Autorun

Вирус создает на локальных дисках 2 файла: autorun.inf, который является ключом к запуску самого вируса NTDETECT.EXE. При попытки удалить через 2 секунды они появляется снова. ТАблетка не помогает, тотал тоже, нод с новами базами не видит, пробовал в безопасном режиме, косил из процессов, реестра все бестолку через 2 секунды все возвращается заново. Помогите пожалуйста

[url]http://virusinfo.info/showthread.php?t=1235[/url]

Вот

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\NTDETECT.EXE','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('c:\windows\system32\tskmgr.exe','');
QuarantineFile('c:\windows\system32\svshost.exe','');
QuarantineFile('c:\windows\system32\crss.exe','');
QuarantineFile('c:\windows\system32\vhosts.exe','');
DeleteFile('c:\windows\system32\crss.exe');
DeleteFile('c:\windows\system32\svshost.exe');
DeleteFile('c:\windows\system32\tskmgr.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\NTDETECT.EXE');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\NTDETECT.EXE');
DeleteFile('c:\windows\system32\vhosts.exe');
DeleteFileMask('C:\System Volume Information\_restore{F84F5921-EECB-4B8A-87D2-4ADB527A3E30}\RP82\', '*.exe', false);
BC_ImportAll;
BC_DeleteSvc('msupdate');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18771[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O4 - HKLM\..\Run: [svchost.exe] C:\WINDOWS\system32\svshost.exe
O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\system32\tskmgr.exe[/CODE]

3. Повторить логи

Два антивируса: НОД и Симантек, и не защитили. Надо одного оставить, вдвоем им тесновато будет.

вдогонку эти драйвера поискать из авз:

Acp13ame.sys
SDDRIVER.SYS

[quote]Пофиксить в HijackThis следующие строчки ( [URL]http://virusinfo.info/showthread.php?t=4491[/URL] )

Код:
O4 - HKLM\..\Run: [svchost.exe] C:\WINDOWS\system32\svshost.exe
O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\system32\tskmgr.exe
[/quote]

Таких строчек я не нашел после сканирования HijackThis

[quote]Симантек[/quote] давно уже нету

[quote]вдогонку эти драйвера поискать из авз:

Acp13ame.sys
SDDRIVER.SYS[/quote]

Это что значит?

Карантин выслал

ЛОги:

[CODE]O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe[/CODE]
- вот это все сервисы Симантека. Для корректного его удаления надо воспользоваться утилитой с их сайта. Ссылки под рукой нет, извини, посмотри в разделе "Чаво"

Поиск через AVZ: запустить AVZ, далее Сервис -- Поиск по диску, если найдутся то поместить в карантин и прислать сюда.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\ntdetect.exe - [B]Trojan-Spy.Win32.Delf.ars[/B] (DrWEB: Trojan.PWS.Webmonier)[*] c:\\windows\\system32\\crss.exe - [B]Trojan-Spy.Win32.Delf.bfz[/B] (DrWEB: Trojan.PWS.Webmonier)[*] c:\\windows\\system32\\svshost.exe - [B]Trojan-Spy.Win32.Delf.ars[/B] (DrWEB: Trojan.PWS.Webmonier)[*] c:\\windows\\system32\\tskmgr.exe - [B]Trojan-Spy.Win32.Delf.ars[/B] (DrWEB: Trojan.PWS.Webmonier)[/LIST][/LIST]