Таинственный вирус

Расскажу всю историю:
Все началось с того что решил подключить интернет по сети , ну протянули кабель, и мастер по наладке сел за комп воткнул флешку установил с нее net up UTM (установщик находился под именем 9129837.exe) все настроил и ушел. И я счастливый начал пользоватся высокоскоростным интернетом, минут через 5 мой макафи обнаружил вирус и удалил его , я не придал этому значения и продолжил сидеть в нете в дальнейшем окно макафи открылось раз 5 с этим же вирусом(его имя:
[SIZE=3][FONT=Times New Roman]new_drv.sys Generic RootKit.a (Trojan))[/FONT][/SIZE]
и отчетом о его удалении и это после закрытия explorera и выхода из сети , причем в окне мелькнуло название установщика 9129837.exe. Оказалось в system 32 записалось приложение с таким же названием как у установщика, при смене пользователя , у меня их три и все под паролем, появляется четвертый пользовател под именем Adminestrator, но самое интересное то что все пароли остальных пользователей перестают работать, все это вылечилось перезагрузкой. После перезагрузки сделал anti virus scan всего компа и вирусов не было обнаружено, но я все равно удалил 9129837.exe и проблема с этим вирусом исчезла. На следующий включил комп посидел минут десять и открылось окно в нем было написано что то вроде NT AUTHORITY/SYSTEM сейчас произойдет перезагрузка сохраните все данные. После перезагрузки опять сделал сканирование ничего не нашел, через некоторое время открылось окно макафи о удалении вируса: NT AUTHORITY\SYSTEM cmd.exe D:\WINDOWS\system32\o W32/Sdbot.worm!ftp (Virus)
[SIZE=3][FONT=Times New Roman]При смене пользователя такая же фигня с паролями но без Adminestrator-А. Периодически раз в несколько дней макафи сообщает о его нахождении но не удаляет его а пишет blocked by buffer overflow. Может вирус в cmd.exe . В принципе меня это не особо напрягает но все же мешает , может кто нибудь встречался с этим ?[/FONT][/SIZE]

И еще AVZ тоже ничего не нашел.

Выполните [url=http://virusinfo.info/showthread.php?t=1235]Правила[/url].

PS. Обновления на Windows надо устанавливать!

[quote=AndreyKa;90852]Выполните [URL="http://virusinfo.info/showthread.php?t=1235"]Правила[/URL].

PS. Обновления на Windows надо устанавливать![/quote]

Извиняюсь что не прочел правила
вот файлы.

Выполнить в авз скрипт и прислать после того ,как компьютер перезагрузиться, файл с папки авз нам по правилам .
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('D:\GAMES\System32\EntApi.dll','');
QuarantineFile('D:\Games\System32\RUSSIA~1.SCR','');
QuarantineFile('D:\GAMES\System32\autorun.exe','');
QuarantineFile('D:\GAMES\System32\ylxb.dll','');
QuarantineFile('D:\GAMES\9129837.exe','');
QuarantineFile('D:\System Volume Information\_restore{E4884659-DE59-418F-9740-95171BB42FFE}\RP74\A0051894.exe','');
RebootWindows(true);
end.
[/code]

Вот это надо "фиксить":
[code]Platform: Windows XP SP1 (WinNT 5.01.2600)[/code]
Иначе напихают зверья.

[quote=drongo;90874]Выполнить в авз скрипт и прислать после того ,как компьютер перезагрузиться, файл с папки авз нам по правилам .
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('D:\GAMES\System32\EntApi.dll','');
QuarantineFile('D:\Games\System32\RUSSIA~1.SCR','');
QuarantineFile('D:\GAMES\System32\autorun.exe','');
QuarantineFile('D:\GAMES\System32\ylxb.dll','');
QuarantineFile('D:\GAMES\9129837.exe','');
QuarantineFile('D:\System Volume Information\_restore{E4884659-DE59-418F-9740-95171BB42FFE}\RP74\A0051894.exe','');
RebootWindows(true);
end.
[/code][/quote]

Пришлось отправить файл через почту, в закрузке файла говрит типа неправильный линк.

[quote=pig;90891]Вот это надо "фиксить":
[code]Platform: Windows XP SP1 (WinNT 5.01.2600)[/code]
Иначе напихают зверья.[/quote]

Выбрал в hijack, system scan only , но там нету указанной строки , может чтото неправильно делаю ?

[quote=maxi s;90934]Выбрал в hijack, system scan only , но там нету указанной строки , может чтото неправильно делаю ?[/quote]

Шедевр :)С вашего разрешения в раздел юмора :)

[QUOTE=maxi s;90934]Выбрал в hijack, system scan only , но там нету указанной строки , может чтото неправильно делаю ?[/QUOTE]
Смешно получилось, ей-богу, 5 с плюсом! =)

Речь идет не о строке в логе, которую надо фиксить, а о том, что вам надо "фиксить", т.е. чинить, саму операционную систему, на который вы работаете, т.е. для начала установить 2-й Service Pack + все последующие обновления! А "иначе нам удачи не видать"!

Только помните при этом одну вещь: установка 2-го SP неминуемо приведет к проблемам, если у вас нелицензионная ОС - придется заново активировать систему.

[QUOTE=maxi s;90933]Пришлось отправить файл через почту, в закрузке файла говрит типа неправильный линк.[/QUOTE]
Ссылка на Вашу тему [url]http://virusinfo.info/showthread.php?t=7481[/url]
На какой адрес отправили?

[quote=AndreyKa;90966]Ссылка на Вашу тему [URL]http://virusinfo.info/showthread.php?t=7481[/URL]
На какой адрес отправили?[/quote]

Закачал на upload
По почте не отправилось , сказали что у меня нет права отправлять файлы.

[QUOTE=maxi s;91224]Закачал на upload[/QUOTE]

Мы файлы заказывали, а не скрипт... скрипт мы уже видели...

Насколько я понял:
1. Выполнить скрипт
2. Получившийся файл с помощью AVZ по правилам добавить в архив
3. Прислать вам.

Если что то неправильно напишите пожалуйста пошаговый мануал.

См. Приложение 2, начиная с пункта 5.

закачал все содержимое карантина
:262:

Установил sp2 , пока толку никакого, только начали появлятся такие же вирусы но с другими названиями типа: o, i, y, ит.п.

Тогда нужны новые логи. Стенка какая-то стоит? Вход администратора с паролем?

[QUOTE=maxi s;92062]Установил sp2 , пока толку никакого, только начали появлятся такие же вирусы но с другими названиями типа: o, i, y, ит.п.[/QUOTE]
Кроме sp2 надо еще несколько десятков обновлений установить
[url]http://windowsupdate.microsoft.com/[/url]

[quote=Geser;92069]Тогда нужны новые логи. Стенка какая-то стоит? Вход администратора с паролем?[/quote]

Да, все три профиля под паролем из них один администратор.

Что за мода пошла отвечать на половину вопросов.