Есть подозрение, что компьютер вылечен не до конца.

[baev]

Началось с того, что сработала (во время «интернет-серфинга») Microsoft Security Essentials: были обнаружены и удалены Troyan:Win32/Meredrop и Troyan:Win32/Tofumanics.B.

На следующий день при перезагрузке компьютера MSE обнаружила и удалила Troyan:Win32/Simda.gen!D, потом оказалось, что не открываются антивирусные сайты, и при наборе слова «HiJackThis» вылетает explorer (не internet explorer!). После запуска combofix и чистки реестра сайты стали открываться, зловредной деятельности не наблюдается. CureIt и AVPtool ничего относящегося к проблеме не обнаружили.

Однако, настораживает присутствие в логах AVZ незапущенной службы с характерным названием «WDICA». Также, в папке temp был найден «вручную» файл, содержащий записи нажатых клавиш в браузерах. Понятно, что WDICA надо удалить. Но есть подозрение, что помимо неё ещё что-то осталось.
Как это «что-то» вычислить?

[Nikkollo]

Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".

WDICA удалять не надо.

[thyrex]

И лог ComboFix пришлите

[baev]

И лог ComboFix пришлите

— извиняюсь, а где его искать?
У меня, похоже, ComboFix самоудалился сразу после проверки…

[thyrex]

Сделайте лог ComboFix

[baev]

Логов combofix по указанному по ссылке адресу нет. В корнях всех дисков вообще нет текстовых файлов с датой создания после заражения компьютера.

Поиск файла ComboFix.txt по всему компьютеру результатов не дал.

Скачанный сегодня ComboFix после запуска пишет:

ComboFix cannot run when CA Anti-Virus is installed.
It would be dangerous to continue.

Please uninstall CA Anti-Virus.

На компьютере из антивирусов установлена только Microsoft Security Essentials. На время запуска Combofix защита в реальном времени MSE отключена.

В списке установленных программ CA Anti-Virus или чего-либо похожего нет.

[thyrex]

Отчет GSI сделайте (ссылка в подписи) и сообщите нам ссылку на проанализированный отчет

[baev]

http://www.getsysteminfo.com/read.ph...9ebc2a56dc489a

[thyrex]

Попробуйте лог ComboFix сделать в безопасном режиме

[baev]

Во всех безопасных режимах (обычном, с сетевыми драйверами, с поддержкой командной строки) результат тот же: требует удаления CA Anti-Virus'а.

Добавлено через 7 минут

Сравнил размеры файлов у того ComboFix'а, который сейчас запускаю, и у того который запускал 15.11, предварительно переименовав в «c-fix.exe», — у c-fix.exe размер на 3 Кб меньше. Сейчас попробую его запустить.

Добавлено через 17 минут

Оказалось, что c-fix.exe — старая версия. При запуске требует обновления, либо предлагает запуститься в ограниченном режиме.
При обновлении происходит то, что выше уже описано.
В режиме ограниченной функциональности не запускал.

[baev]

Запустил отсюда:
http://cainternetsecurity.net/KB/KD.aspx?KDId=1056
— программы удаления.
Сначала по ссылке «CA Internet Security Suite 2009» — после перезагрузки никаких изменений.
Потом — «CA Internet Security Suite 2010/Version 7». После перезагрузки ComboFix наконец запустился. Не знаю, что помогло — запуск remove tool или то, что ComboFix сообщил о новой версии и обновился.

Лог прилагаю.

[thyrex]

f:\windows\system32\winsflte.dl1
f:\windows\system32\winsflt.dl1

Что за папки?

[baev]

Что за папки?

— пустые, аттрибуты — обычные.
Время последнего изменения:
22.11.10 16:14

[thyrex]

Удалите

[baev]

Удалил.

Добавлено через 29 минут

Всё?
Или ещё что-то?

[thyrex]

Больше придраться не к чему. Что с проблемой?

[baev]

Пока ничего «криминального» не наблюдается.

Спасибо.

[thyrex]

Удалите ComboFix

[baev]

Не знаю, на сколько это связано с проблемой:

Удалите ComboFix

— скопировал из текста по ссылке «Combofix /Uninstall» (браузер IE8), попробовал вставить в поле «Открыть» на форме «Пуск->Выполнить».
Получил сообщение от «JIT-отладчика Visual Studio» о том, что «Необработанное исключение win32 произошло в "explorer.exe [2972]"». После отмены отладки форма пропадает.

Если пробовать вставлять сначала мышью, а потом (после отмены отладчика) по «Ctrl+V» (и наоборот: сначала по «Ctrl+V») ошибок не выдаётся, всё вставляется.

То же самое происходит при попытке вставить и другие словосочетания — но не все, выявить закономерность не удалось.
Из firefox вставляется без проблем. Похоже, дело в IE.
Попробую после удаления Combofix установить IE заново.

Добавлено через 1 час 2 минуты

Удалил Combofix, переустановил IE, пока проблем не наблюдаю.

Добавлено через 16 минут

Не, проблемы всё-таки есть: не запускаются firefox и thunderbird.
В процессах висят, но окошки не открываются.

Добавлено через 1 час 18 минут

Поскольку программы не запускались ни в безопасном режиме ни с пустыми профилями, пришёл к выводу, что дело в самих программах.

Установка firefox поверх не помогла. Сравнение файлов с той же версией программы на другом компьютере показало, что часть файлов различается по содержанию (даже — при одинаковом размере). Например: freebl3.chk, softokn3.chk, nssdbm3.chk (в обеих программах). После замены файлов — заменял папки полностью, на случай, если дело в правах на файлы, — программы заработали.

«Проблемные» файлы сохранил, нужны ли они для анализа?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены