Troyan.Nudos

[Tree]

Добрый вечер!
Очень сильно тормозит компьютер, пропала связь с интернетом.
AVZ выделяет этот файл
C:\WINDOWS\system32\1037x.exe

Логи приложены.

[V_Bond]

выполните скрипт .....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('NdisWon', 4);
 SetServiceStart('Kce28', 4);
 SetServiceStart('Kpu73', 4);
 SetServiceStart('BrowserRasAuto', 4);
 QuarantineFile('Kce28.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Kpu73.sys','');
 QuarantineFile('C:\WINDOWS\system32\1037x.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
 QuarantineFile('NdisWon.sys','');
  DeleteFile('C:\WINDOWS\system32\1037x.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Kpu73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Kce28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\NdisWon.sys');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
 BC_DeleteSvc('Kce28');
 BC_DeleteSvc('Kpu73');
 BC_DeleteSvc('NdisWon');
 BC_DeleteSvc('BrowserRasAuto');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ......

вы "руками " удаляли DrWeb -поэтому и пропал интернет ...
http://www.tksinc.us/downloads/WinsockXPFix.exe - восстановит интернет .... только сетевые настройки придется вводить заново ... (лучше предварительно записать) ....

[Tree]

Карантин прислал, интернет восстановился.

Файл сохранён как
080128_163313_virus_479e582947a77.zipРазмер файла23728MD5773f22fcf257742031f3408aa4120da6

[Bratez]

Сделайте новые логи для контроля.

[Tree]

Сделал логи.

[Bratez]

Все в порядке. Осталось пофиксить в HijackThis:

Код:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: csfdll - C:\WINDOWS\
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\

и отключить все что вам не нужно из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

[Tree]

В HijackThis пофиксил.
Машина подключена кроссированным проводом к другому компьютеру, через который выходит в интернет, и файлы бывает копируются с одного на другой. Не знаю, что из списка служб для этого нужно, а что нет.

[V_Bond]

выполните скрипт ...

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

[Tree]

Скрипт выполнил, компьютер себя чувствует хорошо.
Это всё?

[V_Bond]

да ...

[Tree]

Огромное спасибо вам за вашу помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\1037x.exe - Trojan.Win32.Agent.dvc (DrWEB: Trojan.Spambot.2385)