Rootkit.Win32.Agent.cj

Вот такова и еще каких-то зверей нашел на компе. Ведут себя жутко пакостно. Дрянь на комьютере отключила regedit и диспетчер задач. Через пять минут после загрузки нельзя запускать большинство программ - пишет что нет доступа.
Для начала почистил все что чистилось CureIt'ом. Затем почистил AVZ. На сабжевого зверя он сказал что файл неудается удалить. Пофиксил HiJackThis'ом сомнительные ветки:
[code]
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
[/code]
Вроде программы перестало блокировать через 5 минут. Однако смутило то, что хайджек не обнаружил блокировку регэдита и диспетчера задач. Диспетчер задач я бы в реестре нашел где разблочить, но блин в реестр не залезть...
Прошу помощи =)

Скачайте новую версию AVZ и сделайте ещё раз логи.

У вас старая версия AVZ. Логи сделаны на версии 4.23, текущая версия - 4.25. Пожалуйста, скачайте последнюю версию AVZ - [url]http://z-oleg.com/avz4.zip[/url] - и повторите логи AVZ

Вот, сделал. Кстати проблема с отключением запуска програм через некоторое время после запуска так и не пропала все-таки =(

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('appmgmts.dll','');
QuarantineFile('C:\WINDOWS\System32\khooker.exe','');
QuarantineFile('C:\Program Files\Apoint2K\Apoint.exe','');
QuarantineFile('C:\Documents and Settings\директор\~tmp0374.exe','');
QuarantineFile('C:\Documents and Settings\директор\*.exe','');
DeleteFile('C:\Documents and Settings\директор\~tmp0374.exe');
DeleteFile('C:\Documents and Settings\директор\*.exe');
BC_ImportAll;
ExecuteRepair(11);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=10698[/url]
[B]сделать новые логи и прикрепить к следующему ответу[/B]

Готово.

[b]drongo[/b], спасибо! Я так понимаю вопрос можно считать закрытым?

1.
C:\WINDOWS\System32\khooker.exe -чист
C:\Program Files\Apoint2K\Apoint.exe - чист

Eсли нужны, можно вернуть на родину ссылки на запуск в HijackThis.



2.tmp0374.exe = avz00002.dta = Trojan-Downloader.Win32.Agent.bbr
по касперскому .
3.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm[/code]
4.Теперь система чиста, осталось дело за малым: ставить SP2 на виндоус и вагон заплаток после неё, антивирус , фаэрволл.
5.Чтобы уменьшить шанс заражения советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию [/b](Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!

Удачи!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\директор\\~tmp0374.exe - [B]Trojan-Downloader.Win32.Agent.bbr[/B] (DrWEB: Trojan.DownLoader.15209)[/LIST][/LIST]