Торян IRCBot.se

Здравствуйте.
После загрузки Винды НОД32 выдаёт сообщение о вирусе WIN32/IRCBot.se в файле C:\Windows\system32\drivers\ntndis.sys. Вроде удаляет, но после перезагрузки всё повторяется опять.
Заранее спасибо.

А где логи?

Логи

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll','');
QuarantineFile('C:\WINDOWS\system32\svchu.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ntndis.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пофиксите в HijackThis (если останется):
[code]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
[/code]
Карантин пришлите согласно приложению 3 правил.

Файл сохранён как071025_102630_virus_4720b5a6b9704.zipРазмер файла437754MD53efbfc1e8a6eca4de1b79b83999a66ad

из попавших в карантин ...
c:\WINDOWS\system32\drivers\ntndis.exe [B]Packed.Win32.PolyCrypt.c[/B]
C:\WINDOWS\system32\ntos.exe [B]Packed.Win32.PolyCrypt.d[/B]
C:\WINDOWS\system32\wsnpoem\video.dll -чистый

повторите логи...

C:\WINDOWS\system32\wsnpoem\-можно смело удалить , это наследство от трояна,хоть и вреда не представляет ;)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\ntndis.exe - [B]Packed.Win32.PolyCrypt.c[/B] (DrWEB: Trojan.Packed.166)[*] c:\\windows\\system32\\ntos.exe - [B]Packed.Win32.PolyCrypt.d[/B] (DrWEB: Trojan.Packed.166)[/LIST][/LIST]