Показано с 1 по 9 из 9.

Подозрение на вирусы (заявка № 12341)

  1. #1
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    55
    Вес репутации
    34

    Question Подозрение на вирусы

    Стоял NOD32, после его обновления комп перестал загружаться в нормальном режиме. Загрузил в безопасном, просканировал все CureIt, он нашел что-то и удалил. Попробовал загрузить в нормальном режиме - не загружается, выдает окошко с диалогом ввода пароля и через 5 секунд перезагружается. Снова загрузился в безопасном режиме и снес НОД, после этого комп загрузился в нормальном режиме. Но мне кажется, что вирусы в нем остались. Посмотрите пожалуйста.
    Последний раз редактировалось EgorovEgor; 30.10.2007 в 16:01.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    1. Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O4 - HKLM\..\Run: [System] C:\WINDOWS\msdnc4.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\D10E~1\LOCALS~1\Temp\winlogon.exe
    2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\System32\drivers\protect.sys','');
     QuarantineFile('C:\DOCUME~1\D10E~1\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('c:\windows\msdnc4.exe','');
     DeleteFile('c:\windows\msdnc4.exe');
     DeleteFile('C:\DOCUME~1\D10E~1\LOCALS~1\Temp\winlogon.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('ICF');
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12341

    3. Почистить обязательно временные файлы, можно воспользоваться бесплатной ccleaner, при установке нужно убрать галку с установки тулбара yahoo.
    http://www.filehippo.com/download/05...0340/download/
    4.сделать новые логи.
    Последний раз редактировалось drongo; 11.09.2007 в 12:27.

  4. #3
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    55
    Вес репутации
    34
    Сделал все как Вы сказали.

    Карантин отправил.

    Файл сохранён как 070911_034921_карантин_46e65691e629c.zip
    Размер файла 119111
    MD5 f0a76f8624e822889257ddb2550a9de6

    Высылаю новые логи.
    Последний раз редактировалось EgorovEgor; 30.10.2007 в 16:01.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('c:\windows\System32\drivers\protect.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Для закрытия потенциальных дырок, нужно выполнить скрипт:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    Чтобы уменьшить шанс заражения, советуем на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
    Мы будем Вам очень благодарны!

    Удачи!

    P.S.второй пункт правил похоже пропустили, выполнить сейчас.
    Поставить и настроить файрвол/антивирус.
    Последний раз редактировалось drongo; 11.09.2007 в 13:28.

  6. #5
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    55
    Вес репутации
    34
    Скрипт выполнил.

    Добавлено через 2 минуты

    СПАСИБО
    Последний раз редактировалось EgorovEgor; 11.09.2007 в 13:28. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    После выполнения пункта 2, сделайте для порядка новые логи. И поменяйте на всякий случай все пароли и не сидеть в инете под админом как я уже говорил

    То что было :
    protect.sys - > http://virusinfo.info/showpost.php?p...&postcount=289
    winlogon.exe -> Trojan-Proxy.Win32.Small.fz (kaspersky)
    msdnc4.exe -> Packed.Win32.PolyCrypt.d (kaspersky)
    Последний раз редактировалось drongo; 11.09.2007 в 13:45.

  8. #7
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    55
    Вес репутации
    34
    Поставил Firefox, урезал пользователю права. Вот новые логи.
    Последний раз редактировалось EgorovEgor; 30.10.2007 в 16:01.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    когда урезали права, вы забыли что запускать avz & hijackthis нужно всё равно под админом,(правой кнопкой run as) иначе толку от них нет
    Также, мало поставит файрфокс, нужно запретить выход експлореру в инет и объяснить - что файрвокс намного лучше с большими возможностями . Куча дополнений на любой вкус:https://addons.mozilla.org/ru/firefox/browse/type:1
    P.S. Привет Оле
    Последний раз редактировалось drongo; 11.09.2007 в 14:59.

  10. #9
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    55
    Вес репутации
    34
    Исправляюсь, вот новые логи.
    А каким образом полностью запретить выход эксплореру в сеть, все его ярлыки с рабочего стола убрал.
    Последний раз редактировалось EgorovEgor; 30.10.2007 в 16:01.

  • Уважаемый(ая) EgorovEgor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Подозрение на вирусы
      От Кирсан в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.10.2010, 13:54
    2. Подозрение на вирусы!!!
      От legat71 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.09.2010, 19:34
    3. подозрение на вирусы
      От wheeller в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.10.2009, 21:35
    4. Подозрение на вирусы
      От Алла в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 05:03
    5. Подозрение на вирусы
      От adanbaev в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.10.2008, 20:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01394 seconds with 19 queries