Доброго всем времени суток.
Началось все банально. "Ну-у, принесли флешку, антивирус что-то запищал, что-то нажали, ой, все перестало работать."
Прихожу, вижу:

http://steellame.mail15.com/files/2008-06-26_205541.gif

Ни на какие нажатия никаких кнопок компьютер не реагирует.
На заведомо чистом компьютере скачиваю Dr.Web CureIT, записываю на болванку, "больной" компьютер загружаю в безопасном режиме и запускаю CureIT прямо с болванки. Из того что он налечил, я понял что это какая-то разновидность Zlob.
Перезагружаюсь. Окно снова появляется, однако теперь, если нажать на "ОК" загрузка продолжается и комп работает как обычно.
В автозапуске прописалось это: rundll32.exe "C:\WINDOWS\system32\xodqtahl.dll",b
Пробовал удалять из реестра:
а) вручную
б) с помощью CCleaner 2.06
в) Autoruns 9.21
г) HijackThis v1.99.1
д) AVZ 4.30
Бесполезно.
Сканирование с помощью последней утилиты, ClamWin 0.93, Arovax AniSpyware 2.1.153, Spyware Terminator 2.2.2.438, ничего не дало (нашел только патченную C:\WINDOWS\system32\advapi32.$$$, но это, как я узнал у гугля, проделки КриптоПро)
Т.е. ключ этот обнаруживается, удаляется и тут же появляется снова.

Вот процессы, вроде ничего криминального не вижу. В службах тоже ничего подозрительного.

http://steellame.mail15.com/files/2008-06-30_142356.gif

Конфигурация и софт сабжевого компьютера тут. (http://steellame.mail15.com/Belarc%20Advisor%20Current%20Profile.htm)

просканируйте систему AVPTool'ом (http://downloads1.kaspersky-labs.com/devbuilds/AVPTool/setup_7.0.0.223_30.06.2008_23-35.exe)

Don Reba, Помогут
правила (http://forum.oszone.net/thread-98169.html)

DiMMMm, пробовал. Скачал сегодняшний. Крашится, и в нормальном и в безопасном режимах. Теперь еще и его не знаю, как удалить. :cry: Теперь при каждом старте еще и сообщение об ошибке Касперского.
Severny, виноват, исправлюсь.

этот образ нужно прожечь на CD (рекомендую ImgBurn)
http://dnl-eu10.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.001.iso

Don Reba, Отключите восстановление системы!
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирусы (по логам у вас их много Avast, ClamWin Antivirus) рекомендую оставить один антивирус) и другие защитные программы (Ad-Aware 2007, Spyware Terminator и пр.)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xodqtahl.dll','');
DeleteFile('C:\WINDOWS\system32\xodqtahl.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (если останется)
O4 - HKLM\..\Run: [a0a083a0] rundll32.exe "C:\WINDOWS\system32\xodqtahl.dll",b
повторите логи virusinfo_syscheck.zip и hijackthis

Есть Small Cd-Writer. Надеюсь, сойдет? Что сделать с полученным диском? Загрузиться? Запустить в безопасном режиме?

Don Reba, Отключите восстановление системы! »Сделано. Но папка System Volume Information все равно осталась, хоть и пуста. Это нормально?
На время выполнения скрипта выключите антивирусы (по логам у вас их много Avast, ClamWin Antivirus) рекомендую оставить один антивирус) и другие защитные программы (Ad-Aware 2007, Spyware Terminator и пр.) »Аваст сопротивляется. Не могу остановить его процессы с помощью Process Explorer. И с помощью Task Killer тоже... :(

Но папка System Volume Information все равно осталась, хоть и пуста. Это нормально? »
нормально.
Аваст сопротивляется. Не могу остановить его процессы с помощью Process Explorer. »
и не надо через Process Explorer, Avast, насколько я помню (давно тестировал), должен выключаться прав. кн мыши на иконке в трее, там выбрать что-то типа "disable..." или "Stop..." и отключить модули, поищите, ещё забыл, Arovax Shield тоже временно отключите.
нашел Disabling avast (http://www.netfaqs.com/Windows/AntiVirus/avast/4/email/index.asp)

Pili, простите великодушно, но так как Вы сказали, полностью остановить его невозможно. По терминологии чехов (или переводчиков), модули называются провайдеры, и не смотря на то, что синий значок из трея исчезает, процессы все равно никуда не деваются, висят себе. Нашел тут на oszone, Proccess Lasso 2.94.3r, она тоже не может с ним справится. А это, насколько я понял, очень важно, верно?
DiMMMm, спасибо, я понял, это ЛайвСиди, на линуксе.

