Замучил Win32 Alman и Padabot Z

[afilth]

Всем доброе время суток!
Неделю как подключил сеть. До этого никаких антивирусов на нем не стояло. Сейчас стоит Antivir и AVZ
Проблемы начались в первй же день, когда компьютер стал сам довольно перезагружаться. Появлялась табличка с надписью: ошибка NT Authority/System и что-то про внезапное отключение Lsass. Очень похоже на Лавсан или Мсбласт. Но проверка антивирусами ничего не выявила. Позже появился Padabot z. Зараженные файлы удалял, но он сново появлялся причем даже когда не был подключен интернет. Но самый ущерб принес Win32 Alman, который просто снес с компа большую часть экзешных файлов. Ну вот собственно и все. Готов ответить на вопросы. Заранее благодарен.

[wise-wistful]

Выполните в АВЗ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\icdwps32.dll','');
 QuarantineFile('C:\WINDOWS\System32\clock15.scr','');
 QuarantineFile('C:\WINDOWS\System32\ampc32.dll','');
 QuarantineFile('C:\WINDOWS\System32\drivers\skyusb.sys','');
 QuarantineFile('C:\WINDOWS\System32\Gbnkfppf.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Загрузите карантин согласно приложения 3 правил

[afilth]

сделал

[Bratez]

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O21 - SSODL: B0BEB0FD - {723A5C89-08BA-0939-6532-32D7776C6A93} - C:\WINDOWS\System32\Gbnkfppf.dll (file missing)
O21 - SSODL: mtkle - {62878AA8-43E6-4F45-8DAC-94EB08655ED8} - C:\WINDOWS\System32\ampc32.dll (file missing)
O21 - SSODL: mtklefa - {51930DA1-28E9-47B1-F5AA-F3A79DABB4AE} - (no file)
O21 - SSODL: mtklef - {E46FBE65-46BE-49AD-DB82-FAB09CBF0C34} - C:\WINDOWS\System32\icdwps32.dll (file missing)

Ничего зловредного в логах нет.
Проблема заключается вот в чем:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Необходимо установить SP2 + последующие обновления.
Я абсолютно уверен, что после этого все нормализуется.

Добавлено через 54 секунды

Рекомендуется отключить все что вам не нужно из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Messenger (Messenger)
>> Службы: разрешена потенциально опасная служба Alerter (Alerter)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику