Worm.Win32.Autorun.FTP [LOG?]

[redrose]

Здрасте,у меня вот такая вот проблема,после включения компьютера он сам перезагружается после (работает минут 10-20 и rebot) и потом я сделал проверку и он обнаружил вот такую бяку Worm.Win32.Autorun.FTP я как увидел слово autorun сразу понял что в этом и есть проблема,только я не могу её не удалить,не лечить и т.д., читал тему lirik-a пробывал и всё равно не получилось...

Логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Помогите плз >_<

[akoK]

PokerStars - играете?

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('mt41hub.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pssdklbf.sys','');
QuarantineFile('C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe','');
QuarantineFile('C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE','');
DeleteFile('mt41hub.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Пофиксить в HijackThis следующие строчки

	
R3 - URLSearchHook: (no name) - - (no file)
O20 - Winlogon Notify: mt41hub - mt41hub.dll (file missing)

 

 

Повторите логи

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[redrose]

PokerStars - играете?

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('mt41hub.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pssdklbf.sys','');
QuarantineFile('C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe','');
QuarantineFile('C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE','');
DeleteFile('mt41hub.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Пофиксить в HijackThis следующие строчки

	
R3 - URLSearchHook: (no name) - - (no file)
O20 - Winlogon Notify: mt41hub - mt41hub.dll (file missing)

 

 

Повторите логи

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

info.txt

log.txt

Да я играю в покер старс

Изменено 31 июля, 2009 пользователем redrose

[akoK]

redrose, логи AVZ забыли

 

 

Пофиксить в HijackThis следующие строчки

	O20 - Winlogon Notify: mt41hub - C:\WINDOWS\

 

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

[redrose]

Как пофиксить вот это:

R3 - URLSearchHook: (no name) - - (no file)

O20 - Winlogon Notify: mt41hub - mt41hub.dll (file missing) такова там нету,есть только: O20 - Winlogon Notify: mt41hub - С:\WINDOWS\

 

 

 

 

Malwarebytes' Anti-Malware 1.39

Версия базы данных: 2537

Windows 5.1.2600 Service Pack 2

 

01.08.2009 1:55:31

mbam-log-2009-08-01 (01-55-31).txt

 

Тип проверки: Полная (C:\|)

Проверено объектов: 138995

Прошло времени: 40 minute(s), 19 second(s)

 

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 5

Заражено значений реестра: 5

Заражено параметров реестра: 3

Заражено папок: 3

Заражено файлов: 9

 

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

 

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

 

Заражено ключей реестра:

HKEY_CLASSES_ROOT\CLSID\{12345b67-1234-1234-d123-7f84d123bc7d} (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

 

Заражено значений реестра:

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

 

Заражено параметров реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Заражено папок:

C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\LocalService\Application Data\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\NetworkService\Application Data\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully.

 

Заражено файлов:

c:\WINDOWS\system32\wsnpoem\audio(2)(2).dll (Trojan.Agent) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\wsnpoem\audio(3)(2).dll (Trojan.Agent) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> Quarantined and deleted successfully.

c:\documents and settings\localservice\application data\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully.

c:\documents and settings\networkservice\application data\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\k86.bin (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\wm05.dll (Trojan.Downloader) -> Quarantined and deleted successfully.

 

 

После потребовал перезагрузить компьютер,перезагрузил и потом появилось:

Компьютер находится под угрозой .... Открылось окно "Центр обеспечения" Брендмауер выключено, автоматическое обнавление выключено, защита от вирусов включено

 

 

 

И всё равно комп перезагружается ;)

Изменено 31 июля, 2009 пользователем redrose

[Falcon]

redrose, делайте новые логи.

[redrose]

redrose, делайте новые логи.

virusinfo_syscure.zip

hijackthis.log

 

Сообщение от модератора Falcon

Убрал карантин. virusinfo_cure.zip не нужен!

[Falcon]

Пофиксить:

R3 - URLSearchHook: (no name) -  - (no file)

Хостс сами правили?

[redrose]

Обьяните как пофиксить я просто не понимаю(поставить галочку около этой надписи и нажать Fix checked?) Я не чего сам не правил ...

 

А всё нашёл в вашей подписи как пофиксить

Изменено 1 августа, 2009 пользователем redrose

[redrose]

тему можно закрыть,вроде не перезагружается больше)

Спасибо тем кто мне помог