и не смотря на то, что синий значок из трея исчезает, процессы все равно никуда не деваются, висят себе. »
Останови его службы через Выполнить - services.msc или через програму на скрине. Тогда он не будет мешаться.
На скрине это 1528, 1576, 3164, 3216, 1712. Может что-то ещё, что не уместилось на скрин.
После, если остались процессы- прибей.

yurfed, спасибо за совет.
Pili, отправил в ЛС ссылку.
Логи присоединяю.

Ура-ура-ура!!! /me прыгает от радости :))
Спасибо огромадное, это просто колдунство какое-то! Исчезла эта раздражающая надпись и мир наступил в моих бедных ламерских мозгах. :)
Если можно, прежде чем закрыть топик, ответьте на несколько вопросов:
а) Восстановление системы обратно включить или и без него прожить можно?
б) Как правильно удалить бедолагу Касперского? Вот что я обнаружил в оснастке управления службами:

http://steellame.mail15.com/files/2008-07-01_222820.gif

Просто удалить папку не могу, ругается, типа либо нет доступа, либо файл занят.
в) В чем была причина моей неудачи? Не дайте помереть неучем. Я ведь эту длл-ку искал. Через Тотал Командира, Alt+F7 и в безопасном, не видно её было!

а) Восстановление системы обратно включить или и без него прожить можно? »
Можно и включить, всё равно там пусто.
б) Как правильно удалить бедолагу Касперского? Вот что я обнаружил в оснастке управления службами: »
Поищи тут
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

A0084403.dll - Trojan.Win32.Vapsup.gqj
Удалился отключением восстановления системы.
Я ведь эту длл-ку искал. Через Тотал Командира, Alt+F7 и в безопасном, не видно её было! »
xodqtahl.dll в карантин не попал, по логам его в системе уже нет, возможно от dll оставался только мусор в реестре, почистили.
Восстановление системы обратно включить или и без него прожить можно? »
Можно, прожить без восстановления тоже можно, на ваше усмотрение :)
Как правильно удалить бедолагу Касперского? »
is-QULDSdrv и все подобное - от AVPTool
Запускаете AVPTool, когда закроете окно, кн "х", запросит про удаление, подтверждаете.
По логам чисто.
Рекомендую отключить не используемые службы и настроить безопасность
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
Скрипт
begin
//TermService (Службы терминалов)
SetServiceStart('TermService', 4);
//терминальные подключения к ПК
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
//возможность подключения анонимных пользователей
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
//административный доступ к локальным дискам
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
//RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
SetServiceStart('RDSessMgr', 4);
//mnmsrvc (NetMeeting Remote Desktop Sharing)
SetServiceStart('mnmsrvc', 4);
//TlntSvr (Telnet)
SetServiceStart('TlntSvr', 4);
//SSDPSRV (Служба обнаружения SSDP)
SetServiceStart('SSDPSRV', 4);
end.
Можете удалить из скрипта то, что требуется (перед строчкой комент.)
Для защиты от вирусов типа autorun.inf
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""
Дополнительно можно скачать и запустить утилиту (не забудьте подключить флешки и/или другие съемные носители) Flash Drive Disinfector (http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" (http://security-advisory.virusinfo.info) и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге. Чистого вам интернета.

Спасибо. Но...
этот компьютер в сети, маленькой но сети. И Гостя мне пришлось включить, потому что иначе, не было доступа к расшаренным папкам других компов сети. Плюс, эта чертова система Контур-Экстерн, сдача налоговых отчетов через Инет, дюже капризная, мало ли что ей нужно. Так что, благодарю, но от отключения служб пока воздержусь. По крайней мере, без возможности безболезненного отката.
А вот после отключения автозагрузки, исчезло "безопасное извлечение устройств". Это нормально? Если нет, в каком разделе форума уместно об этом поговорить?
И еще. Интересно ваше мнение о "Средстве удаления вредоносных программ" aka KB890830-v1.42? Бесполезное барахло или все таки что-то может? (дело в том что и ее применял, просто забыл упоминуть в первом посте)

Чистого вам интернета. »
Взаимно!!

А вот после отключения автозагрузки, исчезло "безопасное извлечение устройств" »
Пуск -> Выполнить -> regsvr32 hotplug.dll
Можно вернуть автозапуск твиком (не рекомендую)
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=-
Лично я безопасным извлечением устройств никогда не пользуюсь, на флешке все равно все записывается :) Уж лучше отключить автозапуск.
в каком разделе форума уместно об этом поговорить? »
Microsoft Windows XP (http://forum.oszone.net/forum-6.html) и поиск по форуму
[решено] Не появляеться значок "Безопасное извлечение устройства" при подключении USB Device (http://forum.oszone.net/showthread.php?t=104140)

мнение о "Средстве удаления вредоносных программ" aka KB890830-v1.42? »
имхо, малоэффективное средство