вирус пробрался в системные сервисы

[Игорь Т.]

Помогите пожалуйста!
Схватил и я такой троян, имя которому: TR/Crypt.XPACK.Gen. Симптомы те же как и описаны в теле форума: http://virusinfo.info/showthread.php?t=15517Т.е. после загрузки через какое-то время Avira AntiVir определяет его, постоянно меняя численные значения имени (так как предыдущие мы удаляли антивирусом), но все так же в Temp образовывает exe-файл.
Только, порой выскачит такое сообщение при удалении антивирусом сразу следом "Generic Host Process for Win32 Services - обнаружена ошибка" или "IEXPLORE.EXE- обнаружена ошибка".
Далее бился с обновлениями антивира, все не скачивалось, рвалось соединение, затем поменял на другой Dr. Web. Провел диагностику, все как у вас написано!
Какие только не находил антивирус вирусы и BackDoor.Bulknet.134 и Trojan.NtRootKit.360 и Trojan.DownLoader.39204 - эти вирусы найдены в последний раз и так как не удалось вылечить были удалены! А до этого антивирус Dr. Web находило и Trojan.Runas и Trojan.Click.4756 и VBS.Generic.558 и Trojan.DownLoader.43004 и BackDoor.Bulknet.122, 127, 128. Но вот в последний раз они не определилсь, значит Dr. Web c ними справился! Один раз Dr. Web маякнул про зараженность системного файла svchost.sys, пробовал вылечить не удалось, удалился и после этого пришлось восстанавливать систему, восстановил через CD, все старые настройки восстановились!
До последней диагностики постоянно антивирус Dr. Web выдавал сообщение о вирусе Trojan.DownLoader.39204, допустим когда выхожу из интернета, нажимаю вылечить, вылечивает и сразу сообщение "Generic Host Process for Win32 Services - обнаружена ошибка". Видимо в системные сервисы вирусы пробрались!
Пожалуйста, помогите, очиститься от этих вирусов, так как до этого три года и знать не знал про них, а тут бац и началось! Эх, интернет. интернет, ведь про приемники читал на каком-то сайте и понеслось... А так до этого всегда одними и теми же проверенными сайтами пользовался, а тут сунулся почитать и нарвался!
Жду от Вас помощи!

[Bratez]

Пофиксите в HijackThis:

Код:

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O16 - DPF: {33331111-1131-1111-1111-611111193428} -

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
 QuarantineFile('c:\windows\system32\vhosts.exe','');
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 QuarantineFile('C:\WINDOWS\PIC.DLL','');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteFile('c:\windows\system32\vhosts.exe');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_ImportALL;
BC_DeleteSvc('msupdate');
BC_DeleteSvc('smtpdrv');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=17231).
Сделайте новые логи.

[Игорь Т.]

Все так как написали сделал! Единственное когда просите карантиновый файл поставил галочки и архивировал там где занчится слово Карантин, а нижние три не внес в архив (те что с раширением .dta - скопированные в МП (причина карантина)). Или их тоже надо было в архив внести (то есть поставить галочки везде справа)?
Вот новые log.

[Bratez]

Карантин пришлите весь.

Посмотрите, нужно ли вам что-либо из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Лишнее отключим.

[Игорь Т.]

Добрый день!
Полный карантин от AVZ загрузил сегодня! Файл таков: 080201_094418_virus_47a33e524fd63.zipРазмер файла147469MD5e83228243596f829e57ba482b568f53c
Насчет лишнее отключим, честно не знаю нужны или не тнужны все вами перечисленные действия (файлы)! Понятно что от анонимного наверное доступ явно не нужен,а вот остальные не так хорошо знаю и оценить степень нужности мне трудно!
Посоветуйте пожалуйста дальнейшие действия!

[Bratez]

Понятно что от анонимного наверное доступ явно не нужен,а вот остальные не так хорошо знаю

Явно не нужно как раз все остальное. Анонимный доступ нужен, если у вас есть локалка с использованием общего доступа к файлам и принтерам. В этом случае уберите из скрипта первую строчку после begin.
Вот скрипт:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

(автозапуск CD оставил).

В логах больше ничего подозрительного.
Какие-то проблемы остались?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 19
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\svchost.exe - Trojan-PSW.Win32.LdPinch.flv (DrWEB: Trojan.Inject.672)
  2. c:\\windows\\system32\\vhosts.exe - Backdoor.Win32.Kbot.bl (DrWEB: BackDoor.Dax)