-
Junior Member
- Вес репутации
- 68
Удаленный доступ...
Антивирус MS Essential обнаружил программу удаленного доступа.
Категория: Лазейка
Описание: Эта программа обеспечивает удаленный доступ к компьютеру, на котором она установлена.
Рекомендуемое действие: Немедленно удалите это программное обеспечение.
Объекты:
file:C:\Documents and Settings\test\btewrdda.exe
runkey:HKCU@S-1-5-21-484763869-616249376-1801674531-1006\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN \\MSConfig
regkey:HKCU@S-1-5-21-484763869-616249376-1801674531-1006\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN \\MSConfig
После лечения он сообщил:
Вложение 420034
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) JaneYa, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте !!!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\test\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\DOCUME~1\Neonity\APPLIC~1\Funmoods\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Documents and Settings\test\btewrdda.exe','');
DeleteFile('C:\Documents and Settings\test\btewrdda.exe');
DeleteFile('C:\DOCUME~1\Neonity\APPLIC~1\Funmoods\UPDATE~1\UPDATE~1.EXE');
DeleteFile('C:\WINDOWS\Tasks\At1.job');
DeleteFile('C:\DOCUME~1\test\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE');
DeleteFile('C:\WINDOWS\Tasks\At2.job');
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
- - - Добавлено - - -
+ Программу Radmin сами устанавливали ? Если нет, удалите её. Включите на компьютере брандмауэр Windows, смените пароли на всех учетных записях с административными правами.
-
-
Junior Member
- Вес репутации
- 68
-
Сообщение от
JaneYa
Антивирус MS Essential обнаружил программу удаленного доступа.
C:\Program Files\radmin\r_server.exe и C:\WINDOWS\system32\r_server.exe - Radmin если устанавливали не сами, удалите через установку/удаление программ, включите брандмауэр Windows, смените все пароли у учётных записей с правами Администратор.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Что с проблемой ?
-
-
Junior Member
- Вес репутации
- 68
Проблема ушла.
Благодарю!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
-