Сам открывается доступ к дискам и постоянные инфицирования.

[Decol]

О системных дырах:
С некоторых пор при загрузке системы все три диска открыты для общего доступа. Не помню когда это началось, вроде бы недели две назад, но с тех пор как я это заметил, это не удаётся изменить.
В свойствах каждого диска, в закладке "Доступ" стоит галка "Открыть общий доступ к этой папке", предельное число пользователей - стоит "максимальное".
Второй день система предлагает ввести пароль при входе - все как обычно, стандартное окно выбора пользователся, имя пользователя (мое настоящее), но раньше загрузка происходила сразу без всяких предложений о паролях.
О вирусе:каждый день антивирус Касперского 2010 вылавливает "вирус P2P-Worm.Win32.Polip.a", находит пару-восемь зараженных файлов, преимущественно лечит их, и мигает зелёным светом, как вроде все нормально.
При проверках с помощью AVZ, находит необнаруженные зараженные фалы, (к которым в свою очередь обратилась AVZ) и, точно также лечит их.
Как правило заражается Експлорер и несколько других ексзешников.

Ну и к тому же Касперский постоянно выкидывает маленькие окошечки, уведомляющие о присвоении разных статусов, разным присутствующим на компьютере программам, к которым возможно за последние сутки никто не обращался.

Что посоветуете?

Спасибо!

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
 QuarantineFile('C:\WINDOWS\system32\syre32.exe','');
 DeleteFile('C:\WINDOWS\system32\syre32.exe');
 DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syre32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','838');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог gmer + лог http://virusinfo.info/showpost.php?p=493610&postcount=1

[Decol]

Выполните скрипт в AVZ....

Карантин прикреплял вчера.
Gmer с первой попутки зависал на полной проверке, со второй завис после нажимания Save.
Комбофиксить буду вечером, а Gmer должен так виснуть?

[thyrex]

Gmer должен так виснуть?

Защитный софт отключаете?

Попробуйте сделать лог gmer в безопасном режиме

[Decol]

Защитный софт отключаете?

Попробуйте сделать лог gmer в безопасном режиме

В безопасном режиме дело доходит до проверки только системного диска С, затем через минуту-две прямо в процессе проверки на мгновение появляется синий экран и компьютер перезагружается.
Не в безопасном режиме дело даже не доходит до проверки системного диска - программа зависает.

Combofix ругается на отсутствие файла Regedit.exe, а после закрывается.

Кстати, да Gmer, пробовал и не в безопасном режиме с отключением Касперского - эффект тот же.

[thyrex]

Где новый комплект стандартных логов?

[Decol]

Где новый комплект стандартных логов?

Завтра с утра сделаю.
Спасибо.

[Decol]

Где новый комплект стандартных логов?

Вот они.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('accp.exe','');
 DeleteFile('accp.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows System Info Serivce');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Лог gmer или ComboFix очень нужен

Сделайте новые логи

[Decol]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('accp.exe','');
 DeleteFile('accp.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows System Info Serivce');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Лог gmer или ComboFix очень нужен

Сделайте новые логи

Llog Gmer не удаётся сделать по той же причине. В обычном режиме программа зависает на проверке системного диска (по видимому она есть очень много ресурсов потому что пока кона висит нельзя даже переключится на другие приложения), а в безопасном режиме - синий экран и перезагрузка во время проверки того же системного диска. Так вот.

ComboFix пишет следующее:
Terminal Error - Missing file
C:\Windows\regedit.exe is missing
Copy one from enother machine.

Интуитивно догадываюсь что нужно скопировать этот файл с другой машины - если можешь, вышли пожалуйста, а то у меня под рукой до понедельника ничего нет.

Логи загружаю

[thyrex]

Файл во вложении

[Decol]

Файл во вложении

Интеренет был отключен так что консоль восстановления я не скачал, хоть он и предлагал (после запуска утилиты, подключить соединение по её запросу не удалось, проверка все равно продолжилась, произошла перезагрузка, после неё выскочила ошибка:
C:\Combofix\CF23805.cfxxe
Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту.
Затем после ОК скан вскоре закончился, лог вот.
(Должен признать, хитрая штуковина...)
Кстати, доступ к дискам всё также приходится закрывать после входа в систему, слетела языковая панель, всё так же приходится почему-то вводить несуществующий пароль при входе в систему, но зато восстановился ИнтеренетЕксплорер.

[Decol]

Файл во вложении

Не фига он не восстановился, просто на рабочем столе появился исчезнувший ранее его значек.
Ты не мог бы переслать его ексешник?
И спасибо за Регедит!

Добавлено через 38 минут

Только что Касперский снова обнаружил в якобы вылеченных Combofix файлах cmd.exe и PINBALL.exe все ту же заразу...

[thyrex]

c:\windows\system32\msgsvc.dll, c:\windows\system32\tourstart.exe замените чистыми с дистрибутива http://virusinfo.info/showthread.php?t=51654

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::
xbwcl

NetSvc::
xbwcl

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2770:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Decol]

Как ни пыталсяскопировать хотя бы один фал не смог.
Подробно следовал инструкции как установить Консоль восстановления, в итоге запускал с диска дистрибутива.
Почему-то на первую команду "cd F:\i386" консоль не отзывалась. Постоянно в начале строки писалось "C:\Windows\>" ну или не было последнего слеша - не важно. В общем, примерно с четвертой загрузки удалось кое как перейти на диск F, причем проделанное с указанной инструкцией не совпадало:
какя понял команда "cd F:\i386" как раз и должно осуществлять переход на указанный диск - она этого не делала (правильность написания проверял).
Перейти полчилось по команде "cd ..".
Если я правильно понял, то давать команду копирования необходимо находясь на диске F (Windows CD), да ещё и в папке i386, если так то исходя из Инструкции к команде копирования (copy) на сайте Майкрософт и Инструкции по замене системных файлов я и писал следующее:
...
cd ..
C:\>
C:\>F:
F:\i386
после этого было написано следующее:
F:\i386 copy msgsvc.dll c:\windows\system32\msgsvc.dll

Как пишет поддержка "copy источник назначение" - вроде бы так и получилось...
Также пробовал писать и не находясь на диске F, а находясь в папке "C:\Windows\"... В общем пробовал по разному. А второй файл не удалось даже найти на диске (из консоли), но как я понимаю, он не очень-то и нужен для загрузки системы - может его просто удалить, а не менять.
(На диске в папке I386 есть только "Tourststr.ex_")
Жаль если я допустил ошибку, - потратил много времени.

Кстати, текстовый файл в ComboFix ещё не перемещал. Эта операция с заменой файлов как-то связана, или можно делать просто так?

[thyrex]

(На диске в папке I386 есть только "Tourststr.ex_"

expand Tourststr.ex_ c:\windows\system32\tourstart.exe

Кстати, текстовый файл в ComboFix ещё не перемещал. Эта операция с заменой файлов как-то связана, или можно делать просто так?

Практически никак. Замена нужна, чтобы в логах не указывалось, что файлы заражены и требуют замены
Выполняйте скрипт

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены