Вирус на компьютере, лишённом доступа к интернету

Здравствуйте.
Заразилась система, в которой, предположительно, была отключена автозагрузка с флешек, и хозяин которой говорит, что сторонние программы и файлы в ней не запускались. Стандартное сканирование и проверка в безопасном режиме CureIt-ом (dr.Web) выявило 2-3 вирусных файла (сканировались все диски). Заражение, однако, ликвидировано не было (на подключаемых флешках продолжают появляться скрытые файлы и папки).
Также хочу попросить вас проверить этот рег-файл, направленный на отключение автозапуска с флешек:
Windows Registry Editor Version 5.00

[code][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""[/code]
Правильно ли он составлен? И как можно полноценно и без риска проверить защищённость системы от вирусов (например, правильно ли работают ограниченные учётные записи, вышеизложенные исправления в реестре, SuRun, etc)?

p.s. Компьютер принадлежит соседу, и доступа к интернету у него нет — я буду переправлять сообщения ему и обратно.[ATTACH=CONFIG]363340[/ATTACH][ATTACH=CONFIG]363340[/ATTACH]

Уважаемый(ая) [B]DigitalDivide[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\UserXP\vjksnu.exe','');
DeleteFile('C:\Documents and Settings\UserXP\vjksnu.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Обновите базы AVZ

Сделайте новые логи

Извиняюсь за двухнедельную задержку с ответом: сосед был в отпуске, а у меня не было допуска к компьютеру.
Карантин отправил. Вот свежие логи:

[QUOTE=DigitalDivide;892790]Извиняюсь за двухнедельную задержку с ответом: сосед был в отпуске, а у меня не было допуска к компьютеру.
Карантин отправил. Вот свежие логи:[/QUOTE]

Bump

Скачайте AVZ 4.39, прикрепите логи в том виде, как они получаются, а не в одном архиве

Вот новые логи.
Я также удалил несколько строк из автозагрузки и заменил ключ диспетчера задач с ложного файла на C:\WINDOWS\system32\taskman.exe (C:\Documents and Settings\UserXP\app data\urjkje.exe и C:\Documents and Settings\UserXP\app data\selqeq.exe тоже были удалены).
После этого скрытые папки и файлы на флешках появляться перестали, но в некоторых папках всё ещё есть файлы вида 20.exe, 30.exe, етс; и компьютер всё ещё медленно работает и реагирует.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\65.exe','');
QuarantineFile('C:\WINDOWS\system32\31.exe','');
QuarantineFile('C:\WINDOWS\csdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\UserXP\Application Data\Urjkje.exe','');
DeleteFile('C:\Documents and Settings\UserXP\Application Data\Urjkje.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','Urjkje');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','zaber0');
DeleteFile('C:\WINDOWS\csdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\31.exe');
DeleteFile('C:\WINDOWS\system32\65.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR=#FF0000]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR=Red][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]новый Internet Explorer[/URL], а также все доступные [URL="http://www.update.microsoft.com/"]обновления для Windows[/URL]


- Подключите все зараженные съемные носители и [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].

Вот логи MBAM.
Карантином отправил файл selqeq.exe.
В дальнейшем проблем со скоростью реагирования быть не должно. Ещё раз извиняюсь за медлительность и благодарю за терпение.

Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Memory Processes Detected: 1
C:\WINDOWS\csdrive32.exe (Trojan.Agent.MSGen) -> 1144 -> No action taken.

Registry Keys Detected: 1
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_WINSPOOLSVC (Trojan.Agent) -> No action taken.

Registry Values Detected: 5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|zaber0 (Worm.Autorun.B) -> Data: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Worm.AutoRun) -> Data: explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Agent) -> Data: c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\avmsc.exe -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Microsoft Driver Setup (Trojan.Agent.MSGen) -> Data: C:\WINDOWS\csdrive32.exe -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft Driver Setup (Trojan.Agent.MSGen) -> Data: C:\WINDOWS\csdrive32.exe -> No action taken.

Registry Data Items Detected: 5
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Worm.AutoRun.Gen) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\avmsc.exe) Good: () -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe) Good: (Explorer.exe) -> No action taken.

