Троян, зараза.

[Xavok]

NOD32 последней версии нашел Win32/PSW.Agent.NHG. Заражен файл C:\Documents and Settings\LocalService\ftp34.dll., само собой, ничего антивирус сделать с этим не может. Я видел, тут подобные проблемы у людей уже были, помогите и мне, пожалуйста

[Rene-gad]

1.Отключите ПК от сети.
2.Отключите Антивирус.
3.Отключите системное востановление.
4. Пофиксите

Код:

O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\User\svchost.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\User\svchost.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

5. Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\localservice\svchost.exe');
 QuarantineFile('C:\WINDOWS\System32\Drivers\annzbt8q.SYS','');
 QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
 QuarantineFile('C:\Documents and Settings\User\svchost.exe','');
 QuarantineFile('C:\Documents and Settings\User\Application Data\rambler.ru\toolbar\mail.mp3','');
 QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\STP1161.tmp','');
 QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\STP164A.tmp','');
 QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\STP369.tmp','');
 QuarantineFile('C:\System Volume Information\_restore{563B5FAC-5C17-497B-B3E8-40563D797657}\RP256\A0143903.exe','');
 QuarantineFile('C:\System Volume Information\_restore{563B5FAC-5C17-497B-B3E8-40563D797657}\RP260\A0147359.exe','');
 QuarantineFile('C:\WINDOWS\Downloaded Installations\{4F5A2FA8-3155-11D6-A498-00C0CA17CB87}\Data.Cab','');
 QuarantineFile('C:\Documents and Settings\LocalService\ftp34.dll','');
 DeleteFile('C:\Documents and Settings\LocalService\ftp34.dll');
 DeleteFile('C:\WINDOWS\Downloaded Installations\{4F5A2FA8-3155-11D6-A498-00C0CA17CB87}\Data.Cab');
 DeleteFile('C:\System Volume Information\_restore{563B5FAC-5C17-497B-B3E8-40563D797657}\RP260\A0147359.exe');
 DeleteFile('C:\System Volume Information\_restore{563B5FAC-5C17-497B-B3E8-40563D797657}\RP256\A0143903.exe');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\STP369.tmp');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\STP164A.tmp');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\STP1161.tmp');
 DeleteFile('C:\Documents and Settings\User\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
 DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\annzbt8q.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
6. Очистите темп-папки и кэш проводников.
7. Закачайте карантин по красной ссылке вверху темы
8. Повторите логи.

[Xavok]

Огромное спасибо, я выполнил все рекомендации, кроме последних трех, потому что после перезагрузки перестали запускаться exe файлы. Как только пытаюсь запустить, открывается окно "открыть с помощью". Ну и при попытке зайти в "Система" пишет что rundll32.exe не найден. Больше глюков не заметил. Т.к. exe не запускаются, значит, не могу пока проверить, подействовало ли лечение. Повторяю, все пункты сделал как положено.

Добавлено через 16 минут

NOD32 кое-как запустил, вирус никуда не делся, сидит все в том же файле, я бы сделал откат системы, но
exe файлы не запускаются => я не могу зайти в "Систему" (еще и потому что затёр rundll32) => не могу заново включить восстановление системы.
У меня WinXP SP2, если что

[V_Bond]

выполните скрипт ...

Код:

begin
ExecuteRepair(1);
RebootWindows(true);
end.

делайте новые логи ...

[Xavok]

Итак, логи я прикрепил.
Что хотелось бы отметить: при проверке компа NOD32 он писал что ftp34.dll в Documents and Settings заражен, я его тут же удалил и перезагрузил комп, больше когда я проверял Documents and Settings антивирус про трояна в этой папке не заикался вообще.
И главное - раньше мне Нод все время писал что троян найден в оперативной памяти, а теперь этого нет!
Но остался ВСЕГО ОДИН зараженный файл - system32\ftp34.dll
Из всего этого могу сделать вывод, что вирус таки еще жив, но я (с вашей помощью) нанес ему серьезный удар, и теперь он бездействует. Осталось добить

З.Ы. Я немного не допираю, но как тут прислать карантин? Т.е. я знаю, что по красной ссылке, но там нужно в зип архиве, а у меня он в текстовых и конфиг файлах сохраняется... Нужно самому запаковать всю папку Quarantine, я прав?

[V_Bond]

перечитайте приложение 3 правил.... и пришлите карантин ...
в логах чисто ...

[Xavok]

Вот...... решил в архив весь карантин (включая какие-то копии) запихнуть
Спасибо огромное, сейчас всем, кто помогал, плюсы расставлю.
Ну и последний вопрос:
system32\ftp34.dll - это в принципе системный файл? Если нет, я удалю его к черту вместе с недобитым вирусняком.....

З.Ы. С карантином придется чуток подождать - не грузится ваш ФТПшник

[V_Bond]

ftp34.dll нужно удалять ...

[Xavok]

Ухаха, я сейчас проверил, а его уже нет Сам сдох
"Вскрытие показало, что пациент умер от вскрытия"

Еще раз огромное спасибо за помощь!!!

З.Ы. Не знаю, извините, карантин не заливается.....
Когда вставляю путь к файлу Опера делает вид, что "грузит страницу".