Троян, зараза.

NOD32 последней версии нашел Win32/PSW.Agent.NHG. Заражен файл C:\Documents and Settings\LocalService\ftp34.dll., само собой, ничего антивирус сделать с этим не может. Я видел, тут подобные проблемы у людей уже были, помогите и мне, пожалуйста

1.Отключите ПК от сети.
2.Отключите Антивирус.
3.Отключите системное востановление.
[URL="http://virusinfo.info/showthread.php?t=4491"]4. Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\User\svchost.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\User\svchost.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]5. Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\localservice\svchost.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\annzbt8q.SYS','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\Documents and Settings\User\svchost.exe','');
QuarantineFile('C:\Documents and Settings\User\Application Data\rambler.ru\toolbar\mail.mp3','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\STP1161.tmp','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\STP164A.tmp','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\STP369.tmp','');
QuarantineFile('C:\System Volume Information\_restore{563B5FAC-5C17-497B-B3E8-40563D797657}\RP256\A0143903.exe','');
QuarantineFile('C:\System Volume Information\_restore{563B5FAC-5C17-497B-B3E8-40563D797657}\RP260\A0147359.exe','');
QuarantineFile('C:\WINDOWS\Downloaded Installations\{4F5A2FA8-3155-11D6-A498-00C0CA17CB87}\Data.Cab','');
QuarantineFile('C:\Documents and Settings\LocalService\ftp34.dll','');
DeleteFile('C:\Documents and Settings\LocalService\ftp34.dll');
DeleteFile('C:\WINDOWS\Downloaded Installations\{4F5A2FA8-3155-11D6-A498-00C0CA17CB87}\Data.Cab');
DeleteFile('C:\System Volume Information\_restore{563B5FAC-5C17-497B-B3E8-40563D797657}\RP260\A0147359.exe');
DeleteFile('C:\System Volume Information\_restore{563B5FAC-5C17-497B-B3E8-40563D797657}\RP256\A0143903.exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\STP369.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\STP164A.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\STP1161.tmp');
DeleteFile('C:\Documents and Settings\User\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\annzbt8q.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
6. [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки и кэш проводников.
7. Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы
8. Повторите логи.

Огромное спасибо, я выполнил все рекомендации, кроме последних трех, потому что после перезагрузки перестали запускаться exe файлы. Как только пытаюсь запустить, открывается окно "открыть с помощью". Ну и при попытке зайти в "Система" пишет что rundll32.exe не найден. Больше глюков не заметил. Т.к. exe не запускаются, значит, не могу пока проверить, подействовало ли лечение. Повторяю, все пункты сделал как положено.

[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]

NOD32 кое-как запустил, вирус никуда не делся, сидит все в том же файле, я бы сделал откат системы, но
exe файлы не запускаются => я не могу зайти в "Систему" (еще и потому что затёр rundll32) => не могу заново включить восстановление системы.
У меня WinXP SP2, если что

выполните скрипт ...
[code]
begin
ExecuteRepair(1);
RebootWindows(true);
end.
[/code]
делайте новые логи ...

Итак, логи я прикрепил.
Что хотелось бы отметить: при проверке компа NOD32 он писал что ftp34.dll в Documents and Settings заражен, я его тут же удалил и перезагрузил комп, больше когда я проверял Documents and Settings антивирус про трояна в этой папке не заикался вообще. :D
И главное - раньше мне Нод все время писал что троян найден в оперативной памяти, а теперь этого нет! :D
Но остался ВСЕГО ОДИН зараженный файл - system32\ftp34.dll
Из всего этого могу сделать вывод, что вирус таки еще жив, но я (с вашей помощью) нанес ему серьезный удар, и теперь он бездействует. Осталось добить :D

З.Ы. Я немного не допираю, но как тут прислать карантин? Т.е. я знаю, что по красной ссылке, но там нужно в зип архиве, а у меня он в текстовых и конфиг файлах сохраняется... Нужно самому запаковать всю папку Quarantine, я прав?

перечитайте приложение 3 правил.... и пришлите карантин ...
в логах чисто ...

Вот...... решил в архив весь карантин (включая какие-то копии) запихнуть
Спасибо огромное, сейчас всем, кто помогал, плюсы расставлю.
Ну и последний вопрос:
system32\ftp34.dll - это в принципе системный файл? Если нет, я удалю его к черту вместе с недобитым вирусняком.....

З.Ы. С карантином придется чуток подождать - не грузится ваш ФТПшник

ftp34.dll нужно удалять ...

Ухаха, я сейчас проверил, а его уже нет :D Сам сдох :D
"Вскрытие показало, что пациент умер от вскрытия" :D

Еще раз огромное спасибо за помощь!!!

З.Ы. Не знаю, извините, карантин не заливается.....
Когда вставляю путь к файлу Опера делает вид, что "грузит страницу".