Суть: нод находит руткит поднуху - вирусы DRSB.exe и camoc.dll которые нельзя удалить. При соединении с интернетом проблема возникает с svhost.exe так как антивирус сообщает, что он заражен вирусами... ну и сразу после подключения к интернету появляються куча других вирусов... вчасности собщение от НОД "LOCALS~1\Temp\BN21B.tmp (и тут же BN21C, BN241...) The file was moved to quarantine. You may close this window."

Вот такая вот неприятность... Есть возможность это исправить?

Выполните пожалуйста Правила обращения за помощью (http://forum.oszone.net/thread-98169.html)

Да я и без этого уже сам вручную все сделал... есть логи, удалил себе svhost, терь инета нет... точней он есть, но не через свой Пк, а через локальную сеть. Ну и вирусы DRSB.exe и camoc.dll такими и остались - неудаляемыми...

Результат самолечения. А вы чего ожидали? Выкладывайте новые логи

kit10, Здравствуйте.
Если вы не выложите логи, то дальнейшее обсуждение вашей проблемы будет невозможно и тема будет закрыта.
Так как после зловредов осталось много следов и вредных последствий.
Ну и вирусы DRSB.exe и camoc.dll такими и остались - неудаляемыми... »

Исправить можно изучив логи.

Такс, вот логи...

http://forum.oszone.net/profile.php?do=editattachments&pp=20&page=1&showthumbs=0&u=67148

о, отлично, они и так видны уже...

kit10, пофиксите в HijackThis:

O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe
O4 - HKCU\..\Run: [ChristmasTree] C:\DOCUME~1\kit10\LOCALS~1\Temp\Rar$EX00.735\Christmas.exe
O4 - HKCU\..\Run: [antispy] C:\Documents and Settings\kit10\bglqvbglqvbglqvbglqvb.exe

Выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\DNA\btdna.exe', '');
QuarantineFile('C:\WINDOWS\system32\dla\tfswctrl.exe', '');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe', '');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
QuarantineFile('C:\DOCUME~1\kit10\LOCALS~1\Temp\Rar$EX00.735\Christmas.exe', '');
DeleteFile('C:\DOCUME~1\kit10\LOCALS~1\Temp\Rar$EX00.735\Christmas.exe');
QuarantineFile('C:\Documents and Settings\kit10\bglqvbglqvbglqvbglqvb.exe', '');
DeleteFile('C:\Documents and Settings\kit10\bglqvbglqvbglqvbglqvb.exe');
DelWinlogonNotifyByFileName('crypts.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер автоматически перезагрузится, файл quarantine.zip из папки с AVZ отправьте на koshkin@rbcmail.ru - тему письма укажите "Вирус Christmas.exe".

Предыдущая рекомендация не совсем полна, поэтому дополню.
Отключите автозапуск со съемных носителей (http://forum.oszone.net/showpost.php?p=825101), включите брандмауэр windows и уберите в исключениях брандмауэра (http://www.microsoft.com/rus/windowsxp/sp2/sp2_wfexeptions.mspx) общий доступ к файлам и принтерам.

Запустите HiJackThis (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe), нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {23259E85-36D3-4C21-AF47-FC1511EFE080} - C:\WINDOWS\system32\camoc.dll
O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Program Files\DAEMON Tools SearchBar\search.dll (file missing)
O4 - HKLM\..\Run: [WhenUSearch] "C:\Program Files\DAEMON Tools SearchBar\Search.exe"
O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe
O4 - HKCU\..\Run: [antispy] C:\Documents and Settings\kit10\bglqvbglqvbglqvbglqvb.exe
O20 - Winlogon Notify: crypt - crypts.dll (file missing)

