z-conect и другие

на логических дисках не удаляются файлы [B]kht и z_hiaf0us4HJMEspb.YG[/B]

утилита Касперского нашала вирусы

[CODE]28.04.2011 15:30:08 Ошибка обработки C:\Documents and Settings\Admin\Local Settings\Temp\{D5878294-C113-43c5-A24F-FC333C52015A}\NokiaOviSuite2Installer.exe/UPX/Installer/CommonCustomActions/msxml6_x64.msi/XML_Core.cab Ошибка чтения
28.04.2011 15:10:18 Удалено: Exploit.Java.Agent.ce C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache58234.tmp/tower/Updaters.class
28.04.2011 15:10:17 Обнаружено: Exploit.Java.Agent.ce C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache58234.tmp/tower/Updaters.class
28.04.2011 15:10:17 Удалено: Exploit.Java.Agent.ce C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache58234.tmp/tower/Googles.class
28.04.2011 15:10:16 Обнаружено: Exploit.Java.Agent.ce C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache58234.tmp/tower/Googles.class
28.04.2011 15:10:15 Удалено: Exploit.Java.Agent.ce C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache58234.tmp/tower/Drivers.class
28.04.2011 15:10:15 Удалено: Exploit.Java.Agent.ce C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache58233.tmp/GTalk.class
28.04.2011 15:10:15 Обнаружено: Exploit.Java.Agent.ce C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache58234.tmp/tower/Drivers.class
28.04.2011 15:10:15 Обнаружено: Exploit.Java.Agent.ce C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache58233.tmp/GTalk.class
28.04.2011 15:10:14 Удалено: Exploit.Java.Agent.ce C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache58233.tmp/Google.class
28.04.2011 15:10:14 Удалено: Exploit.Java.Agent.f C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache24741.tmp/Uutecwv.class
28.04.2011 15:10:13 Обнаружено: Exploit.Java.Agent.f C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache24741.tmp/Uutecwv.class
28.04.2011 15:10:12 Удалено: Trojan-Downloader.Java.Agent.dj C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache29329.tmp/Main.class
28.04.2011 15:10:12 Удалено: Exploit.Java.Agent.a C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache24741.tmp/Keyworq.class
28.04.2011 15:10:12 Обнаружено: Trojan-Downloader.Java.Agent.dj C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache29329.tmp/Main.class
28.04.2011 15:10:12 Удалено: Trojan-Downloader.Java.Agent.dk C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache29329.tmp/AppletPanel.class
28.04.2011 15:10:12 Обнаружено: Exploit.Java.Agent.a C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache24741.tmp/Keyworq.class
28.04.2011 15:10:12 Обнаружено: Exploit.Java.Agent.ce C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache58233.tmp/Google.class
28.04.2011 15:10:12 Обнаружено: Trojan-Downloader.Java.Agent.dk C:\Documents and Settings\Admin\Local Settings\Temp\jar_cache29329.tmp/AppletPanel.class
28.04.2011 15:08:27 Удалено: Exploit.JS.Pdfka.dey C:\Documents and Settings\Admin\Local Settings\Temp\Acr31E.tmp
28.04.2011 15:08:05 Обнаружено: Exploit.JS.Pdfka.dey C:\Documents and Settings\Admin\Local Settings\Temp\Acr31E.tmp/data0000
28.04.2011 15:06:41 Удалено: Exploit.Java.Agent.f C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\49\69930631-698c17c6/Uutecwv.class
28.04.2011 15:06:41 Обнаружено: Exploit.Java.Agent.f C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\49\69930631-698c17c6/Uutecwv.class
28.04.2011 15:06:40 Удалено: Exploit.Java.Agent.f C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\9\6f6b60c9-59fac09b/sklif/Hieeyfc.class
28.04.2011 15:06:39 Удалено: Exploit.Java.Agent.a C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\49\69930631-698c17c6/Keyworq.class
28.04.2011 15:06:31 Обнаружено: Exploit.Java.Agent.f C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\9\6f6b60c9-59fac09b/sklif/Hieeyfc.class
28.04.2011 15:06:30 Обнаружено: Exploit.Java.Agent.a C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\49\69930631-698c17c6/Keyworq.class
28.04.2011 15:02:42 Задача запущена
Автоматическая проверка: завершено меньше минуты назад (событий: 7, объектов: 49712, время: 00:54:36)
28.04.2011 16:04:45 Задача запущена
28.04.2011 16:06:06 Обнаружено: Rootkit.Win32.Qhost.dn C:\WINDOWS\hfllc.sys
28.04.2011 16:10:08 Задача остановлена
28.04.2011 16:29:03 Задача запущена
28.04.2011 17:19:07 Обнаружено: Trojan.Win32.Qhost.rfi C:\WINDOWS\system32\drivers\etc\host5
28.04.2011 17:23:25 Удалено: Trojan.Win32.Qhost.rfi C:\WINDOWS\system32\drivers\etc\host5
28.04.2011 17:23:40 Задача завершена
Лечение активных угроз: завершено 1 час назад (событий: 4, объектов: 5888, время: 00:07:05)
28.04.2011 16:17:13 Задача завершена
28.04.2011 16:10:18 Удалено: Rootkit.Win32.Qhost.dn C:\WINDOWS\hfllc.sys
28.04.2011 16:10:09 Обнаружено: Rootkit.Win32.Qhost.dn C:\WINDOWS\hfllc.sys [/CODE]

Вирусы появляются в расшаренных ресурсах?

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

[QUOTE=thyrex;786529]Вирусы появляются в расшаренных ресурсах?][/QUOTE]

Нет, диск С не расшарен.
[QUOTE=thyrex;786529]Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL][/QUOTE]
Сделал только на диске C

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_NUPS (Backdoor.Agent) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JavaCpl (Spyware.Banker) -> Value: JavaCpl -> No action taken.

Заражённые файлы:
c:\documents and settings\Admin\local settings\Temp\0.6745055340360723.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.[/code]

[QUOTE=thyrex;786582][URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] [B]только указанные строки[/B] [/QUOTE]
Ноутбук подвисает намертво (только "ресет"), когда перед входом по учетной записи. Значок учетки вижу мышка двигается но клик по ярлыку ничего не даёт поле для ввода пароля не раскрывается.

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('iknfqxdn');
QuarantineFile('C:\WINDOWS\System32\drivers\odjmpq.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\odjmpq.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/code]


После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.

[QUOTE=миднайт;786623]В AVZ выполните скрипт:
После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]Пришлите карантин [B]quarantine.zip[/B] по красной ссылке [B][COLOR=Red][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.[/QUOTE]
файл [B]kht[/B] больше не восстанавливается на системном диске.

но ярлык [B]z-connect[/B] в "Сетевые подключения" остался я его удалил, вроде не восстанавливается

Порядок

[QUOTE=thyrex;786649]Порядок[/QUOTE]
Спасибо :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]