[Котяра]

Цитата basken:

Ребята, посоветуйте какие действия еще необходимо предпринять для снижения возможного заражения машины от всякой "нечести" и повышения её безопасности - ... может порты какие то позакрывать, службы отключить там, софт поставить? Буду благодарен за реккомендации!!! »

Запустить эту программу для защиты компьютера от USB-вируса (с флешки):
http://www.techsupportforum.com/sect...isinfector.exe
При этом автозапуск сменных дисков на Вашем компьютере будет отключен.

[Pili]

basken, по логу МВАМ

Цитата:

No action taken.

т.е. вы не выбрали после сканирования "Remove Selected" (удалить выделенные)
Запустите сканирование ещё раз и удалите всё найденное.
C:\WINDOWS\System32\drivers\dwshd.sys - проверьте на virustotal.com или virscan.org, рез-ты проверки скопируйте в сообщение или дайте ссылку.

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrlv+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь или здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте (Ctrl+A, Ctrlv+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь

Цитата:

Checking not performed: extended monitoring driver (AVZPM) is not installed

Запустите AVZ. В меню AVZM выберите «установить драйвер расширенного мониторинга процессов», перезагрузите компьютер и сделайте новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

[basken]

Цитата Pili:

C:\WINDOWS\System32\drivers\dwshd.sys - проверьте на virustotal.com или virscan.org, рез-ты проверки скопируйте в сообщение или дайте ссылку. »

Такого файла и пути на моей машине нету.

Лог файл SDFix и AVZ (с расширенным мониторингом процессов) прикрепил.

[basken]

Нашел несколько подозрительных файлов
C:\WINXP\system32\adj.j
C:\WINXP\system32\e.spa
C:\WINXP\system32\devh.e2
C:\WINXP\system32\rdxz.e

Отправил их на проверку
http://www.virustotal.com/analisis/6...d1c45634689ce1
http://www.virustotal.com/analisis/4...0ac67032cd6e84
http://www.virustotal.com/analisis/5...681f4b345d67a9
http://www.virustotal.com/analisis/6...1efb0a95522c08


Проверка показала что файлы с вирусами, подскажите как их правильно удалить?

[Pili]

basken, не хватает нового лога MBAM
Запустите Malwarebytes' Anti-Malware обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).
Cделайте логи ComboFix

[basken]

Log Malwarebytes' Anti-Malware

Цитата:

Malwarebytes' Anti-Malware 1.31 Версия базы данных: 1511 Windows 5.1.2600 Service Pack 2 17.12.2008 16:57:59 mbam-log-2008-12-17 (16-57-59).txt Тип проверки: Полная (C:\|) Проверено объектов: 209932 Прошло времени: 56 minute(s), 44 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 2 Заражено значений реестра: 0 Заражено параметров реестра: 0 Заражено папок: 0 Заражено файлов: 1 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\utixmje3 (Worm.Bagel) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\utixmje3 (Worm.Bagel) -> Quarantined and deleted successfully. Заражено значений реестра: (Вредоносные программы не обнаружены) Заражено параметров реестра: (Вредоносные программы не обнаружены) Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: C:\WINXP\system32\drivers\utixmje3.sys (Worm.Bagel) -> Quarantined and deleted successfully.

Pili, файлы удалить?

Цитата basken:

Нашел несколько подозрительных файлов C:\WINXP\system32\adj.j C:\WINXP\system32\e.spa C:\WINXP\system32\devh.e2 C:\WINXP\system32\rdxz.e Отправил их на проверку http://www.virustotal.com/analisis/6...d1c45634689ce1 http://www.virustotal.com/analisis/4...0ac67032cd6e84 http://www.virustotal.com/analisis/5...681f4b345d67a9 http://www.virustotal.com/analisis/6...1efb0a95522c08 Проверка показала что файлы с вирусами, подскажите как их правильно удалить? »

Pili, Логи ComboFix не делал так как не помню где лежит лицензия на винду - комп покупался уже с установленной, то подозреваю что могут возникнут проблемы при работе с ComboFix (требуется

Цитата:

подтверждение лицензионного соглашения

).

[Pili]

Цитата basken:

файлы удалить? »

Удалим с помощью ComboFix, когда логи будут.

Цитата basken:

Логи ComboFix не делал так как не помню где лежит лицензия на винду - комп покупался уже с установленной, то подозреваю что могут возникнут проблемы при работе с ComboFix (требуется подтверждение лицензионного соглашения). »

Подтверждение лицензионного соглашения связано с установкой консоли восстановления и отношения к легальности или активации windows не имеет.

[basken]

pili, Спасибо что просветили... - переживал за систему

Цитата Pili:

Подтверждение лицензионного соглашения связано с установкой консоли восстановления и отношения к легальности или активации windows не имеет. »

Запустил ComboFix, логи прицепил

[Pili]

basken, Проверьте файлы

Цитата:

D:\AllSubmitter\privet.exe C:\WINXP\system32\vsx13.exe C:\WINXP\wj.exe C:\WINXP\system32\msntd0.exe C:\WINXP\system32\mssql0.exe c:\winxp\system32\dllcache\digiview.exe c:\program files\Ipis\ip_is.exe

на virustotal.com, результат сообщите
82.144.192.130,82.144.192.191,82.144.192.32 - ваши DNS сервера?
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

File::
c:\winxp\system32\rdxz.e
c:\winxp\system32\devh.e2
c:\winxp\system32\e.spa
c:\winxp\system32\adj.j
c:\winxp\QTFont.qfn
c:\winxp\QTFont.for
C:\Documents and Settings\1\Local Settings\Temp\winlogon.exe

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINXP\\system32\\vsx13.exe"=-
"C:\\Documents and Settings\\1\\Local Settings\\Temp\\winlogon.exe"=-
"C:\\WINXP\\wj.exe"=-
"C:\\DOCUME~1\\1\\LOCALS~1\\Temp\\start.exe"=-
"C:\\WINXP\\system32\\msntd0.exe"=-
"D:\\AllSubmitter\\privet.exe"=-
"C:\\WINXP\\system32\\mssql0.exe"=-

FileLook::
D:\AllSubmitter\privet.exe
C:\WINXP\system32\vsx13.exe
C:\WINXP\wj.exe
C:\WINXP\system32\msntd0.exe
C:\WINXP\system32\mssql0.exe
c:\winxp\system32\dllcache\digiview.exe
c:\program files\Ipis\ip_is.exe

DirLook::
c:\program files\DIFX
c:\documents and settings\1\Application Data\U3

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
Сделайте новый лог Hijackthis.

[basken]

Цитата Pili:

Проверьте файлы Цитата: D:\AllSubmitter\privet.exe C:\WINXP\system32\vsx13.exe C:\WINXP\wj.exe C:\WINXP\system32\msntd0.exe C:\WINXP\system32\mssql0.exe c:\winxp\system32\dllcache\digiview.exe c:\program files\Ipis\ip_is.exe на virustotal.com, результат сообщите »

По этим путям только один файл нашел - digiview.exe, остальные отсутствуют

Отправил его на virustotal.com - вроде чистый - http://www.virustotal.com/analisis/7...b4106f020e43d5

Цитата Pili:

82.144.192.130,82.144.192.191,82.144.192.32 - ваши DNS сервера? »

DNS не мои


Новые логи прикрепил.

Pili, ComboFix - нужно удалять?