Trojan.NtRootKit.312 в файле deflib.sys

При проверке DrWeb - CureIT удаляет Trojan.NtRootKit.312 из файла C:\WINDOWS\system32\DefLib.sys
и после перезагрузки снова находит и удаляет его на том же месте
Спасибо.

сказано было в правилах :[B]перед выполнением логов отключить антивирусы и все программы кроме браузера![/B]
1.отключить антивирус.
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
QuarantineFile('C:\windows\system32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\System32\DefLib.sys','');
QuarantineFile('C:\DOCUME~1\carol\LOCALS~1\Temp\RarSFX6\316OfUdx.sys','');
QuarantineFile('c:\docume~1\carol\locals~1\temp\winlogon.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
QuarantineFile('c:\windows\system32\gcc.exe','');
KillProcess(1888);
DeleteFile('c:\docume~1\carol\locals~1\temp\winlogon.exe');
DeleteFile('C:\DOCUME~1\carol\LOCALS~1\Temp\RarSFX6\316OfUdx.sys');
DeleteFile('C:\WINDOWS\System32\DefLib.sys');
DeleteFile('c:\windows\system32\msvcrtd.exe');
BC_DeleteSvc('MsUpdate');
BC_DeleteSvc('FCI');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
3.Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12160[/url]

простите за антивирус)
CureIT больше ничего не находит. Спасибо!
карантин отправила.

Сделайте логи еще раз.

Это ещё не всё ;)
Система больно дырявая с морально устаревшей защитой, считай никакой. SP2 когда будем ставить ?
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\windows\system32\drivers\protect.sys');
DeleteFile('c:\windows\system32\gcc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Сделать новые логи, как в первом вашем сообщении.

логи до выполнения второго скрипта (если они нужны)

скрипт выполнила, SP2 установила, логи:

Теперь почти все в порядке.

1. Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - (no file)
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
[/code]
2. Посмотрите это:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Если что-то из перечисленного нужно - скажите, остальное поправим.

1. пофиксила, большое спасибо!
2. из этого ничего не нужно

[B]KerroL[/B],
1.Поставьте антивирус и файрвол или 2 в одном, симантек старый удалить- он только ресурсы ест и как видно не помогает ;)

2.Вот скрипт для закрытия лишних дырок:[code] begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
3.Чтобы уменьшить шанс заражения, советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!

Удачи!

антивирус и файрвол переставлю,
скрипт выполнила, большое спасибо,
советы буду выполнять)

файл отправила.

Огромное Вам спасибо за вашу помощь!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\carol\\locals~1\\temp\\winlogon.exe - [B]Trojan-Proxy.Win32.Small.fz[/B] (DrWEB: Trojan.Packed.147)[*] c:\\windows\\system32\\deflib.sys - [B]Trojan.Win32.Agent.asu[/B] (DrWEB: Trojan.NtRootKit.312)[*] c:\\windows\\system32\\drivers\\protect.sys - [B]Rootkit.Win32.Agent.jj[/B] (DrWEB: Trojan.NtRootKit.429)[*] c:\\windows\\system32\\gcc.exe - [B]Email-Worm.Win32.Mydoom.bj[/B] (DrWEB: Trojan.Spambot.2424)[*] c:\\windows\\system32\\msvcrtd.exe - [B]Backdoor.Win32.Agent.bew[/B] (DrWEB: Trojan.Packed.170)[/LIST][/LIST]