Здравствуйте!
На ноутбуке Toshiba была куча вирусов.
Я лечил его с помощью свежего CureIt в Safe Mode.
Однако, по-прежнему он пытается что-то слать наружу - Spider Mail часто активизируется.
Помогите, пожалуйста!
Здравствуйте!
На ноутбуке Toshiba была куча вирусов.
Я лечил его с помощью свежего CureIt в Safe Mode.
Однако, по-прежнему он пытается что-то слать наружу - Spider Mail часто активизируется.
Помогите, пожалуйста!
пофиксите...
выполните скрипт...Код:O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\_15E57~1\LOCALS~1\Temp\winlogon.exe O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
пришлите карантин согласно приложения 3 правил.....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('vedxga4m1et4.exe',''); QuarantineFile('C:\WINDOWS\system32\svshost.dll',''); QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe',''); QuarantineFile('C:\WINDOWS\system32\ozesw.dll',''); QuarantineFile('C:\DOCUME~1\_15E57~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\xpdx.sys',''); QuarantineFile('c:\windows\system32\spoolsvv.exe',''); DeleteFile('c:\windows\system32\spoolsvv.exe'); DeleteFile('C:\WINDOWS\system32\xpdx.sys'); DeleteFile('C:\DOCUME~1\_15E57~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\spoolsvv.exe'); DeleteFile('C:\WINDOWS\system32\svshost.dll'); DeleteFile('vedxga4m1et4.exe'); BC_DeleteSvc('FCI'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
V_Bond, Спасибо!
Пофиксил, выполнил скрипт, высылаю содержимое карантина (почему-то в окне AVZ выглядело как набор пар одинаковых файлов) - файл "070912_141346_Vasek_virus_46e83a6a0d78d.zip".
Последний раз редактировалось Васёк; 13.09.2007 в 13:21.
В карантин попал только spoolsvv.exe - Win32/Nuwar.Gen(по Nod32) и его мы удалили,теперь найдите файл ozesw.dll,поместите в архив с паролем "virus" и отправьте по правилам.
И повторите логи.
Файл ozesw.dll не найден ни с помощью AVZ, ни с помощью станд. Поиска Windows (с просмотром системных и скрытых папок).
AVZ после поиска выдает отчет:
Логи прилагаю (почти каламбур).Поиск файлов по маске ozesw.dll
Поиск файлов завершен
Просмотрено 26355, найдено 0
выполните скрипт...
повторите логи ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\aspimgr.exe'); BC_DeleteFile('C:\WINDOWS\system32\aspimgr.exe'); BC_DeleteSvc('aspimgr'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Скрипт выполнил, логи высылаю.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\ozesw.dll'); BC_DeleteFile('C:\WINDOWS\system32\ozesw.dll'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Повторите логи.Код:O22 - SharedTaskScheduler: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\ozesw.dll (file missing)
Что из этого вам нужно?остальное пофиксим
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Скрипт выполнил, а вот пофиксить не удалось - строк с кодом O22 не было ни одной.
Прошу оставить автозапуск программ с CD-ROM - т.к. компьютером пользуются все члены многочисленной семьи (не моей) - всем им не смогу объяснить как делать "автозапуск вручную".Что из этого вам нужно?остальное пофиксим
Цитата:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
По поводу "SSDPSRV (Служба обнаружения SSDP)" затрудняюсь ответить - видимо, не нужна.
Насчет остального - пофиксить, однозначно.
Логи повторяю...
Вот скрипт:Насчет остального - пофиксить, однозначно.
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); RebootWindows(true); end.
I am not young enough to know everything...
V_Bond, Muzzle, Bratez,
большое вам спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\spoolsvv.exe - Trojan-Proxy.Win32.Agent.oz (DrWEB: Trojan.Spambot)
Уважаемый(ая) Васёк, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.