com/sUBs/dds.scr), DDS.pif (http://www.forospyware.com/sUBs/dds) или DDS.com (http://www.techsupportforum.com/sectools/sUBs/dds) сохраните на рабочий стол, отключите антивирус и запустите DDS, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение.

Украшательства, типа VistadriveIcon не используются? »
Нет.

Логи прилагаю (упакованы в один архив).