Зараза

[quote]C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe -этот файл был на момент заражения, но сейчас его нет!
Нашел нечто подобное MfcdFree.exe-00C2D669.pf в папке C:\Windows\Prefetch[/quote]
Пришлите его.

[quote]
C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\System.dll - такой директории C:\DOCUME~1 нет, равно как и файла. System.dll есть, но не в папке nsb7.tmp[/quote]
Выражение вида DOCUME~1 означает, что имя папки начинается на DOCUME и имеет длину более 8 знаков. В данном случае очевидно это папка Documents ans Settings.
КОНСТА~1.T98 скорее всего КОНСТАНТИН.T98
(или как у вас называется пользователь)
LOCALS~1 = Local Settings

Что мне делать дальше? Поиск осуществлял так, как Вы сказали. Искал и вручную, и с помощью процедуры ПОИСК.

Ну получилось их закарантинить в ручную?

[quote=Bratez;100941]Пришлите его.

Выражение вида DOCUME~1 означает, что имя папки начинается на DOCUME и имеет длину более 8 знаков. В данном случае очевидно это папка Documents ans Settings.
КОНСТА~1.T98 скорее всего КОНСТАНТИН.T98
(или как у вас называется пользователь)
LOCALS~1 = Local Settings[/quote]

Все это я знаю уже лет 10. Там и смотрел. Но папки nsb7.tmp нет!
Файл MfcdFree.exe-00C2D669.pf отправил.

Файл сохранён как 070323_235641_virus_230307_46043f0976601.zip
Размер файла 12175
MD5 76697430c42f905a1af0bf5d1b57eada

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\docume~1\конста~1.t98\applic~1\binloc~1\Nurb plus way.exe');
DeleteFile('C:\DOCUME~1\КОНСТА~1.T98\APPLIC~1\BINLOC~1\ErrorClose.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится. После этого:
1. Панель управления - Назначенные задания - удалите задание.
2. Очистите полностью папку C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp.
3. Сделайте новые логи.

[quote=Bratez;101121]
Компьютер перезагрузится. После этого:
1. Панель управления - Назначенные задания - удалите задание..[/quote]
Был только пункт "Добавить задание"
[quote]
2. Очистите полностью папку C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp. .[/quote]
Очистил папку C:\Documents and Settings \Константин.T98SAREB86S4DOC \Local Settings\Temp
Из этой папки не смог удалить nsk3.tmp\system.dll
[quote]3. Сделайте новые логи.[/quote]
Сделал и загрузил
Файл сохранён как 070324_151627_virus_240307_4605169be9918.zip Размер файла28929
MD5 d01f79052d9f5ff645e73d66f6c8763a

[B][COLOR="Red"]Логи прикреплять надо к сообшению!!!![/COLOR][/B]

[B][I]kservice[/I][/B], Вам говорит о чем-нибудь название программы [B]RedSwoosh[/B]?

RedSwoosh - это программа-загрузчик. Была установлена по предложению, не помню какого, файлообменника типа FileFactory. Установлена после описаных событий. Вызывает подозрение?

Да. Дело в том, что именно она использует тот неуловимый файл system.dll, который появляется то в одной то в другой подпапке в Local Settings\Temp. Скажем так, слишком "некрасивое" поведение для легитимной программы.

Попробуйте добавить в карантин тот неудаляемый экземпляр system.dll в какой-то из подпапок Local Settings\Temp и пришлите по правилам.

Сделал.
Файл сохранён как 070324_165440_virus_2_240307_46052da091efb.zip

Проверил на Вирустотале - все дружно сказали "Чист!".
Я думаю, если у вас все работает нормально, то на этом можно закончить.

KAV предупреждает о наличии вирусов. Можно их удалить?

Не можно, а нужно! Только пожалуйста подробности - в студию, что же мы там прошляпили?

Думаю, что Вы ничего не прошляпили. По-моему, эти вирусы - результат загрузки файлов за последние 2 дня. Сделаю полную проверку- сообщу.
А что такое Вирустотал?

[QUOTE]А что такое Вирустотал?[/QUOTE]
[url]http://www.virustotal.com[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]