trojan.nsanti.packet

**Bars** · 20.12.2007, 11:26

Доброго времени суток!
Беда началась вчера. SpiDerGuard клялся и божился каждую минуту, что в папке C:\Documents and Settings\\Local Settings\Temp\ *.dll заражен trojan.nsanti.packet - но успешно вылечен. Потом в настройках я изменил лечить на удалить. Это не помогло.
Обнаружил что настройки показывать скрытые файлы сбрасываются. Отключил восстановление системы. Перезагрузка в безопасном режиме ни к чему не привела. Папку System Volume Information не только не удаляет, но и не входит. Пишет "нет доступа уже используется". В корне С:\ файлы hiberfil.sys и pagefile.sys тоже нельзя открыть для просмотра, пишет, что используется.
Dr WEB удалил и поставил AVAST, но он ничего не нашел и при проверке в досе. Вернул на место "дохтура".

помогите. На компьютере установлен акад лиценз, а с его перегистрацией ужасная конитель.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Макcим** · 20.12.2007, 12:03

Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
 DelBHO('{259F616C-A300-44F5-B04A-ED001A26C85C}');
 QuarantineFile('C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe','');
 QuarantineFile('C:\WINDOWS\system32\b4fm.dll','');
 DeleteFile('C:\WINDOWS\system32\b4fm.dll');
 ExecuteRepair(6);
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Загрузите карантин по этой ссылке. Повторите логи.

**Bars** · 20.12.2007, 13:39

скрипт выполнен, система перезагрузилась.
Дохтур молчит, но пока боязно-открывать папки, например System Volume Information, вдруг что открою не того.

ps когда выполнял скрипт доктора отключил. Щас идет проверка

**Bars** · 20.12.2007, 16:18

новые логи

скрытые так и не показывает

**V_Bond** · 20.12.2007, 16:28

отключите антивирус(похоже что не отключили) .... повторите скрипт ... сделайте новые логи ...

Добавлено через 4 минуты

попробуйте выполнить еще такой скрипт ...

Код:

begin
DelCLSID('1C311AAA-D8B1-4A0A-BEE5-2387FEC583DA');
DeleteFile('C:\WINDOWS\system32\b4fm.dll');
BC_ImportDeletedList;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteSysClean;
RebootWindows(true);
end.

**Bars** · 20.12.2007, 17:31

все программы в трее выключил. дохтура выгрузил. первый скрипт - перезагрузка
выгрузить не забыл . второй скрипт - перезагрузка
выгрузить не забыл 1 шаг AVZ
перезагрузка . выгрузить не забыл 2 шаг
3 шаг
вроде все сделал правильно.

вот свежий лог.

**V_Bond** · 20.12.2007, 17:37

не видно ничего зловредного ... какие проблемы остались ?

**Bars** · 20.12.2007, 17:53

Хвала Хелперам !!!
да прибудет с вами сила ctrl и мощь alt
да выпью я за вас delit!!!!

спасибо огромное.

PS рядом стоит такой же комп. как отдышусь буду сюда логи кидать с вашего позволения.

**Макcим** · 20.12.2007, 17:58

Сообщение от Bars

PS рядом стоит такой же комп. как отдышусь буду сюда логи кидать с вашего позволения.

Только не сюда, а в новую тему.

**drongo** · 20.12.2007, 18:01

не забудьте нажимать на 5 http://www.eaward.ru/listprojs.php?w...at=1&proj=2038
Посмотрите что из этого надо , я у себя всё закрыл

Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox это позволяют делать в отличии от IE 7 ,6....maxthon ... )
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru