Trojan.Win32.Agent.asu в файле protect.sys

компьютер перезагружается сам. симантек корпорэйт 10 и DRWEB cureit лечат, но после перезагрузки вирус там же.
он же HACKTOOL.ROOTKIT
нод32 вообще его не видит
при каждом запуске вылезает окно СИСТЕМА ВОССТАНОВЛЕНА ПОСЛЕ СЕРЬЕЗНОЙ ОШИБКИ

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('protect.sys','');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
QuarantineFile('C:\WINDOWS\system32\runonce.dll','');
BC_DeleteFile('C:\WINDOWS\system32\runonce.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки.
Прислать карантин согласно приложения 3 правил .

сделал

[[color=#CC0000]moderated запрошенные файлы присылать согласно приложения 3 правил[/color]]

[QUOTE=walddiver;132248]сделал[/QUOTE]
Карантина ни вижу :(

по ссылке закачал virus.zip
Файл сохранён как 070906_063341_virus_46dfe5957305a.zip

симантек и drweb cureit больше ничего ненаходят
спасибо огромное PavelA

попавшие в карантин:
C:\WINDOWS\system32\runonce.dll, c:\windows\system32\msvcrtd.exe
[SIZE="2"][CODE] Scan taken on 06 Sep 2007 11:33:44 (GMT)
A-Squared Found Trojan.Win32.Agent.aqo
AntiVir Found TR/Agent.aqo.63, BDS/Agent.bew.1
ArcaVir Found Heur.W32
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found W32/Trojan.BXFW
F-Secure Anti-Virus Found Trojan.Win32.Agent.aqo, Backdoor.Win32.Agent.bew
Fortinet Found W32/Agent.AQO!tr
Kaspersky Anti-Virus Found Trojan.Win32.Agent.aqo, Backdoor.Win32.Agent.bew
NOD32 Found nothing
Norman Virus Control Found W32/Agent.CDLT
Panda Antivirus Found Trj/SmallProxy.AB
Rising Antivirus Found nothing
Sophos Antivirus Found Mal/Generic-A
VirusBuster Found nothing
VBA32 Found Trojan.Win32.Agent.aqo [/CODE][/SIZE]

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\msvcrtd.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи....

Пофиксите, если осталось:
[code]
O20 - AppInit_DLLs: runonce.dll
[/code]

пофиксил
сделал логи

выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\runonce.dll');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи AVZ...

А в Hijacke не видно runonce.dll.

вот
в Hijacke runonce.dll непоказывает
антивирусы больше неругаются
перезагрузки и окно об ошибке ушли

теперь в логах ничего подозрительного ....
что из этого вы используете ?
[I]>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/I]

комп не мой сетевой рабочий
на нём работает человек, которому права админа выданы по причине принадлежности к боссам
вот вирья в инете и наловили
используется LANDesk для удаленного управления
доступ к дискам по паролю админа
терминалка нужна
остальное пофиксю))
всем спасибо!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\msvcrtd.exe - [B]Backdoor.Win32.Agent.bew[/B] (DrWEB: Trojan.Packed.170)[*] c:\\windows\\system32\\runonce.dll - [B]Trojan.Win32.Agent.aqo[/B] (DrWEB: Trojan.KillProc.1539)[/LIST][/LIST]