Атакует Win32/Spy/Banker.FFO Троян и другие

[FONT=Times New Roman][SIZE=3]Здравствуйте![/SIZE][/FONT]

[FONT=Times New Roman][SIZE=3]Меня последнее время замучили вирусы, только зайдешь в интернет, начинается атака.[/SIZE][/FONT]

[SIZE=3][FONT=Times New Roman]NOD32 начинает выдавать сообщения:[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Предлагает завершить процесс :http:banned.in/expp/exe/load.exe
[FONT=Times New Roman][SIZE=3]Пишет, что это вероятно модифицированный Win32/Spy/Banker.FFO Троян[/SIZE][/FONT]

[FONT=Times New Roman][SIZE=3]Да и в Temp пытаются попасть каждый раз разные файлы: AF.tmp, 9С8.tmp, 902.tmp, 2D4.tmp и др. NOD32 отправляет их в карантин или предлагает представить их на анализ в Eset. И так несколько дней подряд. Проводила полное сканирование всех дисков NOD32 (лицензионный, обновленный) - ничего не находит.[/SIZE][/FONT]

[FONT=Times New Roman][SIZE=3]Утилита CureIt нашла 4 вируса:[/SIZE][/FONT]

[FONT=Times New Roman][SIZE=3]1. ntos.exe в system32[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]Trojan.MulDrop.9286 – удален[/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]2. A0000055.exe на C:\System Volume Information[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Trojan.MulDrop.9286 – удален[/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]3. A0000107.exe на C:\System Volume Information[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Trojan.MulDrop.9286 – удален[/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]4. adiras.exe на C:\Windows[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Dialer.Adiras – Неизлечим. Удален[/FONT][/SIZE]

[FONT=Times New Roman][SIZE=3]Но, судя по логам avz, какие-то запчасти остались от программы ntos.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Не решаюсь сама их удалить. Подскажите, пожалуйста, что делать. Логи прикрепляю.[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]Спасибо заранее.[/FONT][/SIZE]

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('byrone.dll','');
QuarantineFile('tra.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин по ссылке вверху темы.

Ссылочку на "зловреда" убейте.

Убить с помощью avz? ту ссылку, где встречается ntos?

Нет. Отредактировать сообщение, чтобы ссылка на сайт была не активна.

Спасибо большое! Все сделала. Не сразу удалось поблагодарить, компьютер не хотел перезагружаться. Только с пятого раза загрузился. Но это, скорее всего, глюк по железу.

Еще раз огромное спасибо. Вы меня сильно выручили.

Это еще не все!!!

Карантин загрузили?
Желательно еще новые логи сделать.

Карантин загрузила. Зазиповала то, что было в папке карантин в авз и установила пароль virus. Логи прикрепляю.

выполните скрипт...
[code]
begin
DeleteFile('byrone.dll');
DelCLSID('C8A3B994-E27A-42f5-A053-C63799E621FB');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
попробуйте поискать через AVZ - tra.exe ... если найдется пришлите по правилам...

AVZ нашел 2 таких файла в Карантине, но написал: Ошибка карантина файла, попытка прямого чтения (tra.exe) Я их заархивировала и оба отослала как положено.

в карантине только ini .... самого файла нет ....

Наверное что-то не так сделала. Вроде бы пыталась действовать по правилам. Может поискать не в карантине, а на дисках?

[URL="http://virusinfo.info/showthread.php?t=4567"]как правильно искать файлы[/URL]

На дисках AVZ не нашел tra.exe
Пробовала искать и tra*.exe
В папке system32 и system32\dllcache по 3 одинаковых файла:
tracerpt.exe
tracert.exe
tracert6.exe
Но все эти файлы созданы в 2001-2004 годах. Вряд ли это вирусы. Прислать?

присылать не нужно ....
пофиксите...
[code]
O4 - HKLM\..\Run: [systray] tra.exe
[/code]
повторите лог HijackThis ...

Пофиксила, вроде бы лог чистый. Прикрепляю

Чисто.
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM

Что из этого не нужно?

Прошу, прощения. Вынуждена выйти из сети. Если что-то не долечила, продолжу завтра.
Всем всем хелперам заранее спасибо за бесценную помощь!!!!!!!

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Сообщение напоследок. К сожалению, я ничего не понимаю в этих службах. На первый взгляд, мне возможно нужна только последняя:
>> Безопасность: разрешен автозапуск программ с CDROM.
Остальные надо как-то запретить?

а вот так,выполните скрипт
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SetServiceStart('TermService', 4);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Ну, теперь выполнила и этот скрипт. Можно спать спокойно?

Можете :)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!