Trojan.DownLoader

Добрый день.
[COLOR=black]Несколько дней назад обнаружила, что мой компьютер скачивает из Интернета по 16-17 Мб каждые 6 минут. Антивирус SUPERAntiSpyware обнаружил в нескольких файлах Trojan.DownLoader. Я их удалила и это, естественно, не помогло. Поставила [/COLOR][COLOR=black]FireWall[/COLOR][COLOR=black], который каждые 6 минут перехватывает попытки процесса [/COLOR][COLOR=black]ndetect[/COLOR][COLOR=black].[/COLOR][COLOR=black]exe[/COLOR][COLOR=black] выйти в Интернет. [/COLOR][COLOR=black]Dr[/COLOR][COLOR=black].[/COLOR][COLOR=black]Web[/COLOR][COLOR=black] при каждом сканировании находит все новые вирусы.[/COLOR]
[COLOR=black][FONT='Times New Roman'][FONT=Verdana][SIZE=2]Помогите, пожалуйста. Заранее спасибо.[/SIZE][/FONT][/FONT][/COLOR]

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\План.xls','');
QuarantineFile('SocksA.exe','');
QuarantineFile('C:\WINDOWS\system32\sw24.exe','');
QuarantineFile('C:\WINDOWS\system32\sw20.exe','');
RebootWindows(true);
end.[/CODE]

После перезагрузки.
Прислать карантин согласно приложения 3 правил .

необходимо обновить базы AVZ при помощи автоматического обновления (Файл/Обновление баз)

Базу обновила и отправила Вам содержимое карантина

SocksA.exe-не попал - поискать в ручную по по второму пункту правил.
Экземпляры свежие.Сейчас сделаем скрипт.

tel.xls.exe - вот этот файлик надо поискать через AVZ и загрузить

Файлы в карантин не добавились. Я прикрепила лог с ошибками. TotalComander эти файлы тоже не находит.

Простите, нашла как искать файлы через AVZ, сейчас поищу там.

wscntfy.exe на всякий случай тоже прислать, а вдруг патченный ;)

Искать файлы так: Сервис -- Поиск файлов на диске.

1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe[/code]
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sw24.exe');
DeleteFile('C:\WINDOWS\system32\sw20.exe');
DeleteFile('C:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.
[/code]

3.Продолжим после того как пришлёте остальные ;)

Файлы tel.xls.exe и SocksA.exe AVZ тоже не находит, даже с запросами '*SocksA*.exe', '*tel*.*xls*.exe'.
А wscntfy.exe находит, но в карантин не добавляет ни из поиска, ни добавлением в карантин по списку. Об ошибках не сообщает.
SocksA.exe я видела в реестре в ключах для автозагрузки.
tel.xls.exe сегодня видела на флешке, после чего сразу ее отформатировала, при сканировании флешка подсоединена не была.

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Фикс сделала, скрипт выполнила

Чувствую надо чистить все флешки с autorun.inf.

Делайте повторные логи, как в начале.

[quote]SocksA.exe я видела в реестре в ключах для автозагрузки.[/quote]-убить- можно используя менеджер автозагрузки в AVZ.

Сделать новые логи по правилам(это значит читать правила внимательней и выгрузить все антивирусы и антишопионы перед сканированием) и прикрепить к следующему сообщению

SocksA.exe удалила
Вот новые логи

Логи чистые.
Определяйте, что из этого не нужно, будем закрывать.

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Можно закрыть:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Остальное нужно оставить.

Вот вам скрипт:
[CODE]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.[/CODE]

Кстати, в Планировщике сидит нестандартное задание - файлик экселя.
Надо его в другое место поместить.

Спасибо Вам огромное! Вы - замечательные люди, с Вами очень приятно было общаться.

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!