Знаете, за не особо долгое, но продуктивное времяпровождение на форумах лечения я видел и лечил злонамеренные программы на системах с совершенно разными антивирусами - так что антивирус не самый главный хотя и важный помощник защиты ОС. Намного важнее - это настройки и обновление системы и установленных программ. Одну настройку по отключению автозапуска с флеш-накопителей мы уже сделали - это уже важный шаг. Об остальном - после окончания лечения.

Хорошо. Вот логи.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt. Прикрепите отчет к своему следующему сообщениюВнимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

Далее:

Запустите повторно OTL by OldTimer (http://oldtimer.geekstogo.com/OTL.exe) или OTL.com (http://oldtimer.geekstogo.com/OTL.com) или OTL.scr (http://oldtimer.geekstogo.com/OTL.scr).

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

В окно Custom Scans/Fixes скопируйте следующую информацию:

:processes
:OTL
SRV - (Ws2vcnte) -- File not found
DRV - (XDva397) -- C:\WINDOWS\system32\XDva397.sys File not found
DRV - (XDva394) -- C:\WINDOWS\system32\XDva394.sys File not found
DRV - (XDva393) -- C:\WINDOWS\system32\XDva393.sys File not found
DRV - (XDva391) -- C:\WINDOWS\system32\XDva391.sys File not found
DRV - (PROCEXP151) -- C:\WINDOWS\system32\Drivers\PROCEXP151.SYS File not found
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=falco&s={searchTerms}&f=4
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} -
[2011.12.28 00:39:07 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini

:Services
LEGACY_WEBALTASERVICE
:Files


ipconfig /flushdns /c

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WEBALTASERVICE]

:Commands
[EMPTYTEMP]
[purity]
[start explorer]
[Reboot]
Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

лог

All processes killed
========== PROCESSES ==========
========== OTL ==========
Error: No service named Ws2vcnte was found to stop!
No service named Ws2vcnte was found to delete!
File File not found not found.
Error: No service named XDva397 was found to stop!
No service named XDva397 was found to delete!
File C:\WINDOWS\system32\XDva397.sys File not found not found.
Error: No service named XDva394 was found to stop!
No service named XDva394 was found to delete!
File C:\WINDOWS\system32\XDva394.sys File not found not found.
Error: No service named XDva393 was found to stop!
No service named XDva393 was found to delete!
File C:\WINDOWS\system32\XDva393.sys File not found not found.
Error: No service named XDva391 was found to stop!
No service named XDva391 was found to delete!
File C:\WINDOWS\system32\XDva391.sys File not found not found.
Error: No service named PROCEXP151 was found to stop!
No service named PROCEXP151 was found to delete!
File C:\WINDOWS\system32\Drivers\PROCEXP151.SYS File not found not found.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}\ not found.
C:\WINDOWS\assembly\Desktop.ini moved successfully.
========== SERVICES/DRIVERS ==========
Error: No service named LEGACY_WEBALTASERVICE was found to stop!
No service named LEGACY_WEBALTASERVICE was found to delete!
========== FILES ==========
< ipconfig /flushdns /c >
No captured output from command...
C:\Documents and Settings\Jensen_C\Рабочий стол\cmd.bat deleted successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WEBALTASERVICE\ deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Jensen_C
->Temp folder emptied: 281791 bytes
->Temporary Internet Files folder emptied: 1114028 bytes
->Java cache emptied: 275028 bytes
->Google Chrome cache emptied: 0 bytes
->Opera cache emptied: 20 bytes
->Flash cache emptied: 9573910 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 92 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 11,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 12192012_234003

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_694.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Вот и удалился ключик.

Проверимся на уязвимости:

Загрузите SecurityCheck by glax24 отсюда (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение.Подробнее читайте в этом разделе (http://safezone.cc/forum/showthread.php?t=19622) форума поддержки утилиты.

Далее можете начинать удалять утилиты которые мы использовали, вот так:

