Win32.HLLW.Autoruner.437

[FONT=Times New Roman][SIZE=3]Здравствуйте! У меня на компьютере обнаружился вирус - [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Win32.HLLW.Autoruner.437. Я пыталась удалить его самостоятельно, но у меня не получается. Все его проявления на данный момент сводятся к тому, что каждые 30 секунд SpiderGuard находит на дисках С и D файлы autorun.inf . При просмотре через блокнот видно, что через них загружается файл ntdelect.com, который тоже сидит в корнях дисков. При попытке их всех удалить через FarManager в безопасном режиме с отключенным восстановлением системы они заново восстанавливаются... Помогите пожалуйста! Заранее спасибо.[/SIZE][/FONT]

[code]
begin
QuarantineFile('C:\WINDOWS\system32\eDStoolbar.dll','');
QuarantineFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe','');
QuarantineFile('appmgmts.dll','');
QuarantineFile('autorun.bat','');
QuarantineFile('autorun.inf','');
QuarantineFile('C:\PROGRA~1\LAUNCH~1\PowerUtl.dll','');
end.
[/code]
Пришлите затем карантин...

выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
проделайте это [url]http://virusinfo.info/showthread.php?t=8877[/url]

Да простят меня коллеги ;), я тоже предложу свой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\ntde1ect.com','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\autorun.bat','');
QuarantineFile('C:\WINDOWS\system32\avpo1.dll','');
DeleteFile('C:\WINDOWS\system32\avpo1.dll');
DeleteFile('C:\ntde1ect.com');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\autorun.bat');
DeleteFile('D:\ntde1ect.com');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\autorun.bat');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Можете выполнить их все три по очереди,
затем прислать карантин и сделать новые логи.

Выслала. К сожалению, забыла скопировать информацию...

Так, из присланного карантина:
autorun.inf - [b]Virus.Win32.Autorun.zr[/b]
Запускается ntde1ect.com
Чистые:
C:\WINDOWS\system32\avpo1.dll
C:\WINDOWS\system32\eDStoolbar.dll
C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe
C:\PROGRA~1\LAUNCH~1\PowerUtl.dll

avpo1.dll - [b]Trojan.Packed.142[/b]! (DrWeb)

Выполните отредактированный скрипт Bratez ;) и вышлите карантин

avpo1.dll - касперским не детектится... отправляю в ВирЛаб

Файл сохранён как071105_090052_virus_472f302497e8c.zipРазмер файла200869MD5e0043d40289c6668a30886cb4dcd61a8
Вот карантин. Far Manager больше их не видит. Сейчас пришлю логи

В карантине все те же лица:
autorun.inf - [b]Virus.Win32.Autorun.zr[/b]
avpo1.dll - детектируется пока немногими, но тоже зловред :)

Была еще в папке Temp радость по имени avpo0.dll ее DrWeb видел, сказал - это Trojan.Nsanti.Packed и удалил... Потом я папку почистила...

Повторите логи для контроля...
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что Вам из этого не нужно?

Из всего мне только TermService нужен. Вот логи.

[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
RebootWindows(true);
end.
[/code]

Спасибо вам всем большое за помощь! :pray: Очень вам благодарна!

Погодите, Bratez еще скажет свой вывод по последним логам :)

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
[/code]
Поищите [b]C:\WINDOWS\system32\avpo.exe[/b]
Если найдется - пришлите по правилам.

Пофиксила. avpo.exe не нашелся ни в каком виде.

Искали через Windows или AVZ?

Тогда наверно всё...
Для очистки моей совести, перезагрузитесь и повторите лог HijackThis.