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html), нажмите кнопку «Запустить».
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\DAEMON Tools SearchBar\Search.exe','');
StopService('hnvhnrwz');
SetServiceStart('hnvhnrwz', 4);
QuarantineFile('C:\WINDOWS\system32\camoc.dll','');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Program Files\DAEMON Tools SearchBar\search.dll','');
QuarantineFile('digeste.dll','');
QuarantineFile('crypts.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
QuarantineFile('C:\Documents and Settings\kit10\bglqvbglqvbglqvbglqvb.exe','');
QuarantineFile('C:\DOCUME~1\kit10\LOCALS~1\Temp\Rar$EX00.735\Christmas.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\hnvhnrwz.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\hnvhnrwz.sys');
DeleteFile('C:\DOCUME~1\kit10\LOCALS~1\Temp\Rar$EX00.735\Christmas.exe');
DeleteFile('C:\Documents and Settings\kit10\bglqvbglqvbglqvbglqvb.exe');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
DeleteFile('crypts.dll');
DeleteFile('digeste.dll');
DeleteFile('C:\Program Files\DAEMON Tools SearchBar\search.dll');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\Program Files\DAEMON Tools SearchBar\Search.exe');
DeleteFile('C:\WINDOWS\system32\camoc.dll');
DelWinlogonNotifyByKeyName('crypt');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
DelBHO('{BA2325ED-F9EB-4830-8FCE-0BC35B16969B}');
DelBHO('{23259E85-36D3-4C21-AF47-FC1511EFE080}');
DeleteService('hnvhnrwz');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('hnvhnrwz');
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Восстановление системы: включено
Поэтому создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Запустите AVZ. В меню AVZM выберите "Установить драйвер расширенного мониторинга процессов", перезагрузите компьютер. Сделайте новые логи.

Котяра, в ПМ отписал.

спс, попробую, и отпишу

еще 1, у меня локальная сеть, поэтому стоит общий доступ к файлам и принтерам... тоисть на 2 пк я не смогу не заходить в инет, не обмениваться с 1 пк данными... это необходимо?

kit10, можете не отключать в брандмауэре общий доступ, но тогда установите обновления
MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx)
MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx)
MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx)
Затем, после лечения, рекомендую установить WindowsXP SP3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4) и все последующие обновления - http://windowsupdate.microsoft.com

И ещё, перед формированием новых логов можете проверить систему с помощью МВАМ
Скачайте Malwarebytes Anti-Malware здесь (http://malwarebytes.gt500.org//mbam-setup.exe),здесь (http://www.besttechie.net//mbam//mbam-setup.exe), здесь (http://www.malwaresupport.com//mbam//program//mbam-setup.exe) или здесь (http://download.bleepingcomputer.com//malwarebytes//mbam-setup.exe). Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть)

kit10, отправили мне quarantine.zip?

Я тут подумал, могу ли я уточнять в темах о лечении о тех моментах, что мне непонятны? Ничего не советуя автору ни вредного, ни полезного.
Котяра, Pili, Почему вы решили что этот объект вредоносен? И как вы их определяете? На глаз?

O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe

DeleteFile('C:\Program Files\DAEMON Tools SearchBar\Search.exe');

Drongo, насчет первого:
* svchost там быть не должен!
* svhost написано с опечаткой!
Второе - в моем скрипте этого вроде нет.
В моем скрипте есть карантин 2 безвредных по видимости файлов - это просто, на всякий случай, я первый раз такие встречаю... Но команды их удаления нет.

сек, я пока еще в процесе... но тех вредоносных файлов уже вроди как нет, сейчас буду логи делать, и отошлю

эм, у меня опера, но в АТФклинере нет опции почистить оперу (если я правильно понял). И есть еще 1 вещь - с языком в некоторых прогах (вчасности Avz вместо текста - иероглифы, в даунлоад мастере тоже... были проблемы вроди как с панелью языков, и как последствие - вот такая мелкая неприятность... может тоже связано с атакой вирусов)

Насчет svhost написано с опечаткой! »
я не понял, в drivers его не должно быть, карантин ещё не пришел, но это свежий зловред, Worm.LooksLike.Rbot по Mcaffe
По C:\Program Files\DAEMON Tools SearchBar\Search.exe - это Win32.Adware.WhenU.SaveNow

у меня опера, но в АТФклинере нет опции почистить оперу »
Есть,
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Спасибо за пояснения* svchost там быть не должен!»Сначала так и подумал, но не был уверен, вот * svhost написано с опечаткой! »Даже незаметил. Эх, техника скорочтения подводит...

Drongo, ну и кроме того svchost.exe не д.б. в автозагрузке, секция 04 HJT

я не понял, в drivers его не должно быть »
Да это основной признак - я про него написал, но опечатка - еще один косвенный признак - ну нет в Windows ни какого svhost.

ну и кроме того svchost.exe не д.б. в автозагрузке, секция 04 HJT »
Тоже верный признак.