[zeroua]

uhuh, алгоритм прост и гласит Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

выполните все логи как указано в ссылке выше, это поможет вам вылечится, а нам помочь вам это сделать ...

[Pili]

uhuh, Здравствуйте. При проверке KidoKiller`ом рекомендуется отключать антивирус, иначе утилита может не найти активного червя, а т.к. антивирус не может удалить с флешки, то скорее всего у вас в системе червь активен.
В KidoKiller есть опция проверки съемных носителей.

Код:

Ключи для запуска утилиты KidoKiller.exe из командной строки:
 

-p <путь для сканирования> - сканировать определённый каталог.
 -f - сканировать жёсткие диски.
-n - сканировать сетевые диски.
-r - сканировать flash-накопители.
-y - не ждать нажатия любой клавишы.
-s - "тихий" режим (без чёрного окна).
-l <имя файла> - запись информации в лог-файл.
-v - ведение расширенного лога (необходимо вводить вместе с параметром -l).
-help -  получение дополнительной информации об утилите.

Например, для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита KidoKiller.exe) используйте следующую команду:

kidokiller.exe -r -y -l report.txt -v

См. Как бороться с сетевым червем Net-Worm.Win32.Kido
Предварительно, для предотвращения заражения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.
Дополнительно можете воспользоваться утилитой wwdc, описание здесь
Установите обновления
MS08-067 (http://www.microsoft.com/technet/sec.../ms08-067.mspx)
MS08-068 (http://www.microsoft.com/technet/sec.../ms08-068.mspx)
MS09-001 (http://www.microsoft.com/technet/sec.../ms09-001.mspx)
А лучше все, что предложит windowsupdate
Если проблема останется:
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Обязательно закройте все программы, отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет, не переподключайте интернет пока Combofix не завершит работу.
Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению.

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Скачайте DDS DDS.scr, DDS.pif или DDS.com сохраните на рабочий стол, отключите антивирус и запустите DDS, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение.

[uhuh]

вот логи AVZ и HijackThis
........
использование кидокиллера привело к удалению файла autorun.inf (по крайней мере его не видно нигде) но в f:\recycler\.... КИС2009 по прежнему находит вирус и предлагает перезагрузку для лечения.

[Pili]

uhuh, по логам AVZ и HijackThis не вижу ничего плохого. Остальных логво не вижу. C:\Program Files\Oleansoft\Hc\servemp.exe - сами ставили?

Цитата uhuh:

но в f:\recycler\.... КИС2009 по прежнему находит вирус и предлагает перезагрузку для лечения. »

В каком файле находит? Логи делались с подключенной флешкой?

jre1.6.0_07 - Обновите Java Runtime Environment (JRE)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.
Adobe Acrobat также обновите.

Цитата:

Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Цитата Pili:

Установите обновления MS08-067 (http://www.microsoft.com/technet/sec.../ms08-067.mspx) MS08-068 (http://www.microsoft.com/technet/sec.../ms08-068.mspx) MS09-001 (http://www.microsoft.com/technet/sec.../ms09-001.mspx) А лучше все, что предложит windowsupdate »

[uhuh]

2 Pili:
скрытую камеру ставил сам - шефу хочется знать, что делают сотрудники в рабочее время...

для ясности где находит вирус: 2,5'' жесткий диск через USB подключен. (корзина для этого диска установлена размером 0 байт)

раньше был в корне файл autorun.inf - кидокиллер его убрал. Осталась папка recycler, вот в ней и вирус. для наглядности - скриншоты.

обновления установлены (после обнаружения вируса)

автозапуск отключен (после обнаружения вируса)

Цитата Pili:

Остальных логво не вижу. »

а какие еще логи?

обновление java в процессе

PS не могу скачать http://www.techsupportforum.com/sect...isinfector.exe - пишет page not found. уесть у кого рабочая ссылка?

[Pili]

Цитата uhuh:

Осталась папка recycler, вот в ней и вирус. для наглядности - скриншоты. »

В каком файле? Полный путь дайте, можно будет удалить скриптом.

Цитата uhuh:

а какие еще логи? »

см. пост 3

Цитата Pili:

Если проблема останется: »

Ссылка на Flash_Disinfector.exe действующая, только что проверил, работает.

[uhuh]

Цитата Pili:

В каком файле? Полный путь дайте, можно будет удалить скриптом. »

вот что пишет КИС2009:
12.03.2009 9:32:34 Обнаружено: Net-Worm.Win32.Kido.ih F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx/PE_Patch.UPX/UPX
12.03.2009 9:32:34 Будет удалено при перезагрузке: Net-Worm.Win32.Kido.ih F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

[Pili]

uhuh, Выполните в AVZ скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('%userprofile%\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Цитата:

8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешены терминальные подключения к данному ПК

Что из этого не требуется?

[uhuh]

Цитата Pili:

Что из этого не требуется? »

ни чего не нужно.

Цитата Pili:

Выполните в AVZ скрипт »

выполнил - полечилось.

после ComboFixа пришлось восстановление системы делать.

Цитата Pili:

Очистите временные файлы »

сделаю

Благодарю.