W32.Spybot.Worm

[zanoza]

Здравствуйте проблемка такая:
При каждом включении компьютера выскакивает такое:

После определенного времени работы на компьютере выскакивает это:

И перестает работать интернет, точнее все программы связанные с интернетом - это ася, агент, мозила, но сам интернет подключен и отключить я его не могу. Приходится перезагружать комп.

Диагностику компьютера сделала.
п. 8 не до делался до конца и компьютер автоматически пошел на перезагрузку.
остальные файлы вкладываю.
А вот файл hijackthis почему то не хочет прикрепляться.... Странно раньше то я прикрепляла файлы такого типа. Я его за архивировала и прикрепила, т.к. только так получилось прикрепить к темке его.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\rundll32.exe','');
 QuarantineFile('c:\windows\system32\nvsvc86.exe','');
 QuarantineFile('c:\windows\system32\mdm.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите карантин согласно приложению 3 правил

Добавлено через 3 минуты

Затем выполните такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('c:\windows\system32\mdm.exe');
 DeleteFile('c:\windows\system32\nvsvc86.exe');
 DeleteFile('c:\windows\rundll32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

и сделайте новые логи.

[zanoza]

Все сделала.

Результат загрузки

Файл сохранён как071031_063217_virus_472867c184db7.zipРазмер файла125947MD5e0d1c3679c62c950c00343ce3e3fd45dФайл закачан, спасибо!

Логи опять все сделать не смогла на пункте 8 комп пошел на перезагрузку.
Остальные 2 прикладываю

[Bratez]

Все трое - Trojan.Win32.StartPage, успешно удалены.
Но вот невозможность сделать лог syscure - это плохо.
Сделайте в безопасном режиме дополнительный лог:
http://virusinfo.info/showthread.php?t=10387

[zanoza]

Опять выскакивает это:

И приходится перезагружать комп.
Вкладываю дополнительный лог.
кстати когда делала 1 пункт из темы http://virusinfo.info/showthread.php?t=10387
Он мне выдал: проверка не производится т.к. не установлен драйвер мониторинга AVZPM

[Bratez]

Ничего нового в дополнительном логе не увидел, однако двое из успешно удаленных опять на месте! Скорее всего они проникают к вам через какую-то уязвимость в вашей системе, коих у вас предостаточно, потому что:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Сообщение об ошибке Generic Host Process - тому подтверждение.
Нужно установить SP2 + последующие обновления, иначе лечиться можно до бесконечности.
Удалить "тараканов" можно повторением второго скрипта из сообщения #2.

Добавлено через 2 минуты

Кроме вышесказанного, надо отключить все что вам не нужно из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба Messenger (Служба сообщений)
>> разрешена потенциально опасная служба Alerter (Оповещатель)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

[zanoza]

Т.е. это переустановка Виндоуса будет? или просто обновление?
Это своими руками моно сделать?

А где мне отключать все эти функции?

[V_Bond]

установка СП2 - это обновление .... но учтите ,что ваш крек на сп2 работать не будет ... потребуется повторная активация ...
если компьютер домашний ... то можно закрыть практически все ...
этим скриптом...

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

[zanoza]

Спасибо. все поняла.
Буду пытаться как можно быстрее обновить Винду...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\rundll32.exe - Trojan.Win32.Articles.e (DrWEB: Trojan.PWS.Wow.637)
  2. c:\\windows\\system32\\mdm.exe - Trojan.Win32.Articles.e (DrWEB: Trojan.PWS.Wow.637)
  3. c:\\windows\\system32\\nvsvc86.exe - Trojan.Win32.StartPage.ath (DrWEB: BackDoor.IRC.Sdbot.1631)