» msconfig в XP

на одном из компов в офисе прокрался троян
НОД32 не шалохнулся даже
так вот, троян прописал в автозагрузку свои системные файлы
все эти файлы уже удалены, но какая то часть трояна, где то еще закралась в системе и не дает изменить порядок автозагрузки...
так вот этот вирусо-троян вырубил НОД32... а когда ставишь галку чтоб загружался антивирус вместе с Виндоус, то он просто НЕ сохраняет эти действия...
может в реестре где надо бы подправить, подскажите?

антивирус сам не может себя прописать? Попробуй переустановить NOD.
И заодно проверить утилитой AVZ4
Перед проверкой всего винчестера в AVZ4 провести действия из меню:
Файл/Восстановление системы.

Может поставить еще один антивирь и проверить им систему чтобы он хвосты от паразита потер. Ну еще и НОД для профилактики переустановить...


Добавлено:
MetroidZ
апередил

CoDderR, в смысле еще один? ты предлагаешь поставить одновременно 2 антивиря ?

Owics
ага тока временно.

Owics

Цитата:

в смысле еще один? ты предлагаешь поставить одновременно 2 антивиря ?

есть антивирусы не требующие установки и бесплатные:

CureIt
+ все-таки воспользоваться AVZ4.
Да, и проверять лучше в безопасном режиме, т.к. в нем некоторые модули вирусов могут не действовать.

Может, кто-нибудь знает, что такое kdsvm.exe? Не удаляется с помощью msconfig и вручную в реестре из автозагрузки.

Ты пробывал запустить regedit? Если выдает ошибку, значит изменены привилегии аккаунта, соответственно и nod себя в реестр прописать не может. Если проблема в этом - отпишись. Придумаем, что делать дальше.

вот что нашел AVZ, копирую самое важное:


Цитата:

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=076EC0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
SDT = 8054AEC0
KiST = 80502588 (284)
Функция NtOpenProcess (7A) перехвачена (80578115->F88AD560), перехватчик не определен
Функция NtQueryDirectoryFile (91) перехвачена (805951E4->F88AD70C), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (80591C32->F88AD486), перехватчик не определен
Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5
Проверено функций: 284, перехвачено: 3, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F3E6716D] C:\WINDOWS\System32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F3E66FC2] C:\WINDOWS\System32\drivers\Haspnt.sys, драйвер опознан как безопасный
Проверка IDT и SYSENTER завершена
>>>> Обнаружена маскировка процесса 1672 ?
>>>> Обнаружена маскировка процесса 1680 ?
>>>> Обнаружена маскировка процесса 1688 ?
3. Сканирование дисков
C:\System Volume Information\_restore{1BD017FC-0B9E-485A-819D-E9AAC687F942}\RP53\A0015917.exe >>>>> Trojan-Downloader.Win32.Tibs.my успешно удален
C:\System Volume Information\_restore{1BD017FC-0B9E-485A-819D-E9AAC687F942}\RP57\A0023560.exe >>>>> Trojan-Downloader.Win32.Tibs.my успешно удален
C:\System Volume Information\_restore{1BD017FC-0B9E-485A-819D-E9AAC687F942}\RP58\A0023740.exe >>>>> Trojan-Downloader.Win32.Tibs.my успешно удален
C:\System Volume Information\_restore{1BD017FC-0B9E-485A-819D-E9AAC687F942}\RP59\A0024925.exe >>>>> Trojan-Downloader.Win32.Tibs.my успешно удален
Автоматическая чистка следов удаленных в ходе лечения программ
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 17 TCP портов и 11 UDP портов
>>> Обратите внимание: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe - опознан как безопасный процесс)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
Проверка завершена

после этого все равно в msconfig ничего не сохраняется
там до сих пор прописаны с галочкой два файла winhelp32 (трояны)
но самих файлов в системе не найдены


Добавлено:

Цитата:

в автозагрузке до сих пор прописаны с галочкой два файла winhelp32 (трояны)

пытался в реестре их удалить, не удаляются
где копать проблему? неужели винду переустанавливать?...

Попробуйте тут в поиске вбить winhelp32 найдете много топиков по теме. Сам бегло посмотрел, вроде есть дельные советы.

CoDderR
о, точно...
целых 62 темы нашел про эту гадость!
спасибо за ссылочку