Trojan Packed 541 в почте.

Сначала перестал запускаться Outlook,просмотрел карантин НОД 32,там лежали два командных файла из почты.Я оттуда их восстановил.Запустил Доктор Вэб,он переместил те же файлы.Можно ли восстановить почту? там важные документы!

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,
O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\
O20 - Winlogon Notify: reset5e - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1078081533-1202660629-842925246-1003\Dc161.DOC','');
QuarantineFile('C:\Documents and Settings\Наталья\Local Settings\Temp\crypted_explorer.exe','');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\keygen.exe','');
QuarantineFile('C:\WINDOWS\system32\secpol.exe','');
QuarantineFile('C:\WINDOWS\Offline Web Pages\svchost.exe','');
DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe');
DeleteFile('C:\WINDOWS\system32\secpol.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\keygen.exe');
DeleteFile('C:\Documents and Settings\Наталья\Local Settings\Temp\crypted_explorer.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1078081533-1202660629-842925246-1003\Dc161.DOC');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
DelCLSID('{18B0E5C2-99CB-11CF-AXX5-00401C648513}');
RegKeyResetSecurity( 'HKLM', 'SYSTEM\CurrentControlSet\Services\ozdvc');
SetAVZPMStatus(True);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=53417[/url]).
Сделайте новые логи.

Все сделал.

Сделайте еще такой лог:
[url]http://virusinfo.info/showthread.php?t=40118[/url].

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Если возможно, пришлите файлы из почты, определяемые антивирусами, по правилам. Загружать по ссылке для карантина.

Не знаю откуда их извлечь.Вот их имена, они все были заражены трояном
winsetup.exe C:\BSClnt_3.1\SUBSYS\T-MAIL\temp
winfix.exe C:\BSClnt_3.1\SUBSYS\T-MAIL\tmp
327.exe C:\Documents and Settings\Наталья\Local Settings\Temp
410.exe C:\Documents and Settings\Наталья\Local Settings\Temp
571.exe C:\Documents and Settings\Наталья\Local Settings\Temp
dia[1].exe C:\Documents and Settings\Наталья\Local Settings\Temporary Internet Files\Content.IE5\2FE5QPSX

Все что в [I]Local Settings\Temp [/I]и [I]Temporary Internet Files[/I] - это временные файлы, к почте отношения не имеют, их можно и нужно удалить.

Вот лог.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\hcjmgmwc.dll','');
DeleteFile('C:\WINDOWS\system32\hcjmgmwc.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ozdvc');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ozdvc');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил, если будет не пуст.

Сделайте новый лог gmer.

Отправил зараженные файлы.

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

Скрипт выполнил.Карантин отправил.

Сделайте новый лог gmer.

Новый лог gmer.

Активного заражения у вас больше нет. Осталось подчистить мусор в реестре, который в принципе не представляет ничего опасного. Если хотите это сделать, то:

Сохраните следующий код в виде файла runme.bat и поместите в папку с gmer:
[code]
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ozdvc"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ozdvc"
gmer.exe -reboot[/code]
Запустите этот файл.
Компьютер перезагрузится.
Сделайте новый лог gmer для контроля.

Файл создал.Но он не запускается.Может я что-то не так делаю?

[QUOTE=Morriss;460793]Файл создал.Но он не запускается.[/QUOTE]
Что происходит при двойном клике на него?

Почта не запускается.В карантине Доктор Вэб лежат почтовые файлы зараженные
C:\Documents and Settings\Наталья\DoctorWeb\Quarantine\winfix.exe - модифицированный Win32/Kryptik.LR троянская программа

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Появляется окно MS-DOS и пропадает.Я скопировал файл в GMER он запустился,просканировал.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

но ошибки в реестре остались.

[QUOTE]В карантине Доктор Вэб лежат почтовые файлы зараженные
C:\Documents and Settings\Наталья\DoctorWeb\Quarantine\winfix.exe - модифицированный Win32/Kryptik.LR троянская программа[/QUOTE]
Удалите! Надеюсь, вы не думаете, что этот [I]winfix.exe[/I] может являть собой полезую программу?

Если честно,то думал.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Он же был помещен в карантин отсюда
C:\BSClnt_3.1\SUBSYS\T-MAIL\temp

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

При запуске почты,пишет,что она уже запущена.

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 30 минут[/I][/B][/color][/size]

Помогите. Почта не открывается.Что делать?

и до и после лечения проблема осталась :при запуске почты на экране появляется загрузочная картинка ина этом все заканчивается.И в этом прямоугольнике остается изображение открытых документов.Посоветуйте может с это проблемой нужно писать в другой раздел?

Попробуйте открыть почтовую программу в Безопасном режиме Windows.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\наталья\local settings\temp\crypted_explorer.exe - [B]Trojan-Dropper.Win32.Pincher.rk[/B] ( BitDefender: Virtool.24469, NOD32: Win32/PSW.Agent.NKE trojan, AVAST4: Win32:Zbot-LYK [Trj] )[*] \winfix.exe - [B]P2P-Worm.Win32.Palevo.jaz[/B] ( DrWEB: Trojan.Packed.541, AVAST4: Win32:MalOb-H [Cryp] )[*] \winsetup.exe - [B]P2P-Worm.Win32.Palevo.jaz[/B] ( DrWEB: Trojan.Packed.541, AVAST4: Win32:MalOb-H [Cryp] )[/LIST][/LIST]