Опять проблема с svchost.exe и обновлением

[Рамис_nv]

virusinfo_syscure.zipvirusinfo_syscheck.zipvirusinfo_syscure.zipУ меня мой антивир Nod 32 обнаружил такой троян :

1) Файл C:\Documents and Settings\Ram!s\Local Settings\Temporary Internet Files\Content.IE5\ITBXHJ6I\help[1].exe инфицирован троян Win32/PSW.OnLineGames.NLI. Файл может быть удален. Рекомендуется сделать копии любых критических данных перед продолжением.

C:\Documents and Settings\Ram!s\Local Settings\Temporary Internet Files\Content.IE5\ITBXHJ6I\help[1].exe

Win32/PSW.OnLineGames.NLI троян

удалить его не может.

2) и еще постояно ругается что заражен svchost.exe.

3) И еще не могу обновить AVZ, скачал новую версию, и когда обновляю выскакивает:

"Ошибка в ходе автоматического обновления-Ошибка загрузки файла с описанием обновления avzupd.zip с http://z-oleg.com/secur/avz-up/[21,0000ZEFD]

virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[ser208]

1. Что-то не удается обнаружить, каким образом заражен svchost.exe.

2. В AVZ меню Файл -- Выполнить скрипт. Скопируй код и нажми "Запустить".

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

BC_DeleteFile('C:\Documents and Settings\Ram!s\Local Settings\Temp\~DFE7B.tmp');

BC_DeleteFile('C:\Documents and Settings\Ram!s\Local Settings\Temporary Internet Files\Content.IE5\ITBXHJ6I\help[1].exe');

BC_Activate;

RebootWindows(true);

end.

3. После того, как система перезагрузится при отключенном браузере запусти

http://www.atribune.org/public-beta/ATF-Cleaner.exe

расставь галочки и почисти временные файлы. Перегрузись.

4. Если хочешь отключить потенциально опасные службы, то в AVZ перейди меню Файл--Выполнить скрипт.

Скопируй код и нажми "Запустить".

begin

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);

SetServiceStart('RDSessMgr', 4);

SetServiceStart('mnmsrvc', 4);

SetServiceStart('Schedule', 4);

SetServiceStart('SSDPSRV', 4);

SetServiceStart('TermService', 4);

SetServiceStart('RemoteRegistry', 4);

end.

5. ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

CureIt проходил в безопасном режиме? Если нет, то запусти в Safe Mode и проверь системный диск.

Изменено 9 февраля, 2008 пользователем ser208