Trojan.NtRootKit.565

Каждый раз при попытке открыть любой жёсткий диск DrWeb выводит сообщение о том, что какой-либо файл (реально не существующий) заражён вирусом Trojan.NtRootKit.565. Если отключить DrWeb при попытке открыть жёсткий диск выводится окно с предложением выбрать программу для открытия. Судя по всему, ситуация аналогичная той, что описана в теме "жесткий диск не открывается" от 19.01.2008. (на каждом локальном диске присутствует скрытый файл xn1i9x.com, который не удаляется). Так же невозможно сделать видимыми скрытые файлы и папки, а так же системные файлы.
Надеюсь на вашу помощь

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDXP\system32\amvo.exe','');
QuarantineFile('C:\WINDXP\system32\amvo0.dll','');
DeleteFile('C:\WINDXP\system32\amvo0.dll');
DeleteFile('C:\WINDXP\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('F:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=16795[/url]).
Сделайте новые логи.

Установленный на компьютере DrWeb устарел, скачайте новую версию 4.44 с сайта [url]http://download.drweb.com/win[/url] и установите.
[quote]DrWeb выводит сообщение о том, что какой-либо файл (реально не существующий) заражён вирусом Trojan.NtRootKit.565.[/quote]
Еще как существует!

Огромное спасибо !

[b]Worm.Win32.AutoRun.bvz[/b] C:\WINDXP\system32\amvo.exe
[b]Trojan-PSW.Win32.OnLineGames.oti[/b] C:\WINDXP\system32\amvo0.dll

Выполните:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\xn1i9x.com','');
QuarantineFile('C:\Documents and Settings\Александр\Мои документы\ВУЗ\Высшая математика\Вариант билета для М фак-та.doc:Zone.Identifier:$DATA','');
QuarantineFile('C:\Documents and Settings\Александр\Мои документы\Юмор\100 подвигов.doc:KAVICHS:$DATA','');
QuarantineFile('\WINDXP\system32\ntkrnlpa.exe','');
QuarantineFile('\WINDXP\system32\hal.dll','');
DeleteFile('C:\xn1i9x.com');
DeleteFile('D:\xn1i9x.com');
DeleteFile('F:\xn1i9x.com');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
новый карантин опять пришлите

карантин загрузил. спасибо.

[QUOTE=AndreyKa;176501]Установленный на компьютере DrWeb устарел, скачайте новую версию 4.44 с сайта [url]http://download.drweb.com/win[/url] и установите.

Еще как существует![/QUOTE]

странное дело - после произведения описанных действий Opera стала периодически сама собой заходить на сайт [url]http://download.drweb.com/[/url]

C:\Documents and Settings\Александр\Мои документы\ВУЗ\Высшая математика\Вариант билета для М фак-та.doc:Zone.Identifier:$DATA - чистый
C:\Documents and Settings\Александр\Мои документы\Юмор\100 подвигов.doc:KAVICHS:$DATA- чистый
C:\Program Files\MP3 Player Utilities 4.05\DelDrv.exe -чистый
сделайте новый комплект логов ....

выкладываю логи

Какие то жалобы остались?

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/CODE]

[quote]Opera стала периодически сама собой заходить на сайт [url]http://download.drweb.com/[/url][/quote]
Наверное, на [url]http://www.drweb.com/[/url]
Это от того, что ключик пиратский.

огромное спасибо ! проблемы исчезли. жалоб больше нет =)

[QUOTE=Maxim;177495][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/CODE][/QUOTE]

странно... после данных действий (может конечно и не из-за них, но случилось это именно сразу после перезагрузки) в "Мой Компьютер" появилась "Веб-папка" с "Мои веб-узлы MSN" внутри, хотя сам я этим никогда не пользуюсь . . .

От Веб-папок можно избавиться с помощью reg-файла с таким содержанием:
[code]
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum]
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"=dword:00000001[/code]

слышал что этот вирус сам копируется на носители. это значит, что у меня флэшки тоже теперь заражены ?

[QUOTE=лOFFк@4;178057]слышал что этот вирус сам копируется на носители. это значит, что у меня флэшки тоже теперь заражены ?[/QUOTE]
и флешки и все на что можно записаться включая мобольные телефоны фотоаппараты и прочее ...

мда... нехорошая зараза попалась . . .

[size="1"][color="#666686"][B][I]Добавлено через 1 час 18 минут[/I][/B][/color][/size]

т.е., как я понимаю, чтобы полностью излечиться от этой заразы мне теперь надо подсоединять каждый носитель информации и лечить его с вновь зараженной системой ?

зачем так все сложно .... [URL="http://virusinfo.info/showpost.php?p=172531&postcount=1"]отключаем автозапуск флешек [/URL] и проверяем их антивирусом ....

хы... извиняйте... туплю =)

Если пользуетесь онлайн-играми - менять пришло время пароли. Я бы честно говоря сменил бы все, на всякий пожарный.

Нет, не пользуюсь таковыми =)