Есть подозрение, что компьютер вылечен не до конца.

Началось с того, что сработала (во время «интернет-серфинга») Microsoft Security Essentials: были обнаружены и удалены Troyan:Win32/Meredrop и Troyan:Win32/Tofumanics.B.

На следующий день при перезагрузке компьютера MSE обнаружила и удалила Troyan:Win32/Simda.gen!D, потом оказалось, что не открываются антивирусные сайты, и при наборе слова «HiJackThis» вылетает explorer (не internet explorer!). После запуска combofix и чистки реестра сайты стали открываться, зловредной деятельности не наблюдается. CureIt и AVPtool ничего относящегося к проблеме не обнаружили.

Однако, настораживает присутствие в логах AVZ незапущенной службы с характерным названием «WDICA». Также, в папке temp был найден «вручную» файл, содержащий записи нажатых клавиш в браузерах. Понятно, что WDICA надо удалить. Но есть подозрение, что помимо неё ещё что-то осталось.
Как это «что-то» вычислить?

Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".

WDICA удалять не надо.

И лог ComboFix пришлите

[QUOTE=thyrex;734864]И лог ComboFix пришлите[/QUOTE]
— извиняюсь, а где его искать?
У меня, похоже, ComboFix самоудалился сразу после проверки…

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Логов combofix по указанному по ссылке адресу нет. В корнях всех дисков вообще нет текстовых файлов с датой создания после заражения компьютера.

Поиск файла ComboFix.txt по всему компьютеру результатов не дал.

Скачанный сегодня ComboFix после запуска пишет:
[quote]ComboFix cannot run when CA Anti-Virus is installed.
It would be dangerous to continue.

Please uninstall CA Anti-Virus.[/quote]

На компьютере из антивирусов установлена только Microsoft Security Essentials. На время запуска Combofix защита в реальном времени MSE отключена.

В списке установленных программ CA Anti-Virus или чего-либо похожего нет.

Отчет GSI сделайте (ссылка в подписи) и сообщите нам ссылку на проанализированный отчет

[URL="http://www.getsysteminfo.com/read.php?file=063d3bf0ee03cf5f499ebc2a56dc489a"]http://www.getsysteminfo.com/read.php?file=063d3bf0ee03cf5f499ebc2a56dc489a[/URL]

Попробуйте лог ComboFix сделать в безопасном режиме

Во всех безопасных режимах (обычном, с сетевыми драйверами, с поддержкой командной строки) результат тот же: требует удаления CA Anti-Virus'а.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Сравнил размеры файлов у того ComboFix'а, который сейчас запускаю, и у того который запускал 15.11, предварительно переименовав в «c-fix.exe», — у c-fix.exe размер на 3 Кб меньше. Сейчас попробую его запустить.

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

Оказалось, что c-fix.exe — старая версия. При запуске требует обновления, либо предлагает запуститься в ограниченном режиме.
При обновлении происходит то, что выше уже описано.
В режиме ограниченной функциональности не запускал.

Запустил отсюда:
[URL="http://cainternetsecurity.net/KB/KD.aspx?KDId=1056"]http://cainternetsecurity.net/KB/KD.aspx?KDId=1056[/URL]
— программы удаления.
Сначала по ссылке «CA Internet Security Suite 2009» — после перезагрузки никаких изменений.
Потом — «CA Internet Security Suite 2010/Version 7». После перезагрузки ComboFix наконец запустился. Не знаю, что помогло — запуск remove tool или то, что ComboFix сообщил о новой версии и обновился.

Лог прилагаю.

[QUOTE]f:\windows\system32\winsflte.dl1
f:\windows\system32\winsflt.dl1[/QUOTE]Что за папки?

[QUOTE=thyrex;736265]Что за папки?[/QUOTE]

— пустые, аттрибуты — обычные.
Время последнего изменения:
22.11.10 16:14

Удалите

Удалил.

[size="1"][color="#666686"][B][I]Добавлено через 29 минут[/I][/B][/color][/size]

Всё?
Или ещё что-то?

Больше придраться не к чему. Что с проблемой?

Пока ничего «криминального» не наблюдается.

Спасибо.

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Не знаю, на сколько это связано с проблемой:
[QUOTE=thyrex;736431][URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL][/QUOTE]
— скопировал из текста по ссылке «Combofix /Uninstall» (браузер IE8), попробовал вставить в поле «Открыть» на форме «Пуск->Выполнить».
Получил сообщение от «JIT-отладчика Visual Studio» о том, что «Необработанное исключение win32 произошло в "explorer.exe [2972]"». После отмены отладки форма пропадает.

Если пробовать вставлять сначала мышью, а потом (после отмены отладчика) по «Ctrl+V» (и наоборот: сначала по «Ctrl+V») ошибок не выдаётся, всё вставляется.

То же самое происходит при попытке вставить и другие словосочетания — но не все, выявить закономерность не удалось.
Из firefox вставляется без проблем. Похоже, дело в IE.
Попробую после удаления Combofix установить IE заново.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 2 минуты[/I][/B][/color][/size]

Удалил Combofix, переустановил IE, пока проблем не наблюдаю.

[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]

Не, проблемы всё-таки есть: не запускаются firefox и thunderbird.
В процессах висят, но окошки не открываются.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 18 минут[/I][/B][/color][/size]

Поскольку программы не запускались ни в безопасном режиме ни с пустыми профилями, пришёл к выводу, что дело в самих программах.

Установка firefox поверх не помогла. Сравнение файлов с той же версией программы на другом компьютере показало, что часть файлов различается по содержанию (даже — при одинаковом размере). Например: freebl3.chk, softokn3.chk, nssdbm3.chk (в обеих программах). После замены файлов — заменял папки полностью, на случай, если дело в правах на файлы, — программы заработали.

«Проблемные» файлы сохранил, нужны ли они для анализа?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]