Трояны... Win32/Nidis.J

На машине ругнулся NIS, но после сканирования ничего не нашел...
поставил NOD32 он обнаружил "Win32/Nidis.J" он есть в базах NOD32 с 22го числа... но вылечить по прежнему не получается.

по инструкции прогнал на машине свежий CureIt, он убил несколько файлов (лог не сохранился) после чего на машине отрубился инет :)

на машине во время работы AVZ появлялось окно с текстом что "процесс \system32\services.exe неожиданно завершен в следствии чего система будет перезагружена"... и предлагалось 60 секунд на сохранение всего открытого.

прилагаю результаты работы AVZ и HijackThis
подскажите как вылечить комп.

Не тот лог. Нужен virusinfo_syscure

1. Во избежание глюков и тормозов удалите один из антивирусов.
2. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lxnhe873ejkd.dll','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\svchots.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\7074.exe','');
QuarantineFile('C:\WINDOWS\system32\windev-6e50-49e0.sys','');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\7074.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\svchots.exe');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('C:\WINDOWS\system32\lxnhe873ejkd.dll');
BC_ImportDeletedList;
BC_DeleteSvc('windev-6e50-49e0');
BC_DeleteFile('C:\WINDOWS\system32\windev-6e50-49e0.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
3. Пришлите карантин согласно приложению 3 правил.
4. Сделайте новые логи.

@Bratez Добавь строчку для создания лога. Прощее будет разбираться.

Да ладно, в новых логах результат удаления сразу будет виден,
а карантин здесь только для вирлаба - вдруг новые модификации...

Скрипт выполнил, в этот раз лог syscure сохранился (до этого машина перегружалась)
в архив карантина сам троян похоже не добавился... странно...

инет на машине не работает... (перестал после прохода по ней CureIt)

спасибо откликнувшимся!

Восстановите интернет с помощью [URL="http://www.tacktech.com/pub/winsockfix/WinsockFix.zip"]WinSockFix[/URL] и повторите логи.

Хорошо если есть машина с Инетом :( Это я насчет Winsockfix.

Не сразу обнаружил, что вы логи заменили в первом посте...
Теперь практически чисто, осталось вымести "мелкий мусор".

1. Поищите файл C:\WINDOWS\services.exe, вдруг найдется - пришлите по правилам.
2. Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('A-Load');
BC_DeleteFile('C:\WINDOWS\services.exe');
BC_Activate;
Rebootwindows(true);
end.[/code]
3. Пофиксите в HijackThis:
[code]
O2 - BHO: C:\WINDOWS\system32\lxnhe873ejkd.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\lxnhe873ejkd.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
[/code]
4. См. п.1 из сообщения #3!
5. Сделайте новые логи, начиная с п.10 правил.
6. Как дела с интернетом, Winsockfix помог?

[B]PavelA[/B] Хорошо что в офисе не один комп подключен к интернету :-)
[B]Bratez[/B] Winsockfix это уже в "аптечке" хранится, но он вчера не помог... инет не восстановился...
сейчас выполню скрипты и попробую ещё раз таблетку Winsockfix
------------
выполнил.
логи прилогаются
services.exe залит в вирусы
Winsockfix ещё раз выполнен, инет не появился :(
как можно отремонтировать?

война закончилась перестановкой винды.
послествия борьбы были забавными- винда не хотела верить что на компе есть сетевая карта.
свежеобновлённый нортон интернет секьюрити ничего не нашел...
хочется верить что зверей нет...

спасибо всем кто помогал в изгнании зверей.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\копия 1.exe - [B]Trojan-Mailfinder.Win32.Delf.n[/B] (DrWEB: Trojan.EmailSpy)[/LIST][/LIST]