троян...

нашел у себя в смысле в компе ...
отсылаю логи

на тему форума: объявление в больнице - просьба больным не обмениваться симптомами болезней, это затрудняет постановку диагноза :)

выполните скрипт...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Gdy53', 'Start');
RebootWindows(true);
end.
[/code]
пофиксите....
[code]
O2 - BHO: (no name) - {17A54BFC-8214-4F5C-B1A7-A161BFA5FDCC} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O20 - AppInit_DLLs: C:\WINDOWS\system32\mmsslsnls.dll
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ntosnh.sys','');
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Gdy53.sys','');
QuarantineFile('C:\WINDOWS\system32\ldr.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\mmsslsnls.dll');
DeleteFile('C:\WINDOWS\system32\wsnpoem\video.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\ldr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Gdy53.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ntosnh.sys');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
DeleteFile(' c:\windows\system32\vhosts.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA ');
BC_DeleteSvc('ntosnh.sys');
BC_DeleteSvc('Gdy53');
BC_DeleteSvc('FCI');
BC_DeleteSvc('msupdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи ....

повторные логи

А где карантин, присланный согласно приложения 3 правил ?...

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\15E.tmp','');
DeleteFile('C:\15E.tmp');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи .....

архив выслан
последний скрипт выполнять ?

Разумеется.

архив присылать целиком со всем предыдущим карантином или только
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\15E.tmp','');

Пришлите только эти.

повторные логи-2

C:\15E.tmp [B]Trojan.Win32.Small.ux[/B]
ntoskrnl.exe скорее чистый .... дождемся ответ вирлаба ....

пока ждал ответа от вирлаба - обновил zonealarm
спустя пару минут он мне выдал сообщение что AVZ.EXE заражен
win32/vmalum.btae
удлил его, думал из архива свежачок достану ...
там тоже заражен

дармовой сыр только в мышеловке ...

кажется проблемы у вашего zonealarm .... пришлите архив с AVZ ...на всякий случай ...

в только что скаченном AVZ архиве тот же зверь

ложное срабатывание вашего zonealarm ... их вирусные аналитики видимо прзднуют чего-то ;)
можно поверить нормальными антивирусами [url]http://www.virustotal.com/ru/[/url]

отправил архив с avz

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

хммм
лучше перебдеть чем недобдеть ))))
а если они там в zonealarm уже знают что-то чего остальные не знают ? )))

скорее не знают ....

залил архив целиком на [url]http://www.virustotal.com/ru/[/url]
результат таков я бы сказал странный !!!! ))))
eSafe - - suspicious Trojan/Worm
F-Prot - - W32/Backdoor.CARJ
Prevx1 - - Heuristic: Suspicious File With Outbound Communications
я так понимаю это результаты сканирования разными антивирами ?

да ... все нормально никто из серьезных вендоров ничего не заподозрил ...

ок а что с моими последними логами ?