W32.Spybot.Worm

Здравствуйте проблемка такая:
При каждом включении компьютера выскакивает такое:
[IMG]http://i036.radikal.ru/0710/7e/89e780bf373d.jpg[/IMG]
После определенного времени работы на компьютере выскакивает это:
[IMG]http://i003.radikal.ru/0710/88/1443fc898a52.jpg[/IMG]
И перестает работать интернет, точнее все программы связанные с интернетом - это ася, агент, мозила, но сам интернет подключен и отключить я его не могу. Приходится перезагружать комп.

Диагностику компьютера сделала.
п. 8 не до делался до конца и компьютер автоматически пошел на перезагрузку.
остальные файлы вкладываю.
А вот файл hijackthis почему то не хочет прикрепляться.... :? Странно раньше то я прикрепляла файлы такого типа. Я его за архивировала и прикрепила, т.к. только так получилось прикрепить к темке его.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\rundll32.exe','');
QuarantineFile('c:\windows\system32\nvsvc86.exe','');
QuarantineFile('c:\windows\system32\mdm.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Затем выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\mdm.exe');
DeleteFile('c:\windows\system32\nvsvc86.exe');
DeleteFile('c:\windows\rundll32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
и сделайте новые логи.

Все сделала.

[B][SIZE=3]Результат загрузки[/SIZE][/B]

[SIZE=3]Файл сохранён как[/SIZE][SIZE=3]071031_063217_virus_472867c184db7.zip[/SIZE][SIZE=3]Размер файла[/SIZE][SIZE=3]125947[/SIZE][SIZE=3]MD5[/SIZE][SIZE=3]e0d1c3679c62c950c00343ce3e3fd45d[/SIZE][B][SIZE=3]Файл закачан, спасибо![/SIZE][/B]

[LEFT]Логи опять все сделать не смогла на пункте 8 комп пошел на перезагрузку.
Остальные 2 прикладываю
[/LEFT]

Все трое - [b]Trojan.Win32.StartPage[/b], успешно удалены.
Но вот невозможность сделать лог syscure - это плохо.
Сделайте в безопасном режиме дополнительный лог:
[url]http://virusinfo.info/showthread.php?t=10387[/url]

Опять выскакивает это:
[IMG]http://i003.radikal.ru/0710/88/1443fc898a52.jpg[/IMG]
И приходится перезагружать комп.
Вкладываю дополнительный лог.
кстати когда делала 1 пункт из темы [URL]http://virusinfo.info/showthread.php?t=10387[/URL]
Он мне выдал: проверка не производится т.к. не установлен драйвер мониторинга AVZPM

Ничего нового в дополнительном логе не увидел, однако двое из успешно удаленных опять на месте! Скорее всего они проникают к вам через какую-то уязвимость в вашей системе, коих у вас предостаточно, потому что:
[quote]
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/quote]
Сообщение об ошибке Generic Host Process - тому подтверждение.
Нужно установить SP2 + последующие обновления, иначе лечиться можно до бесконечности.
Удалить "тараканов" можно повторением второго скрипта из сообщения #2.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Кроме вышесказанного, надо отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба Messenger (Служба сообщений)
>> разрешена потенциально опасная служба Alerter (Оповещатель)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
[/code]

Т.е. это переустановка Виндоуса будет? или просто обновление?
Это своими руками моно сделать?

А где мне отключать все эти функции?

установка СП2 - это обновление .... но учтите ,что ваш крек на сп2 работать не будет ... потребуется повторная активация ...
если компьютер домашний ... то можно закрыть практически все ...
этим скриптом...
[code]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]

Спасибо. все поняла.
Буду пытаться как можно быстрее обновить Винду...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\rundll32.exe - [B]Trojan.Win32.Articles.e[/B] (DrWEB: Trojan.PWS.Wow.637)[*] c:\\windows\\system32\\mdm.exe - [B]Trojan.Win32.Articles.e[/B] (DrWEB: Trojan.PWS.Wow.637)[*] c:\\windows\\system32\\nvsvc86.exe - [B]Trojan.Win32.StartPage.ath[/B] (DrWEB: BackDoor.IRC.Sdbot.1631)[/LIST][/LIST]