-
Junior Member
- Вес репутации
- 69
Опять бухгалтер наловила...
Где она их ухитряется собирать....
Стоит НОД32 с регулярным обновлением.
Пару заподозренных файлов проверил на virustotal, некоторые из антивирей детектят трояна. Эти файлы отправил на [email protected] и [email protected].
Каспер, НОД и Др.Веб промолчали...
Последний раз редактировалось Arhimed; 17.07.2007 в 14:45.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('d:\winnt\csrss.exe','');
DeleteFile('d:\winnt\csrss.exe');
DeleteFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\65ER03OD\file[1].exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=
Повторите логи.
-
-
Junior Member
- Вес репутации
- 69
Файл сохранён как 070717_102208_virus_469c601016313.zip
Размер файла 209962
MD5 f4741cfb6b677ed5c9785edcb8250b14
Сразу не сообразил, добавил в карантин еще один файл, на virustotal он был определен как троян
Файл сохранён как 070717_102734_virus2_469c6156aa078.zip
Размер файла 63260
MD5 1dd99f68d79be4ae29bfb6cefbb21d32
Последний раз редактировалось Arhimed; 17.07.2007 в 10:29.
-
-
-
Junior Member
- Вес репутации
- 69
Последний раз редактировалось Arhimed; 17.07.2007 в 14:46.
-
file[1].exe - Trojan-Downloader.Win32.Small.dge (новый)
csrss.exe - Trojan-PSW.Win32.LdPinch.cel (новый)
их мы удалили
D:\Program Files\RealVNC\WinVNC\VNCHooks.dll - вам знакомо? Касперский детектит как потенциально опасное ПО,если знакомо, то повода для беспокойства нет.
RealVNC- насколько помню это программа для удалённого управления.
C:\ОбщийДоступ\lr88.exe - Email-Worm.Win32.Zhelatin.fv (новый)
вы его удалили?
В логах ничего плохого нет, маил агент установлен в системе?если нет то можно ещё почистить мусор оставшийся от него.
Последний раз редактировалось Muzzle; 17.07.2007 в 11:51.
Причина: посмотрел логи
-
-
Сообщение от
Arhimed
Где она их ухитряется собирать....
думаю, что тут:
Internet Explorer
v5.00 SP4 (5.00.2920.0000)
www.windowsupdate.com давно посещали?
-
-
Junior Member
- Вес репутации
- 69
Сообщение от
Muzzle
file[1].exe - Trojan-Downloader.Win32.Small.dge (новый)
csrss.exe - Trojan-PSW.Win32.LdPinch.cel (новый)
их мы удалили
D:\Program Files\RealVNC\WinVNC\VNCHooks.dll - вам знакомо? Касперский детектит как потенциально опасное ПО,если знакомо, то повода для беспокойства нет.
RealVNC- насколько помню это программа для удалённого управления.
C:\ОбщийДоступ\lr88.exe - Email-Worm.Win32.Zhelatin.fv (новый)
вы его удалили?
В логах ничего плохого нет, маил агент установлен в системе?если нет то можно ещё почистить мусор оставшийся от него.
RealVNC я ставил VNCHooks в его составе идет, это действительно для удаленного управления.
lr88.exe удалился Far-ом.
Маил агент стоял когда-то, что там можно за ним почистить?
Добавлено через 4 минуты
Сообщение от
Rene-gad
думаю, что тут:
Цитата:
Internet Explorer v5.00 SP4 (5.00.2920.0000)
www.windowsupdate.com давно посещали?
Я вроде обновлял IE до 6 sp1...
Мож только файлы закинул, а запустить забыл... :-)
Наверно надо переводить на Оперу, надежнее будет, думаю.
Последний раз редактировалось Arhimed; 17.07.2007 в 12:05.
Причина: Добавлено сообщение
-
Скрипт в AVZ
Код:
begin
DeleteFile('D:\WINNT\SYSTEM32\MraSearch.dll');
BC_DeleteFile('D:\WINNT\SYSTEM32\MraSearch.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после перезагрузки пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\WINNT\SYSTEM\Mra.EXE (file missing)
R3 - URLSearchHook: MraSearch Class - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - D:\WINNT\SYSTEM32\MraSearch.dll
Действительно лучше использовать альтернативные браузеры например Opera,Firefox.
повторите лог HijackThis
Последний раз редактировалось Muzzle; 17.07.2007 в 12:17.
Причина: добавил
-
-
Сообщение от
Arhimed
Наверно надо переводить на Оперу, надежнее будет, думаю.
Оно-то конечно так, но дыры в IE, который является частью операционки, латать все-таки необходимо.
-
-
Сообщение от
Rene-gad
Оно-то конечно так, но дыры в IE, который является частью операционки, латать все-таки необходимо.
IE5 SP4 для Windows 2000 должен лататься через Windows Update. Заплатки к нему выходят.
-
-
Должен, но, в принципе, можно поставить IE6 - http://www.microsoft.com/downloads/d...b-20b602228de6 - правда, обновления для него через Windows Update все-равно крайне рекомендуется получить.
-