Trojan.Win32.BHO.abo против NOD32

[Full Throttle]

Привет! Нужна помощьСитуация аналогична тем, которые возникли у юзеров из соседних веток.Появилась зараза недели 3 назад, стал глючить эксплорер. Через раз при открытии ссылок кидает на чтото типа_http://201.218.196.152/click.php?c=bb23182b042ef07ad06f4004&r=1или_http://64.111.196.162/click.php?c=4cfcb38903562da2c46f4001&r=1и дико возрос траффик.Поставил НОД32 (до этого ДокторВэб стоял - грил, все путем, все чисто) - он завалил 3 штучки вирей в системных папках, принялся за C:\WINDOWS\system32\dplayk.dll » UPX v12_m2_dll - Win32/BHO.ABO trojanИ сказал, что удалить не получается. Пробовал убить ручками его и ссылки в реестре - не дается. Тоже и в сейфмоде.ТАКЖЕ при модемном соединении, стабильно вылезаетC:\WINDOWS\TEMP\2097796.exe Win32/Wigon.AG trojan;cleaned by deleting - quarantined NT AUTHORITY\SYSTEM ;Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.илиC:\WINDOWS\syst em32\drivers\ip6fw.sys Win32/Rootkit.Agent.DP trojan cleaned by deleting - quarantined(Посменно, троян с руткиком, но НОД32 их обезвреживает).ВОПРОС: че делать? Искать и ставить Касперского или можно своими силами повалить гадину?ПС winXP SP2

[zerocorporated]

Правила выполните, повалим.

[Full Throttle]

Ща сделаем ) Нуб, че попишеш

[Full Throttle]

получилось вроде
virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Bratez]

Отключите восстановление системы!!
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
 QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\yvdovndg.dat','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Jxm17.sys','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\dplayk.dll','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\Jxm17.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\yvdovndg.dat');
 DeleteFile('C:\WINDOWS\system32\ksys.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\system32\dplayk.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите карантин согласно приложению 3 правил.
Пофиксите в HijackThis если останется:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: (no name) - {AD725C75-9317-407F-A8DB-408A07A79BA3} - C:\WINDOWS\system32\dplayk.dll

Повторите логи.

[Full Throttle]

Да! Я убил его! Вот этими руками! Как куклу-пупсика! Как Билл Мюррей из охотников за привидениями! Трепещите вирусописатели , Фулл Троттл идет!
Гхм, извините
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
===
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
O2 - BHO: (no name) - {AD725C75-9317-407F-A8DB-408A07A79BA3} - C:\WINDOWS\system32\dplayk.dll
===
Первого не было, второй слился без писка

[V_Bond]

выполните скрипт ...

Код:

begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');    
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[Bratez]

Лечение прошло успешно. Осталось "пыльцу смахнуть".
Выполните скрипт:

Код:

begin
 DelBHO('{44627E97-789B-40d4-B5C2-58BD171129A1}');
 DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
 DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
end.

Посмотрите, нужно ли вам что-то из этого:

Код:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Лишнее отключим.

Добавлено через 2 минуты

Для справки:
В карантине обнаружены экземпляры
Trojan-Spy.Win32.Zbot.dy и Rootkit.Win32.Agent.ql

[Full Throttle]

Карантин ушуршал, пыльца сдута
Все 8 пунктов не нужны

[drongo]

вашу бы энергию на поднятие нашей оценки - > жать на 5 всегда http://www.eaward.ru/listprojs.php?w...at=1&proj=2038
Дабы отключить, выполнить скрипт:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox это позволяeт делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

[Full Throttle]

Спасибо тебе, мил человек из израиля. Дай бог тебе жену-стюардессу.
Пятерку поставил при регистрации )

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 32
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\drivers\\yvdovndg.dat - Rootkit.Win32.Agent.tw (DrWEB: Trojan.NtRootKit.511)
  2. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.adj (DrWEB: Trojan.Proxy.2486)