АТАКА ТРОЯНОВ

[FONT=Times New Roman][SIZE=3]Во время работы в интернете, появились предупреждения NOD32 о заражении троянами. Зараженные файлы удалял и отправлял в карантин. Это логи NOD:[/SIZE][/FONT]
[SIZE=3][/SIZE]
[FONT=Times New Roman][B][I]C:\Documents and Settings\Gorbunov\Local Settings\Temporary Internet Files\Content.IE5\N2GFBLCT\25319[1] [/I][/B][B][I]вероятно[/I][/B][B][/B][B][I]модифицированный[/I][/B][B][I] Win32/TrojanDropper.Agent.AKO [/I][/B][B][I]троян[/I][/B][B][/B][/FONT]
[B][I][/I][/B]
[B][I][FONT=Times New Roman]C:\WINDOWS\system32\KB00016252.exe вероятно модифицированный Win32/TrojanDropper.Agent.AKO троян [/FONT][/I][/B]
[B][I][/I][/B]
[B][I][FONT=Times New Roman]C:\Documents and Settings\Gorbunov\Local Settings\Temporary Internet Files\Content.IE5\TVVFLP8E\packed_installer_cna1[1] Win32/TrojanProxy.Wopla.NAC троян [/FONT][/I][/B]
[B][I][/I][/B]
[B][I][FONT=Times New Roman]хххp://81.29.241.56/25319.exe?3833669342775745 вероятно модифицированный Win32/TrojanDropper.Agent.AKO троян [/FONT][/I][/B]
[B][I][/I][/B]
[B][I][FONT=Times New Roman]хххp://81.95.149.51/ms21/packed_installer_cna1.exe?5421677000178364 Win32/TrojanProxy.Wopla.NAC троян [/FONT][/I][/B]
[B][I][/I][/B]
[B][I][FONT=Times New Roman]и много-много других [/FONT][/I][/B]
[SIZE=3][/SIZE]
[FONT=Times New Roman][SIZE=3]Удалил временные файлы интернета. Сделал глубокий анализ NOD, но окна с предупреждениями продолжают выскакивать безостановочно. На рабочем столе появился файл ~WRL1197.tmp, который не удаляется. Во время сканирования AVZ компьютер перезагружался, пришлось сканировать в безопасном режиме.[/SIZE][/FONT]
[SIZE=3][/SIZE]
[FONT=Times New Roman][SIZE=3]Можно ли с этим справиться? Посмотрите, пожалуйста, логи.[/SIZE][/FONT]

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Wtmv62.sys','');
QuarantineFile('C:\WINDOWS\system32\KB_963491.exe','');
DeleteFile('C:\WINDOWS\system32\KB_963491.exe');
BC_DeleteFile('C:\WINDOWS\system32\KB_963491.exe');
DeleteFile('C:\WINDOWS\system32\KB16770001.exe');
DeleteFile('C:\WINDOWS\system32\KB77000178.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил.
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к вашей теме.

Скрипт выполнил, карантин выслал по правилам. Предупреждений от NOD пока прекратились. Высылаю новые логи. И жду инструкций. Спасибо.

Что в логах? Нужно что-то предпринимать?

не вижу ничего подозрительного ....
из этого что-то нужно ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Я с трудом понимаю, о чем идет речь :-)). Поэтому, наверное, это все не нужно. Разве только автозапуск программ с CDROM.

выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.
[/code]
не болейте .... ;)

СПАСИБО. Спасате меня в третий раз. Нашел сообщение "Для всех желающих нам помочь", собрал неопознанные и подозрительные файлы и выслал архив своего карантина.

Файл сохранён как 070905_140043_virusinfo_files_GORBUNOV-9D93DA_46defcdbc33f6.zip
Размер файла 717713
MD5 722b505c8a08e2c411cf979d0bec8a60

Надеюсь, это будет полезным в вашей работе. Удачи.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\kb_963491.exe - [B]Trojan-Downloader.Win32.Delf.bxu[/B] (DrWEB: Trojan.DownLoader.32223)[/LIST][/LIST]