Трояны... Win32/Nidis.J

[Tori]

На машине ругнулся NIS, но после сканирования ничего не нашел...
поставил NOD32 он обнаружил "Win32/Nidis.J" он есть в базах NOD32 с 22го числа... но вылечить по прежнему не получается.

по инструкции прогнал на машине свежий CureIt, он убил несколько файлов (лог не сохранился) после чего на машине отрубился инет

на машине во время работы AVZ появлялось окно с текстом что "процесс \system32\services.exe неожиданно завершен в следствии чего система будет перезагружена"... и предлагалось 60 секунд на сохранение всего открытого.

прилагаю результаты работы AVZ и HijackThis
подскажите как вылечить комп.

[PavelA]

Не тот лог. Нужен virusinfo_syscure

[Bratez]

1. Во избежание глюков и тормозов удалите один из антивирусов.
2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\lxnhe873ejkd.dll','');
 QuarantineFile('C:\WINDOWS\csrss.exe','');
 QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\svchots.exe','');
 QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\7074.exe','');
 QuarantineFile('C:\WINDOWS\system32\windev-6e50-49e0.sys','');
 DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\7074.exe');
 DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\svchots.exe');
 DeleteFile('C:\WINDOWS\csrss.exe');
 DeleteFile('C:\WINDOWS\system32\lxnhe873ejkd.dll');
 BC_ImportDeletedList;
 BC_DeleteSvc('windev-6e50-49e0');
 BC_DeleteFile('C:\WINDOWS\system32\windev-6e50-49e0.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
3. Пришлите карантин согласно приложению 3 правил.
4. Сделайте новые логи.

[PavelA]

@Bratez Добавь строчку для создания лога. Прощее будет разбираться.

[Bratez]

Да ладно, в новых логах результат удаления сразу будет виден,
а карантин здесь только для вирлаба - вдруг новые модификации...

[Tori]

Скрипт выполнил, в этот раз лог syscure сохранился (до этого машина перегружалась)
в архив карантина сам троян похоже не добавился... странно...

инет на машине не работает... (перестал после прохода по ней CureIt)

спасибо откликнувшимся!

[Макcим]

Восстановите интернет с помощью WinSockFix и повторите логи.

[PavelA]

Хорошо если есть машина с Инетом Это я насчет Winsockfix.

[Bratez]

Не сразу обнаружил, что вы логи заменили в первом посте...
Теперь практически чисто, осталось вымести "мелкий мусор".

1. Поищите файл C:\WINDOWS\services.exe, вдруг найдется - пришлите по правилам.
2. Выполните скрипт в AVZ:

Код:

begin
BC_DeleteSvc('A-Load');
BC_DeleteFile('C:\WINDOWS\services.exe');
BC_Activate;
Rebootwindows(true);
end.

3. Пофиксите в HijackThis:

Код:

O2 - BHO: C:\WINDOWS\system32\lxnhe873ejkd.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\lxnhe873ejkd.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)

4. См. п.1 из сообщения #3!
5. Сделайте новые логи, начиная с п.10 правил.
6. Как дела с интернетом, Winsockfix помог?

[Tori]

PavelA Хорошо что в офисе не один комп подключен к интернету :-)
Bratez Winsockfix это уже в "аптечке" хранится, но он вчера не помог... инет не восстановился...
сейчас выполню скрипты и попробую ещё раз таблетку Winsockfix
------------
выполнил.
логи прилогаются
services.exe залит в вирусы
Winsockfix ещё раз выполнен, инет не появился
как можно отремонтировать?

[Tori]

война закончилась перестановкой винды.
послествия борьбы были забавными- винда не хотела верить что на компе есть сетевая карта.
свежеобновлённый нортон интернет секьюрити ничего не нашел...
хочется верить что зверей нет...

спасибо всем кто помогал в изгнании зверей.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\копия 1.exe - Trojan-Mailfinder.Win32.Delf.n (DrWEB: Trojan.EmailSpy)