Трояны в системе

Добрый день! В последние 2 недели атакуют троянские программы. "Побывал" у меня и Malware Doctor, и System Security 2009, вроде все поубивалось Др. Вэбом, но время от времени зараженные файлы продолжают обнаруживаться в реальном времени. Др. Вэб находит Trojan.MulDrop.31860; Trojan Fakealert.4333; Trojan Fakealert.4380; Trojan.Download.33781. Утилита AVP в безопасном режиме нашла Backdoor.win32.NewRest; FraudTool.win32.MalwareDoctor; Trojan.win32.Agent.bzzx. Все вроде поудалялось. Я не спец в этом, но стараюсь :)Логи прилагаю, помогите пож-ста, понять, осталось что-то вредоносное на компе или нет. Спасибо.

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{aff01325-0fc2-4749-8914-fbf0565ad9cc}');
QuarantineFile('jbnmcd.dll','');
QuarantineFile('digiwet.dll','');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('ksi32sk');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atikmdag.sys','');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('appmgmtalg');
QuarantineFile('C:\WINDOWS\system32\Setupj.exe','');
DeleteService('MSDTCNetlogon');
QuarantineFile('C:\WINDOWS\system32\wpv041235998315.cpx srv','');
QuarantineFile('C:\WINDOWS\System32\avast!Antivirus.exe','');
DeleteService('avast!antivirus');
DeleteFile('C:\WINDOWS\System32\avast!Antivirus.exe');
DeleteFile('C:\WINDOWS\system32\wpv041235998315.cpx srv');
DeleteFile('C:\WINDOWS\system32\Setupj.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\atikmdag.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('digiwet.dll');
DeleteFile('jbnmcd.dll');
BC_ImportDeletedList;
ExecuteRepair(9);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

А карантин из каких файлов должен состоять? что именно прислать?

Скрипт я выполнила, вот свежие логи.

выполните [url]http://virusinfo.info/showthread.php?t=43700[/url]

Отправила карантин, надеюсь, пришло все:)

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

[URL]http://virusinfo.info/showthread.php?t=43700[/URL] Вот это в реестре выполнила

Повторите логи.

Вот и новые логи. ПС: А восстановление системы так и должно быть отключено? Или обратно включить?

[QUOTE=К_э_т;413290]ПС: А восстановление системы так и должно быть отключено? Или обратно включить?[/QUOTE]
Можете включить.

Ничего плохого в логах? т.е. можно считать, комп здоров? А подскажите, включать обратно Восстановление системы или нет: И еще: AVZ красным цветом выделяет, что у меня разрешен автозапуск со съемных носителей и это опасно, лучше отключить - и как это сделать?

Я сейчас посмотрела логи, а там оказывается не все чисто.

[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msvidctl.dll','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\blocker.exe','');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\blocker.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=47312[/url]

3. Повторите лог [B]virusinfo_syscheck.[/B]

Выполнила скрипт. Насчет карантина: у меня папка "Просмотр карантина" за сегодняшнее число (после выполнения скрипта) - пустая. Новый лог прилагаю.

Приведите Ваш файл WINDOWS\system32\drivers\etc\hosts в соответстие с образцом отсюда: [url]http://saule.sporaw.ru/library/hosts.html[/url]

У меня в этом файле написано следующее: 127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy.

А потом следует огромное количество названий сайтов, по-видимому, вредоносных, судя по их названиям. Чтобы у меня были там заблокированы сайты типа Касперского или Др.Вэба, я не заметила. Что со всем этим делать?

[QUOTE=К_э_т;414116]Что со всем этим делать?[/QUOTE]Я ж Вам сказал - удалить. И Spybot Search and Destroy - туда же.

1. Выполните скрипт:

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\msvidctl.dll','');
ClearHostsFile;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]

2. Пришлите содержимое карантина согласно правилам по ссылке [url]http://virusinfo.info/upload_virus.php?tid=47312[/url]
3. Повторите логи AVZ.

[QUOTE=Rene-gad;414211]Spybot Search and Destroy - туда же.[/QUOTE]

Простите, если я где-то чего-то недопонимаю, Spybot Search and Destroy - и саму программу тоже удалить с компа?

Да, деинсталлируйте ее.

[QUOTE=Aleksandra;414231]1. Выполните скрипт:[/QUOTE]

Скрипт выполнила.
[QUOTE=Aleksandra;414231]
2. Пришлите содержимое карантина согласно правилам по ссылке [URL]http://virusinfo.info/upload_virus.php?tid=47312[/URL][/QUOTE]

тут опять что-то не то: папка карантина пустая... Открываю Файл -- Просмотр карантина, там стоит сегодняшнее число, но раздел пустой((

[QUOTE=Aleksandra;414231]3. Повторите логи AVZ.[/QUOTE]

Логи повторила.

