Троян

[Sladkoff]

Добрый день!

Схватил вирусы с какого то строительного сайта.. от одного избавился предложенным на форуме методом, подскажите что делать с другим? Вот что пишет NOD32:

Rootkit.Agent.NEP trojan

C:\Docume~1\C4C4~1\LOCALS~1\Temp\5B64.tmp

C:\Windows\System32\drivers\spools.exe hijackthis.rar avz_sysinfo.htm

avz_sysinfo.htm

hijackthis.rar

[Sladkoff]

вот скрины с NOD32

[Matias]

Логи не те. Прочитайте этот пост и повторите их.

[Sladkoff]

ага вот логи, проверьте пожалуйста!!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

[Sladkoff]

ребята помогииитеее!!!! помоему он жрет комп!!! перестал видеть принтер!!!

[Pili]

Sladkoff:

В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('c:\docume~1\c4c4~1\locals~1\temp\winlogon.exe');TerminateProcessByName('c:\windows\system32\drivers\spools.exe');StopService('Schedule');SetServiceStart('Schedule', 4);QuarantineFile('c:\windows\system32\drivers\spools.exe','');QuarantineFile('C:\Documents and Settings\Дима\cftmon.exe','');QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');QuarantineFile('C:\WINDOWS\system32\baserbdvr32.dll','');QuarantineFile('c:\docume~1\c4c4~1\locals~1\temp\winlogon.exe','');DeleteService('Schedule');DeleteFile('c:\windows\system32\drivers\spools.exe');DeleteFile('c:\docume~1\c4c4~1\locals~1\temp\winlogon.exe');DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');DeleteFile('C:\Documents and Settings\Дима\cftmon.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(6);ExecuteRepair(8);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (если останется)

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exeO4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Дима\cftmon.exeO4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exeO4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Дима\cftmon.exeO4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\C4C4~1\LOCALS~1\Temp\winlogon.exe

удалите ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

повторите логи virusinfo_syscheck.zip, hijackthis.zip

[Sladkoff]

короче дохрена я нахавал их гдета.. переустановил винду.. извиняюсь за беспокойство, спасибо!!

[ТроПа]

Sladkoff: зря винду переустановили - это очень просто было вылечить.

[andrey73]

народ подскажите хватанул трояна нашел где а он не удаляется, решил пока поставить COMODO Firewall Pro, так теперь после каждого открытия нового сайта просит либо подтвердить или запретить открытие. Все очень подозрительно. Подскажите как удалить трояна и хотелось бы узнать по эту прогу хороша или нет и правильно ли это что просит подтверждения постоянно :)

[Pili]

andrey73: comodo отличный файрвол, только важно его правильно настроить.

Выполните правила оформления запроса и в новой теме выложите логи