[volk1234]

Цитата IWTK:

я работаю только под своей учетной записью. »

И это главная ошибка майкрософта ну и вас вслед за ними
Потому как эта учетная запись создаваемая при установке имеет права администратора.

Майкрософт осознала и в Висте ввела революционный принцип UAC.
Да он раздражает, но цель была достигнута.

K.gusarch
Читайте в шапке, мой способ, только раздел II.
Смените пароль если он есть (возможно вирус пролазит к вам снова по сети подбирая ваш простейший пароль)
Смените имя учетной записи администратор(и пароль на ней)
Пароли должны быть сложными!
Проверьте флэшки свои. В общем читайте мануал !

[K.gusarch]

Пароли непростые, не менее 10 символов,буквы,цифры,регистр.
Попробую с именами.

[K.gusarch]

Обнаружил следующее.
Conficker создаёт задание в Windows\Tasks с названием At1.job
Внутри команда: rundll32.exe oossm,aidwuf
В определённое время (16.00) задание запускается, и Nod блокирует и помещает в карантин файл samqi.n из System32.
Задание удаляю руками или Kidokiller-ом - спустя некоторое время появляется.
Что посоветуете?
Машины win2003,нужные заплатки стоят.

В реестре, ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
и HKLM\SYSTEM\CurrentControlSet\Services\netsvcs в порядке

[K.gusarch]

Ветку svchost заблокировал.
Посмотрю появится ли снова.

[volk1234]

Цитата K.gusarch:

Conficker создаёт задание в Windows\Tasks с названием At1.job »

Цитата K.gusarch:

Что посоветуете? »

Так остановите службу планировщика, и он больше не проникнет к вам таким образом. Лезет он через порты 139, 445.
Эти порты нужны для нормального функционирования рабочей группы. Но без пароля и имени администратора вирус не может задавать запланированнфе задания. Отсюда:
1) если он пролазит через сеть, у вас либо несколько У.З. администратора. проверьте все ли записи запороленны и сложный ли пароль, особенно встроенная у.з. - та которая называется Администратор. Вообще отключите все лишние у.з. В идеале оставьте 2 вашу Пользователя и с правами Администратора.
2) если о пролазит не через сеть - значит не долечили на HDD или флэшку.

Цитата K.gusarch:

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs в порядке »

Этой вообще не должно быть. Удалить.

Приведите параметр netsvcs из ветки

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

[K.gusarch]

Параметр netsvc:

читать дальше »

AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
EventSystem
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Messenger
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Sacsvr
Schedule
Seclogon
SENS
Sharedaccess
Themes
TrkWks
TrkSvr
WZCSVC
Wmi
WmdmPmSp
winmgmt
wuauserv
BITS
ShellHWDetection
uploadmgr
xmlprov
AeLookupSvc
helpsvc

[volk1234]

K.gusarch
используйте пожалуйста теги [more] и [code]...

[K.gusarch]

Я ошибся, нет у меня ветки HKLM\SYSTEM\CurrentControlSet\Services\netsvcs.

Нашёл хороший скрипт,проверяет подозрительные скрытые файлы:
net view /DOMAIN:тут пишем свой домен > comps.txt
for /f "eol=K skip=4 tokens=1" %%i in (comps.txt) do (
if exist %%i\c$\windows\system32 dir /A:H %%i\c$\windows\system32 >> C:\SysReport01.txt
if exist %%i\c$\winnt\system32 dir /A:H %%i\c$\winnt\system32 >> C:\SysReport01.txt
)

[volk1234]

Посмотрел ваш параметр netsvc, зловредов нет, значит правильно заблокировали ее.
Только надо определить откуда лезет вирус. Сколько у вас активных учетных записей?

[K.gusarch]

Спасибо,нашёл причину.
Слабый пароль учетки с правами админа.
Вот выяснить бы ещё откуда он ломится.

Больше ста.
Примерно представляю с какого места он может идти.