p423ck.exe, lsass_dll[1].exe, system101.#ll, boy.exe, AUHook.dll

[Rogoff]

Проверка др вебом дала следующий результат:

trojan.pws.ldpinch.2526 - p423ck.exe
trojan.pws.ldpinch.2526 - lsass_dll[1].exe
worm.sifiliz - ormis[1].htm
trojan.spyblock - system101.#ll
backdoor.huai.576 - boy.exe
win32.HLLM.Reset - AUHook.dll

Логи прилагаются:

[Bratez]

Пофиксите в HijackThis:

Код:

O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\system32\mswapi.dll (file missing)
O4 - HKCU\..\Run: [lich] C:\lich.exe

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\lich.exe','');
 QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
 QuarantineFile('C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe','');
 DeleteFile('C:\WINDOWS\system32\mswapi.dll');
DeleteFile('C:\lich.exe');
 DelBHO('{e3a729da-eabc-df50-1842-dfd682644311}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи, начиная с п.10 правил.

[PavelA]

Пароли все (почта,сайты, кошельки, аська) придется менять, скорее всего они ушли на сторону.

[Rogoff]

Карантин закачал:

Файл сохранён как 080110_231705_virus_4786fbd1d2263.zip
Размер файла 210489
MD5 127b664dd1aed05c0b2f78a504576ea7

Да, не обнаружилась строка в логе HijackThis:
O4 - HKCU\..\Run: [lich] C:\lich.exe
Еще подозрительны вот эти неизвестные параметры:
O17 - HKLM\..\Tcpip\Parameters: NameServer = 89.108.89.184
O17 - HKLM\..\Tcpip\Parameters: NameServer = 89.108.89.184
O17 - HKLM\..\Tcpip\Parameters: NameServer = 89.108.89.184

откуда они взялись?

Логи прилагаю:

[V_Bond]

это
O17 - HKLM\..\Tcpip\Parameters: NameServer = 89.108.89.184
как я понимаю ваш провайдер ....

Код:

role: AGAVA NOC
address: AGAVA JSC
address: Oruzheiniy per., 25/1, office 8
address: 125047 Moscow
address: Russia
phone: +7 495 4081790
phone: +7 495 4086755
fax-no: +7 495 4081790

C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe - чистый
что из этого не нужно ...

Код:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

в логах чисто ....

[Rogoff]

я могу точно сказать что это не наш провайдер тем более этот комп ходит в инет через шлюз на другом компе, который указан тут:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 169.254.20.172:80 и физически находится в Иркутске

попробую учетную запись сделать админской и проверить настройки tcp/ip видно они закреплены под этой учетной записью и под админом не меняются...

теперь по службам: в принципе ни одна не нужна
по безопасности: главное чтобы комп работал в сети (на нем есть общая папка)

[V_Bond]

выполните скрипт ...

Код:

begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.

[Rogoff]

скрипт выполнил, так что делать с
O17 - HKLM\..\Tcpip\Parameters: NameServer = 89.108.89.184?

изменил учетную запись на админа, но в настройках tcp/ip 89.108.89.184 не было...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 7
• В ходе лечения вредоносные программы в карантинах не обнаружены