Обнаруживается файл Lich

каждый раз при загрузке компа появляется сообщение антивируса о файле lich.exe и lich.sys потом начинают заражаться драйвера вирусом Trojan.Win32.Small.ut
многие программы не запускаются пишет что ошибка
помогите

выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\lich.exe','');
DeleteFile('D:\lich.exe');
BC_ImportDeletedList;
BC_DeleteSvc('ZZZsvc_lich');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....

отправил карантин
он должен появится?

D:\lich.exe [B]Trojan-PSW.Wim32.Agent.us[/B]
поищите через AVZ - setup.exe .... если найдется пришлите по правилам ...

нашел 108 штук!!!

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

я правильно понял все файлы с именем setup.exe?

да ... пришлите по правилам ... тех что как вы считаете лежат не на своих местах .... (т.е кроме заведомо известных - например инсталяторов программ) ...

По окончании лечения смените все пароли

отправил

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

а что мне делать с зараженными драйверами?

сделайте лог [url]http://virusinfo.info/showthread.php?t=10387[/url]

В безопасном режиме?

да

Безопасный режим не запускается

выполние скрипт ...
[code]
begin
ExecuteRepair(1);
ExecuteRepair(10);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code]
а так ?

отправил протокол по результатам в обычном режиме

нужен лог в безопасном ....
и не отправить .... а прикрепить к сообщению ...

не запускается
черный экран с мерцающим нижним пробелом

скрипт из сообщения 13 выполнен ?

да

сделайте новый комплект логов ...

уф сделал

Восстановление системы: включено /отключить ...
диски нормально открываются ?

отключил
диски нормально открываются

выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_DeleteSvc('lich');
BC_Activate;
RebootWindows(true);
end.
[/code]
выполните это [url]http://virusinfo.info/showthread.php?t=8877[/url]

Сделал

повторите логи ....
какие проблемы остались ?

Логи повторил

вроде последние пролемы исчезли
вопрос а почему при запуске скрипта красным цветом пишется про перехватчики?

еще такой момент
у меня регулярно какая-то прога сьедает около 7 метров трафика не пому понять какая
и почему-то все офисные программы лезут в инет за обновлениями

в логах чисто ...
перехваты у вас от антивируса и фаервола - это нормально ...
что офис хочет обновиться тоже нормально ....
остается разобраться с этим
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

а как разобраться

что вы используете ... ? остальное поможем отключить ....

фаервол Zone Labs
антивирус Касперского 6,0

вы не поняли ...
компьтер домашний\рабочий?
локальная сеть есть ?

комп рабочий в сетке 2 машины + инет ADSL
через свитч
инет только на этой машине

причем на 2 машине 98винда

если не пользуетесь теменальным режимом ....
то такой скрипт ....
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]

что такое теменальный режим

если задаете такой вопрос значит точно не используете ;)

Сделал
только теперь у меня IE всегда будет спрашивать "Страница содержит потенциально опасный изъян"?...

это повышает ваши шансы не заразиться .... и вообще лучше перейти на альтернативные браузеры ... опера , горящий лис ... намного безопаснее ...

V_Bond громадное Вам спасибо!

маленькая подковырка осталась регулярно в ворде пропадают полосы прокрутки может это быть связано с вирусами?

скорее проблема в настройках Word ....

после лечения пытаюсь зайти на сайт захожу но дальше пишет следующее


[B]Warning[/B]: main(script1.php) [[URL="http://www.autocat.ru/catalog/function.main"][COLOR=#800080]function.main[/COLOR][/URL]]: failed to open stream: No such file or directory in [B]/var/www/vhosts/autocat.ru/httpdocs/template.php[/B] on line [B]6[/B]

[B]Warning[/B]: main() [[URL="http://www.autocat.ru/catalog/function.include"][COLOR=#800080]function.include[/COLOR][/URL]]: Failed opening 'script1.php' for inclusion (include_path='\') in [B]/var/www/vhosts/autocat.ru/httpdocs/template.php[/B] on line [B]6[/B]