Насчет Spybot'а поняла, сейчас тогда деинсталлирую.

А где карантин?

[QUOTE=Rene-gad;414072]Приведите Ваш файл WINDOWS\system32\drivers\etc\hosts в соответстие с образцом отсюда: [URL]http://saule.sporaw.ru/library/hosts.html[/URL][/QUOTE]


Я попыталась удалить все, что после "127.0.0.1 localhost", потом нажала на Сохранить, - компьютер пишет: "Ошибка в пути файла" или что-то вроде.

Открывала я оригинальный файл Hosts в формате txt. Как же мне сохранить изменения, в каком формате? Сохранила на всякий случай файл Hosts.txt (с изменениями), но оригинальный есс-но остался с тем же содержимым, что и до удаления всех этих сайтов.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Aleksandra;414295]А где карантин?[/QUOTE]

Не знаю:( Открываю сейчас Файл -- Просмотр карантина, а там за сегодняшнее число ничего нет, пусто. Наверное, я что-то не так делаю, хотя в первый раз все получилось, открыла и прислала карантин, как просили))

Поищите C:\WINDOWS\system32\msvidctl.dll как написано здесь [url]http://virusinfo.info/showthread.php?t=4567[/url]

[QUOTE=Aleksandra;414313]Поищите C:\WINDOWS\system32\msvidctl.dll как написано здесь [URL]http://virusinfo.info/showthread.php?t=4567[/URL][/QUOTE]

Находит только это: C:\WINDOWS\$NtServicePackUninstall$\msvidctl.dll

Делаю все, как в примере (отмечаю галкой и копирую файлы в карантин), захожу потом в Просмотр карантина - там опять ничего:(

[QUOTE=К_э_т;414308] Сохранила на всякий случай файл Hosts.txt [/QUOTE]ОК, сохраните его как txt, потом переименуйте ОРИГИНАЛЬНЫЙ [I]hosts[/I] в [I]hosts.old[/I], а потом переименуйте [I]hosts.txt[/I] в [I]hosts[/I] БЕЗ РАСШИРЕНИЯ

[QUOTE=Rene-gad;414498]ОК, сохраните его как txt, потом переименуйте ОРИГИНАЛЬНЫЙ [I]hosts[/I] в [I]hosts.old[/I], а потом переименуйте [I]hosts.txt[/I] в [I]hosts[/I] БЕЗ РАСШИРЕНИЯ[/QUOTE]

Спасибо за подсказку, всё так и сделала. А файл Hosts.old оставить на компьютере или удалить?

[QUOTE=К_э_т;414582]А файл Hosts.old оставить на компьютере или удалить?[/QUOTE]Как Вам угодно

Очистите временные файлы, кеш браузера, сделайте полную проверку компьютера с помощью [URL="http://downloads.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL] и повторите логи...

Уезжала из города. В течение пары дней обязательно проверю AVP Tool-ом и вышлю новые логи. Спасибо, что помогаете :-)

[QUOTE=Aleksandra;415450]Очистите временные файлы, кеш браузера, сделайте полную проверку компьютера с помощью [URL="http://downloads.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL] и повторите логи...[/QUOTE]

Проверила. AVP Tool ничего не нашел. Высылаю новые логи.

Жалобы есть? Важные обновления все установлены?
Почитайте на досуге:
- [url]http://virusinfo.info/showthread.php?t=30339[/url]
- [url]http://security-advisory.ru/[/url]

Ничего зловредного в логах нет. Были подозрения, что в логах не все чисто. Извините за то, что немного пришлось Вас помучить. :)

[QUOTE=Rene-gad;418719]Жалобы есть?[/QUOTE]

Жалоб нет, к счастью! Но хочется узнать, как с помощью AVZ можно отключить автозапуск со сменных носителей. Если это действительно так необходимо. П.С. На досуге почитаю, спасибо!

[QUOTE=Aleksandra;418801]Ничего зловредного в логах нет. [/QUOTE]

Это здорово, раз ничего нет. Спасибо!

[QUOTE=К_э_т;419638]хочется узнать, как с помощью AVZ можно отключить автозапуск со сменных носителей. [/QUOTE]АВЗ/Файл/Мастер поиска и устранения проблем. Системные проблемы/Все проблемы. Нажимаем Пуск, отмечаем нужное, запускаем...
[QUOTE=К_э_т;419638] Это здорово, раз ничего нет. [/QUOTE]Надеемся, что Вам понятна [I]нетождественность[/I] понятий
[QUOTE]Ничего зловредного в логах нет.[/QUOTE]
и
[QUOTE]Ничего зловредного нет.[/QUOTE]8)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]