Много троянов!!!

Здравствуйте!
Симантек ругается на огромную рассылку писем из OE. Компьютер "тормозит". Посмотрит, пожалуйста, логи!=)

Надо же сколько гадости, разве до сих пор не научились что по помойкам не надо лазить с правами админа?
Сейчас напишу лечение.

да это не я, в том-то и дело! Это мои пользователи, которым руководство не даёт мне возможности сделать ограниченного пользователя!=(

отключить инет и антивирус, выполнить скрипт
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\pxgdslro.dll','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\DOCUME~1\admin\LOCALS~1\Temp\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\WinNt32.dll','');
DelBHO('{72976A08-625C-41C1-AD59-780F96CC2473}');
QuarantineFile('C:\WINDOWS\nldfmtappdm.dll','');
DelBHO('{B5AF0562-94F3-42BD-F434-2604812C797D}');
QuarantineFile('C:\WINDOWS\Temp\gold.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Taf85.sys','');
QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
QuarantineFile('C:\WINDOWS\TEMP\istat.exe','');
QuarantineFile('C:\WINDOWS\system32\jkbi646.exe','');
QuarantineFile('C:\WINDOWS\system32\jkbi534.exe','');
QuarantineFile('C:\WINDOWS\system32\jkbi472.exe','');
QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
QuarantineFile('C:\WINDOWS\system32\djki397g.dll','');
QuarantineFile('C:\WINDOWS\gnowmebk.dll','');
TerminateProcessByName('c:\windows\temp\winlagon.exe');
QuarantineFile('c:\windows\temp\winlagon.exe','');
TerminateProcessByName('c:\windows\system32\jkbi646.exe');
QuarantineFile('c:\windows\system32\jkbi646.exe','');
TerminateProcessByName('c:\windows\system32\jkbi534.exe');
QuarantineFile('c:\windows\system32\jkbi534.exe','');
TerminateProcessByName('c:\windows\system32\jkbi472.exe');
QuarantineFile('c:\windows\system32\jkbi472.exe','');
TerminateProcessByName('c:\windows\temp\istat.exe');
QuarantineFile('c:\windows\temp\istat.exe','');
TerminateProcessByName('c:\documents and settings\admin\ie_updates3r.exe');
QuarantineFile('c:\documents and settings\admin\ie_updates3r.exe','');
TerminateProcessByName('c:\windows\herjek.exe');
QuarantineFile('c:\windows\herjek.exe','');
DeleteFile('c:\windows\herjek.exe');
DeleteFile('c:\documents and settings\admin\ie_updates3r.exe');
DeleteFile('c:\windows\temp\istat.exe');
DeleteFile('c:\windows\system32\jkbi472.exe');
DeleteFile('c:\windows\system32\jkbi534.exe');
DeleteFile('c:\windows\system32\jkbi646.exe');
DeleteFile('c:\windows\temp\winlagon.exe');
DeleteFile('C:\WINDOWS\gnowmebk.dll');
DeleteFile('C:\WINDOWS\System32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\djki397g.dll');
DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
DeleteFile('C:\WINDOWS\system32\jkbi472.exe');
DeleteFile('C:\WINDOWS\system32\jkbi534.exe');
DeleteFile('C:\WINDOWS\system32\jkbi646.exe');
DeleteFile('C:\WINDOWS\TEMP\istat.exe');
DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Taf85.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\WINDOWS\Temp\gold.exe');
DeleteFile('C:\WINDOWS\nldfmtappdm.dll');
DeleteFile('C:\DOCUME~1\admin\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\pxgdslro.dll');
BC_DeleteSvc('Taf85');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/code]

в таком зверинце надо ещё выполнить 2 пункт правил.

карантин прислать, новые логи сделать.

P.S. Можно пойти другим путём-> уменьшать в правах браузер, почтовый клиент и тд. Но поему извращение :) Хотите я поговорю с начальством ?

да нет, спасибо, буду пытаться собственными силами убеждения! А ещё такой вопрос! У меня перестали запускать все .exe файлы: система предлагает открыть с помощью какой-либо программы AVZ. С этим можно как-то бороться и запустить AVZ?

Переименовать AVZ в 123.com и запустить,выбрать восстановление системы,отметить позицию 1 нажать "Исправить отмеченные проблемы" и перезагрузиться.

спасибо!!!!!

[size="1"][color="#666686"][B][I]Добавлено через 53 минуты[/I][/B][/color][/size]

Cure IT проверил - много чего нашёл и удалил! Закачал карантин, сейчас новые логи сделаю!=)

Всё, что вы сказали, сделал! Вот новые логи.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('tcpsr', 4);
SetServiceStart('Taf85', 4);
SetServiceStart('Schedule', 4);
StopService('Schedule');
QuarantineFile('C:\Documents and Settings\admin\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Taf85.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\Documents and Settings\admin\cftmon.exe');
DeleteService('Taf85');
DeleteService('Schedule');
DeleteService('tcpsr');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил

Повторите логи.

карантин закачал, сейчас логи делаю!=)

Вот новые логи.

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{32F97D95-40B6-434E-9B21-CA10502C8C6C}: NameServer = 85.255.115.61,85.255.112.113
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113[/CODE]

Отключите восстановление системы там хранятся копии зловредов,жалобы есть?

сейчас сделаю... Жалоб нет!