Win32.Kryptik.FRV и Trojan.packed.20388. Лечил сам. Посмотрите все ли чисто.

Здравствуйте.

Пришел на работу, вставил флешку (диск I), и NOD32 тут же обнаружила на ней вирусы:
I:\DIJAMANTE\veciti.exe модифицированный Win32/Kryptik.FRV троянская программа очищен удалением (после следующего перезапуска) - изолирован ASP1\Pavel Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\explorer.exe.
Кроме того, на флешке в корне появился файл autorun.inf
Заглянул в логи NOD32
Вот одна из строчек
05.07.2010 15:54:32 файл [URL]http://[/URL][CENSORED]/csi/lasvegas244.exe модифицированный Win32/Kryptik.FCX троянская программа соединение прервано - изолирован ASP1\Pavel Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe.
И похожих строчек там несколько.

Т.е. как будто бы где-то в системе есть дырка, через которую вирус закачивает с интернета все новые собственные модификации.
Собственно, с этим мой вопрос и связан.
Что нужно сделать, чтобы эту дырку закрыть?

Cure-it при проверке нашел следующие вирусы
c:\documents and settings\pavel\application data\qmkin.exe инфицирован Win32.HLLW.Autoruner.22584 - удален
c:\documents and settings\romanov\application data\mrpky.exe инфицирован Trojan.Packed.20388 - удален

Сейчас проблем не возникает, сделал логи, посмотрите, все ли в порядке.
Следует ли сделать что-то еще?

Да, и еще, это компьютер рабочий, в следующий раз за ним смогу появиться только в понедельник, 2 августа, в первой половине дня.

Логи сделал, прилагаю.

- выполните такой скрипт
[CODE]begin
QuarantineFile('C:\WINDOWS\system32\SetupP2C.cpl','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

Сделал.
Файл сохранён как 100729_123906_quarantine_4c513e2a20f01.zip
Размер файла 740276
MD5 3b99ee449e52a0d3f45162e1ba57e83d

- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.

Выполнил скрипт ScanVuln.txt.

Вот его отчет:
Поиск критических уязвимостей
MS10-035 Накопительное обновление безопасности для браузера Internet Explorer
MS10-042 Уязвимость в Центре справки и поддержки Windows
Уязвимости в Adobe Flash Player для Internet Explorer

Установил обновления по содержащимся в лог-файле ссылкам.
При повторном выполнении скрипта уязвимостей не выявлено.

Описанные в первом сообщении темы симптомы больше не возникают.

Огромное спасибо за помощь.

У меня вопросов по этой теме не осталось.
Думаю, тему можно закрывать.

Здравствуйте.
Еще одну вещь мы упустили.
В реестре по следующему пути
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
осталось следующее значение параметра Shell
explorer.exe,C:\Documents and Settings\Pavel\Application Data\qmkin.exe
Исправил следующим образом
avz - менеджер автозапуска - системные ключи.
Нашел указанную выше строчку.
Поставил на нее курсор.
И нажал кнопку "восстановить значение по умолчанию".

Теперь вроде бы все

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]