Комп нахватал кучу вирусов.При помощи утилиты от DrWeb-CureIT всё очистил.Но при перезагрузке опять появляется и неудаляется Win32/Trojan DownLoader.Small.NXW и тащит за собой всякую дрянь.ПОМОГИТЕ! Прикрепляю логи.
Printable View
Комп нахватал кучу вирусов.При помощи утилиты от DrWeb-CureIT всё очистил.Но при перезагрузке опять появляется и неудаляется Win32/Trojan DownLoader.Small.NXW и тащит за собой всякую дрянь.ПОМОГИТЕ! Прикрепляю логи.
1.пофиксить с помощью HiJackThis [code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ldr.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.easyaccesssite.com/10636-69.exe
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab[/code]
2.В avz выполнить скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ntoss.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\StarOpen.SYS','');
QuarantineFile('c:\windows\system32\ldr.exe','');
QuarantineFile('C:\WINDOWS\system32\lorinhib.dll','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','');
DeleteFile('C:\WINDOWS\system32\wsnpoem\video.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ntoss.sys');
DeleteFile('c:\windows\system32\ldr.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
3.Выслать карантин согласно приложению 3 правил
Я переделал, с помощью спец-агента 007 ;)
сделал все, что было сказано, карантин выслал.
что делать дальше?
c:\windows\system32\ldr.exe Trojan-Downloader.Win32.Agent.ffz
C:\WINDOWS\system32\ntos.exe Trojan-Spy.Win32.Zbot.ct
C:\WINDOWS\System32\Drivers\StarOpen.SYS -чистый
C:\WINDOWS\system32\lorinhib.dll Trojan.Adclicker (Symantec)
C:\WINDOWS\system32\wsnpoem\video.dll пока названия не придумали ....
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\lorinhib.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ..
высылаю новые логи
Пофиксьте:
[code]O2 - BHO: Her - {2A7102DE-1F71-4146-86FD-A722E8AB3489} - C:\WINDOWS\system32\lorinhib.dll (file missing)[/code]
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\aaa\LOCALS~1\TempIadHide3.dll','');
BC_ImportQuarantineList;
BC_QrFile('C:\DOCUME~1\aaa\LOCALS~1\TempIadHide3.dll');
BC_Activate;
RebootWindows(true);
end.[/code]
Карантин пришлите
выслал карантин
Файл чистый, больше ничего подозрительного не вижу. Проблема решена?
Что из этого не нужно?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> разрешена потенциально опасная служба TermService (Terminal Services)
>> разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
спасибо!!!!!!!!!!!!!!!!!!!!!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ldr.exe - [B]Trojan-Downloader.Win32.Agent.ffz[/B] (DrWEB: Trojan.DownLoader.36216)[*] c:\\windows\\system32\\lorinhib.dll - [B]Trojan-Spy.Win32.Zbot.ct[/B] (DrWEB: Trojan.BhoSpy)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.ct[/B] (DrWEB: Trojan.Proxy.1824)[/LIST][/LIST]