Не могу избавиться от завирусованных файлов!

[risla]

NOD стал выдавать сообщения, типа: что файл c:\windows\system32\drivers\services.exe пытается скачать файл заражённый Win32/Statik.

В реультате проверок и поисков было обнаружено, что имеются некие файлы ftp34.dll (аж 3 в разных местах) которые при проверке NODом определяются, как трояноносители и отправляются в карантин. Их можно удалить и вручную. Но после перезагрузки - они на месте.
Помогите, пожалуйста!

[Bratez]

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - (no file)
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\vasilieva\svchost.exe
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\vasilieva\svchost.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKUS\S-1-5-18\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService\svchost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe (User 'Default user')
O4 - Startup: userinit.exe
O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - (no file)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K9YN0DE3\1[1].exe','');
 QuarantineFile('C:\Documents and Settings\vasilieva\svchost.exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
 QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
 QuarantineFile('C:\WINDOWS\system32\ftp34.dll','');
 QuarantineFile('C:\Documents and Settings\vasilieva\Главное меню\Программы\Автозагрузка\userinit.exe','');
 DeleteFile('C:\Documents and Settings\vasilieva\Главное меню\Программы\Автозагрузка\userinit.exe');
 DeleteFile('C:\WINDOWS\system32\ftp34.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
 DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
 DeleteFile('C:\Documents and Settings\vasilieva\svchost.exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K9YN0DE3\1[1].exe');
BC_ImportDeletedList;
BC_DeleteSvc('Schedule');
BC_DeleteSvc('apcsvra32');
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=24394).

Удалите временные файлы IE через "Свойства обозревателя".
Очистите папку C:\WINDOWS\Temp.
Сделайте новые логи.

[risla]

Карантин отправил.
Новые логи прилагаю.
Но загрузка уже идёт нормально и файлы пропали.

[Rene-gad]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('apcsvra');
 QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
 DeleteFile('C:\Program Files\Common Files\System\apcsvra.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.

Повторите лог по стандартному скрипту 2.

[risla]

Повторите лог по стандартному скрипту 2.

Прошу прощения, можно чуточку подробнее.

[Rene-gad]

Прошу прощения, можно чуточку подробнее.

Правила пункт 10

[risla]

Правила пункт 10

Значит я понял верно, но сомневался

[Rene-gad]

Антивирус во время выполнения скрипта нужно вылкючать.
Найдите с помощью АВЗ (правила приложение 2) файл apcsvra.sys и пришлите (правила приложение 3)
Еще один скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('apcsvra.sys','');
 DeleteFile('apcsvra.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.

Карантин закачайте, лог по п.10 повторите.

[Alex_Goodwin]

1[1].exe - not-a-virus:FraudTool.Win32.AntiSpySpider.aq
apcsvra.dll - Trojan.Win32.Pakes.cot,
ftp34.dll - Trojan-Downloader.Win32.Agent.nsx
services.exe, svchost.exe1, svchost.exe, userinit.exe - P2P-Worm.Win32.Socks.ea

VNCHooks.dll - чистый

[risla]

Антивирус во время выполнения скрипта нужно вылкючать.

Выключал

Найдите с помощью АВЗ (правила приложение 2) файл apcsvra.sys и пришлите (правила приложение 3)

Не нашёл его. Поиск выдал: ошибка прямого доступа к файлу. Посмотрел в проводнике - нету.

Карантин закачайте, лог по п.10 повторите.

Скрипт выполнил. Лог прилагаю. Карантин закачиваю.

[Rene-gad]

В логах чисто. Какие проблемы остались?

[risla]

Вроде бы нет Спасибо огромное за решение проблемы!

[Rene-gad]

Систему обновить в ближайшее время необходимо

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Если проблем не наблюдается, то нам было бы интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 16
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\k9yn0de3\\1[1].exe - not-a-virus:FraudTool.Win32.AntiSpySpider.aq (DrWEB: Trojan.Fakealert.745)
  2. c:\\documents and settings\\localservice\\svchost.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
  3. c:\\documents and settings\\vasilieva\\svchost.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
  4. c:\\documents and settings\\vasilieva\\главное меню\\программы\\автозагрузка\\userinit.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
  5. c:\\program files\\common files\\system\\apcsvra.dll - Trojan.Win32.Pakes.cot (DrWEB: Trojan.Inject.302
  6. c:\\windows\\system32\\drivers\\services.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
  7. c:\\windows\\system32\\ftp34.dll - Trojan-Downloader.Win32.Agent.nsx (DrWEB: Trojan.DownLoader.63153)