Folders Detected: 2
C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830 (Worm.AutoRun) -> No action taken.

Files Detected: 12
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe (Worm.Autorun.B) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\80JTUMEX\x[1] (Malware.Packer.Krunchy) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SD23WPQ7\x[1] (Malware.Packer.u64) -> No action taken.
C:\Documents and Settings\UserXP\Application Data\94.exe (Trojan.Banker) -> No action taken.
C:\Documents and Settings\UserXP\Application Data\95.exe (Trojan.Banker) -> No action taken.
C:\WINDOWS\csdrive32.exe (Trojan.Agent.MSGen) -> No action taken.
C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\avmsc.exe (Worm.AutoRun.Gen) -> No action taken.
C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini (Worm.AutoRun) -> No action taken.[/code]

IE- и WinUpdate я установил в прошлый раз.
Кроме
[CODE]HKLM\System\CurrentControlSet\Enum\Root\LEGACY_WINSPOOLSVC (Trojan.Agent)
[/CODE]всё (кажется) удалось удалить.
Завтра сделаю новые логи MBAM. На что ещё нужно обратить внимание?

Пока ждем лог

На этот раз я ничего трогать не стал.
Кстати, небольшой вопрос — есть ли смысл сканировать сразу все диски или на поздних этапах можно ограничиваться только системным диском (C)? Спрашиваю потому, что комп старенький, и сканирование всех дисков подряд занимает значительно больше времени.

[URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM[/URL]:
[CODE]HKLM\System\CurrentControlSet\Enum\Root\LEGACY_WINSPOOLSVC (Trojan.Agent) -> No action taken.

C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830 (Worm.AutoRun) -> No action taken.


C:\Documents and Settings\UserXP\Local Settings\Temp\KMP_3.2.0.0.exe (PUP.ToolbarDownloader) -> No action taken.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe (Worm.Autorun.B) -> No action taken.

C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini (Worm.AutoRun) -> No action taken.[/CODE]

Сколько Вам надо еще раз сказать, чтобы Вы обновления поставили??? Или мы будем бесконечно Ваш компьютер лечить?

Желательно все диски сканировать...

Компьютер чист, спасибо вам за вашу помощь.
MBAB нашёл только это.
[CODE]HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
C:\Documents and Settings\UserXP\Local Settings\Temp\KMP_3.2.0.0.exe (PUP.ToolbarDownloader) -> No action taken.[/CODE]
IE и обновления Windows тоже поставил. Я их пытался ставить после [URL=http://virusinfo.info/showthread.php?t=120284&p=894279&viewfull=1#post894279]этого[/URL] сообщения, но не заметил, что они не установились. Кстати, можете сказать как они сумеют защитить, если ничего кроме них (и антивирусов) на компьютере сделано не будет? Пользователь ведь всё равно может скачать что-то и самостоятельно установить, не поняв что делает.

[quote="DigitalDivide;898068"]можете сказать как они сумеют защитить, если ничего кроме них (и антивирусов) на компьютере сделано не будет?[/quote]Вы же не оставляете дверь в квартиру открытой, когда куда-то уходите.

Так и установка обновлений позоляет закрыть дыры в безопасности системы

Это-то понятно.
Мне скорее трудно, как рядовому юзеру, понять, насколько масштабными являются эти дыры в сравнении с «дырами» в человеческом поведении (человеческий фактор). То есть, какова степень риска этих системных дыр, если в качестве сравнения иметь человека, который может скачать и собственноручно активировать заражённый варёз не с того сайта (и не с того браузера) или повестись на поздравление по случаю миллионного посещения.
правка: извиняюсь, если вопрос где-то уже задавался

Против человеческого фактора любая степень безопасности бессильна

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\quarantine\\selqeq.exe - [B]HEUR:Worm.Win32.Generic[/B] ( DrWEB: Win32.HLLW.Autoruner.44048, BitDefender: Gen:Variant.Barys.4479, AVAST4: Win32:FoldRun-F [Trj] )[/LIST][/LIST]