http://safezone.cc/forum/showthread.php?t=19966

Security Check by glax24 version 0.1.5.48 rc1
WebSite: www.safezone.cc
DataLog 20.12.2012 00:07:20
Program directory: C:\Documents and Settings\Jensen_C\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.8
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lan:0419
Service Pack 2 Внимание! Скачать обновления (http://download.microsoft.com/download/c/f/6/cf65d224-3ce2-4aaf-8e74-caa4987477c8/WindowsXP-KB936929-SP3-x86-RUS.exe)
^Возможно потребуется повторная активация Windows^
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Восстановление системы отключено
-------------Antivirus_WMI------------------------
avast! Antivirus
Антивирус обновлен
Сканирование отключено
-------------Firewall_WMI-------------------------
Kaspersky Anti-Hacker
-------------AntiVirusFirewallInstall-------------
avast! Free Antivirus v.7.0.1474.0
Kaspersky Anti-Hacker v.1.9.4
-------------OtherUtilities-----------------------
HijackThis 2.0.2 v.2.0.2
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
Java(TM) 6 Update 30 v.6.0.300 Внимание! Скачать обновления (http://www.oracle.com/technetwork/java/javase/downloads/jre6u38-downloads-1877409.html)
^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^
-------------AppleProduction----------------------
QuickTime v.7.72.80.56 Внимание! Скачать обновления (http://www.apple.com/ru/quicktime/)
Bonjour v.3.0.0.10
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.4.402.278 Внимание! Скачать обновления (http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_active_x.exe)
Adobe Flash Player 11 Plugin v.11.2.202.235 Внимание! Скачать обновления (http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_plugin.exe)
Adobe Reader 7.0.5 - Russian v.7.0.5 Внимание! Скачать обновления (http://get.adobe.com/reader/)
-------------Browser------------------------------
Google Chrome v.23.0.1271.97
Opera 11.61 v.11.61.1250 Внимание! Скачать обновления (http://www.opera.com/browser/)
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.11.61.1250.0
-------------EndLog-------------------------------






P.s.может стоит оставить утилиты?

Скачал я sp3 по вашей ссылке. После установки на много больше весить будет виндоус? придется ли переставлять какие-то программы?

Можете скачать заново и оставить в архивах.

Пройдите по ссылкам из своего поста и скачайте и установите все обновления.Service Pack 2 Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Java(TM) 6 Update 30 v.6.0.300 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^
QuickTime v.7.72.80.56 Внимание! Скачать обновления
Adobe Flash Player 11 ActiveX v.11.4.402.278 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.2.202.235 Внимание! Скачать обновления
Adobe Reader 7.0.5 - Russian v.7.0.5 Внимание! Скачать обновления
Opera 11.61 v.11.61.1250 Внимание! Скачать обновления»

далее смените все важные пароли, червь имеет функционал для их кражи:

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=%0A%09%09%09%09Worm:Win32/Dorkbot.A%0A%09%09%09%09


Как самочувствие системы?

Паролей нету, я не сохраняю....нет привычки. По поводу sp3 подскажете? я напишу в личку.
Система вроде в норме, ярлыков на флешке более нету.

Ознакомьтесь с этими рекомендациями:

http://forum.oszone.net/post-1838507-9.html

Огромное спасибо за помощь! буду обновляться. Тему только не прикрывайте, а то у меня бывает много вопросов :)

Доброго вам здоровья! Теперь я SP3. Но загружаться стал медленнее...компьютер работал сутки, добавлял акронисом место диску С от другого раздела, на это ушло 15часов(.......благо все прошло гладко.
В менеджере автозапуска avz есть файлы помеченые черным, а не зеленым. Что они означают? прикладываю скриншот.
Есть подозрение, что это хвосты...особое внимание обратил на MsSip.dll в трех видах (1,2,3 соответственно).

.особое внимание обратил на MsSip.dll в трех видах (1,2,3 соответственно). »
это легальные файлы пустышки (точней записи о файлах в реестре).

Так что всё нормально :).

Цитировать »
Спасибо.
Задумал я тут KIS поставить и не знаю, какую версию выбрать...............

Последнюю

Доброго вам здоровья!
Хочу вернуться к скрипту, который мне писали на 1странице. Хочу выделить из этого скрипта 2 других скрипта: отключение автозапуска "строго только флеш-карт usb", чтоб авторан CD/DVD работал, в основном для двд-фильмов, а второй скрипт на удаление хвостов наверноеЮ ибо после запуска вчера этого скрипта на диске C освободилось некоторое место. Предварительно удалил из него инфу о старых вирусах. Жирным выделил моменты, функция которых мне не ясна. Помогите сделать из того, что ниже 2 грамотных скрипта: откл авторан usb flash и видимо чистка с чем-то еще, не успел уловить в процессе выполнения...

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

скрипта: отключение автозапуска "строго только флеш-карт usb", чтоб авторан CD/DVD работал, »


begin
if MessageDLG('Отключить автозапуск со всех носителей, кроме CD?', mtConfirmation, mbYes+mbNo, 0) = 6 then
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
end.

Для всего остального каждый случай универсальный. создавайте тему - вылечим :).

для очистки мусора с компа, может использовать Файл - Мастер поиска и устранения проблем.

Для всего остального каждый случай универсальный. создавайте тему - вылечим . »
Да лечить то вроде нечего. Просто хотел узнать по выделенному жирным. Что означает каждая строка. Темы плодить не хочется..

Просто хотел узнать по выделенному жирным »
Что означают команды в скрипте ? (http://www.z-oleg.com/secur/avz_doc/) - перейдите по ссылке и узнаете