win32Qhost троян

Доброго времени суток!
занес какую то гадость на комп.
При загрузке НОД32 ругается и говорит win32Qhost троян (c:\windows\system32\svchost.exe попытка доступа к c:\windows\system32\drivers\hosts). Удалить его не может. Пробовал killbox - вроде удаляет, перегружается и все заново. Но это полбеды. В процессах появляются два экземпляра iexplore.exe, которые вешают систему практически намертво. CureIT и AVZ ничего не находят. Посмотрите плиз, что можно сделать?

На время выполнения скрипта, отключитесь от сети и отключите АВ-монитор Далее: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\mmsvc32.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
DeleteFile('C:\WINDOWS\system32\mmsvc32.exe');
DeleteFile('C:\WINDOWS\system32\spools.exe');
BC_Importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=16918[/url] , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.

[QUOTE=Numb;177567] После перезагрузки, загрузите карантин AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=16918[/url] , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.[/QUOTE]
Зараза вроде ушла, НОД не ругается, iexplore.exe не появляются при загрузке. Карантин прикрепить не могу, что-то сквид ругается, видимо на размер. Может на мыло можно выслать?

[QUOTE=Kempoo;177611]Может на мыло можно выслать?[/QUOTE]Отправьте мне на [email][email protected][/email]

[QUOTE=Maxim;177617]Отправьте мне на [email][email protected][/email][/QUOTE]

отправил

Получил и загрузил в карантин. У Вас есть установочный диск Windows?

[QUOTE=Maxim;177629]Получил и загрузил в карантин. У Вас есть установочный диск Windows?[/QUOTE]

да, есть

Отлично. Ждите дальнейших рекомендаций.

C:\WINDOWS\system32\spools.exe и C:\WINDOWS\system32\mmsvc32.exe - [b]Trojan.Win32.Delf.ava[/b] (по классификации Касперского). c:\windows\system32\winlogon.exe - чистый.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Больше в логах я ничего подозрительного не вижу. Что из этого списка вам нужно? [code]8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/code]

По большому счету, настраивать максимум безопасности смысла, наверное, не имеет. Т.к. сеть из 3 компов. Изолированы от интернета. Флоп и СД-РОМ только на этом компьютере, пользуются ими раз в пятилетку....Вирус занесли с СД- человека уже расстреляли...(шутка :)). ну из списка нужны только терминалы.

Вот скрипт для отключения ненужного:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\mmsvc32.exe - [B]Trojan.Win32.Delf.ava[/B] (DrWEB: Trojan.PWS.Banker.10545)[*] c:\\windows\\system32\\spools.exe - [B]Trojan.Win32.Delf.ava[/B] (DrWEB: Trojan.PWS.Banker.10545)[/LIST][/LIST]