-
Junior Member
- Вес репутации
- 61
Warning! Potential Spyware Operation!
Подхватил где-то эту беду, которая появляется каждые 10 минут (примерно), нет доступа к свойствам моего компьютера и панели управления, так что снимал логи как мог.
5 раз пробовал прикрепить логи, пишет идет загрузка, а потом вываливается: невозможно отобразить страницу. Что делать?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
vve
Подхватил где-то эту беду, которая появляется каждые 10 минут (примерно), нет доступа к свойствам моего компьютера и панели управления, так что снимал логи как мог.
5 раз пробовал прикрепить логи, пишет идет загрузка, а потом вываливается: невозможно отобразить страницу. Что делать?
Выложите логи на какой-нибудь файлообменник, а сюда дайте ссылку.
-
-
Junior Member
- Вес репутации
- 61
Логи
Ну никак даже на ftp не мог выложить с того компа где вирус, вот выклвдываю с другого компа
Последний раз редактировалось vve; 29.12.2007 в 18:31.
-
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\printer.exe','');
QuarantineFile('C:\WINDOWS\System32\sulimo.dat','');
QuarantineFile('C:\WINDOWS\System32\WinAvXX.exe','');
QuarantineFile('C:\Documents and Settings\Первый\Главное меню\Программы\Автозагрузка\system.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
QuarantineFile('C:\DOCUME~1\ПЕРВЫЙ\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\ПЕРВЫЙ\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\Первый\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\WINDOWS\System32\WinAvXX.exe');
DeleteFile('C:\WINDOWS\System32\sulimo.dat');
DeleteFile('C:\WINDOWS\System32\printer.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Отключить восстановление системы не представляется возможным, т.к. меня туда не пускает предположительно вирус.
Добавлено через 3 минуты
Обновить AVZ тоже не получается, пишет:
Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip c http://z-oleg.com/secur/avz_up/ [21, 00002EE2]
Добавлено через 4 минуты
Все таки обновился, тока с другого сайта, хотя часа 2 назад с обоих никак не грузил.
Добавлено через 11 минут
Карантин
Добавлено через 3 минуты
не прикрепляется файл с карантина, т.к. он больше 1МБ
Последний раз редактировалось vve; 07.10.2007 в 18:34.
Причина: Добавлено
-
Карантин сюда:
http://virusinfo.info/upload_virus.php?tid=12986
К сообщению цеплять только логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось vve; 29.12.2007 в 18:27.
-
То ли все осталось на месте, то ли это просто ссылки в реестре - непонятно.
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ПЕРВЫЙ\LOCALS~1\Temp\winlogon.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O20 - AppInit_DLLs: C:\WINDOWS\System32\sulimo.dat
Затем выполните скрипт в AVZ:
Код:
begin
ClearHostsFile;
RebootWindows(true);
end.
После этого сделайте логи еще раз.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось vve; 29.12.2007 в 18:27.
-
Junior Member
- Вес репутации
- 61
Кстати, сообщение spyware перестало появляться, но доступ к свойствам компьютера так и нет, и еще: при открытии эксплорера постаянно появляется адрес по умолчанию: www.google.com
-
выполните скрипт ...
Код:
begin
ExecuteRepair(3);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(17);
end.
-
-
Теперь в логах чисто. После скрипта V_Bond все должно наладиться.
Вам необходимо как можно скорее исправить вот это:
Код:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
т.е. установить SP2 + последующие обновления (потребуется повторная активация Windows, старый кряк не сработает). Иначе будете у нас постоянным клиентом .
Желательно отключить все, что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
(скрипт сделаем).
I am not young enough to know everything...
-