Trojan Winlock 715

[merkur]

Здравствуйте!
CureIt в безопасном режиме нашел и удалил 2 файла /System32/vtknglg.dll и /Temp/rufmhn.dll заряженных Winlock 715. Банер, вымогающий sms исчез. Смущает, что после этого вирус создал еще в system32 1962 dll-ки размером 128кБ каждая (Microsoft(r) Windows Based Script), которые были удалены при повторном прогоне CureIt. Осталось ли еще что-то?

[Bratez]

Пофиксите в HijackThis:

Код:

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WIN2000\EliteToolBar\EliteToolBar version 60.dll (file missing)
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WIN2000\EliteToolBar\EliteToolBar version 60.dll (file missing)
O4 - .DEFAULT Startup: folder.htt (User 'Default user')
O4 - .DEFAULT User Startup: folder.htt (User 'Default user')
O4 - Startup: folder.htt
O4 - Global Startup: folder.htt

Выполните скрипт в AVZ:

Код:

begin
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Добавлено через 1 минуту

З.Ы. Системка у вас ну просто супер-экзотическая: Win 2000 без сервиспаков!
Лет 8 такого не видел.

[merkur]

Премного благодарен за помощь!