-
Junior Member
- Вес репутации
- 62
Опять подцепил гадость! :(
Уже такое было на другой машине, вроде вылечил, спасибо вам, помогли.
Теперь на второй такое же. Атака была при заходе на сайт [URL] думаю что его взломали, там целый зоопарк.
DrWeb ругался, но всётаки пропустил. Как я заметил была атака на thebat.exe, после того как я нажал лечить DrWeb, BAT не работает, пришлось переустанавливать. И стало автоматом выскакивать окно на сайт [URL].
И теперь главное, что поставить вместо DrWeb, а то я смотрю участились случаи, а компы рабочие, нужно обезопасить по максимуму!!!
Последний раз редактировалось Макcим; 08.06.2007 в 16:32.
Причина: Полностью убрал ссылки
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
// QuarantineFile('antiwpa.dll','');
// QuarantineFile('c:\temp\winlogon.exe','');
// QuarantineFile('c:\windows\mscc.exe','');
BC_DeleteFile('c:\temp\winlogon.exe');
BC_DeleteFile('c:\windows\mscc.exe');
// BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Прислать карантин согласно приложения 3 правил . Ссылка вверху темы.
Приложить сюда лог boot_clr.log
Отредактировать ссылки, чтобы на них нельзя было кликать.
Последний раз редактировалось PavelA; 08.06.2007 в 18:43.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
PavelA
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
QuarantineFile('antiwpa.dll','');
QuarantineFile('c:\temp\winlogon.exe','');
QuarantineFile('c:\windows\mscc.exe','');
BC_DeleteFile('c:\temp\winlogon.exe');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Прислать карантин согласно приложения 3 правил . Ссылка вверху темы.
Приложить сюда лог boot_clr.log
Отредактировать ссылки, чтобы на них нельзя было кликать.
На счёт отредактировать ссылки что-то не понял 
Уже понял, отредактировал.
-
C:\WINDOWS\SYSTEM32\antiwpa.dll - поищи в AVZ, а то похоже не попала в карантин.
Файлы уже загрузил?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
PavelA
C:\WINDOWS\SYSTEM32\antiwpa.dll - поищи в AVZ, а то похоже не попала в карантин.
Файлы уже загрузил?
Да загрузил
C:\WINDOWS\SYSTEM32\antiwpa.dll - в карантине есть
-
c:\windows\mscc.exe - AntiVir 7.4.0.32 06.08.2007 TR/Delphi.Downloader.Gen остальные молчат. Надо ждать вердикта от ЛК
AntiVir 7.4.0.32 06.08.2007 TR/Spy.Agent.36864
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 06.07.2007 Win32:Small-FCS
AVG 7.5.0.467 06.07.2007 no virus found
BitDefender 7.2 06.08.2007 no virus found
CAT-QuickHeal 9.00 06.08.2007 (Suspicious) - DNAScan
ClamAV devel-20070416 06.08.2007 no virus found
DrWeb 4.33 06.08.2007 no virus found
eSafe 7.0.15.0 06.06.2007 no virus found
eTrust-Vet 30.7.3703 06.08.2007 no virus found
Ewido 4.0 06.08.2007 no virus found
FileAdvisor 1 06.08.2007 no virus found
Fortinet 2.85.0.0 06.08.2007 suspicious
F-Prot 4.3.2.48 06.07.2007 no virus found
F-Secure 6.70.13030.0 06.08.2007 no virus found
Ikarus T3.1.1.8 06.08.2007 no virus found
Kaspersky 4.0.2.24 06.08.2007 no virus found
McAfee 5048 06.07.2007 no virus found
Microsoft 1.2503 06.08.2007 no virus found
NOD32v2 2318 06.08.2007 probably unknown NewHeur_PE virus
Norman 5.80.02 06.07.2007 no virus found
Panda 9.0.0.4 06.08.2007 no virus found
Prevx1 V2 06.08.2007 no virus found
Sophos 4.18.0 06.01.2007 no virus found
Sunbelt 2.2.907.0 06.07.2007 no virus found
Symantec 10 06.08.2007 no virus found
TheHacker 6.1.6.131 06.08.2007 no virus found
VBA32 3.12.0 06.07.2007 no virus found
VirusBuster 4.3.23:9 06.08.2007 no virus found
Webwasher-Gateway 6.0.1 06.08.2007 Trojan.Spy.Agent.36864
- это ответ по удаленному winlogon.exe
C:\WINDOWS\system32\antiwpa.dll - чистый файл.
надо сделать новые логи AVZ & HijackThis
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
При загрузке всё также автоматом открывается IE с адресом ...
-
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
BC_DeleteFile('c:\temp\winlogon.exe');
BC_DeleteFile('c:\windows\mscc.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
повторим. Плюс в hijackthis профиксить
Код:
O4 - HKLM\..\Run: [mscc] C:\WINDOWS\mscc.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\TEMP\winlogon.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\temp\\winlogon.exe - Virus.Win32.Grum.h (DrWEB: Win32.Grum)
- c:\\windows\\mscc.exe - Trojan-Downloader.Win32.Delf.blq (DrWEB: Trojan.DownLoader.23824)
-
