-
Junior Member
- Вес репутации
- 63
Backdoor.IRC.Mishko (DrWeb)
Уважаемые хелперы.
Искал в сети кейген и нашел, на свою голову, файлик, запустив который, мой DrWeb обнаружил упомянутый в теме зловред в виде файла cctw32.dll в папке windows/system32. Из автозапуска файл прибил с помощью Хайджека. Сам файл Доктор убил, но на архив со зловредом молчит, в то время как на Вирустотал этот архив определяетсякак зловред 22 из 32 антивирусов.
Пожалуйста, посмотрите - не пришел ли ко мне на комп кроме Мишки ещё какой-нить Гришка.)))))
Большое спасибо заранее.
Последний раз редактировалось Лангольер; 03.09.2008 в 13:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O4 - HKCU\..\Run: [Klass] C:\WINDOWS\svchost.exe
2. AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\osa9.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.
3. архив со зловредом запаковать в zip с паролем virus и по ссылке в шапке . карантин avz тоже загрузить.
-
-
Junior Member
- Вес репутации
- 63
Закачан карантин АВЗ
Результат загрузки
Файл сохранён как 070915_120451_virus_46ec10b326697.zip
Размер файла 79849
MD5 dd9f026774578a721d5e3985279552bb
Файл закачан, спасибо!
Закачан зловред
Результат загрузки
Файл сохранён как 070915_120737_еее_46ec115989f2e.zip
Размер файла 173610
MD5 9972978d1a439c2bf392fb74b56f7c48
Файл закачан, спасибо!
-
Backdoor.Win32.VB.bdr
Backdoor.Win32.Agent.aou
Trojan-Downloader.Win32.VB.asz
(kaspersky)
Сделайте новые логи, посмотрим состояние пациента
-
-
Junior Member
- Вес репутации
- 63
Мда, Мишка, оказывается, не один пришел.
Дронго, спасибо.
будем убивать осу? я так понял оса - агент?
Добавлено через 43 секунды
Делаю логи.
Последний раз редактировалось Лангольер; 15.09.2007 в 21:18.
Причина: Добавлено
-
Сообщение от
Лангольер
оса
- троянская программа Backdoor.Win32.Agent.aou
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\osa9.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.
новые логи конечно после удаления гадости
-
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось Лангольер; 03.09.2008 в 13:13.
-
Пофиксите с помощью Hijackthis строчку:
Код:
O4 - HKLM\..\Run: [Office SturtUp] osa9.exe
И повторите логи, начиная с п. 10 правил.
-
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось Лангольер; 03.09.2008 в 13:13.
-
Выполнить в AVZ скрипт:
Код:
begin
// Очистка файла Hosts
ClearHostsFile;
end.
Опыт — это слово, которым люди называют свои ошибки.
-
-
Junior Member
- Вес репутации
- 63
Скрипт выполнен без ошибок
-
Что из этого используется ?
Код:
Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
-
-
Junior Member
- Вес репутации
- 63
С удовольствием пооттключаю всё.
Буду благодарен за скрипт.
-
Лангольер,
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
P.S.По секрету всему свету скажу: скрипт уже готов в самом логе авз , который предоставили - просто нажать нужно
-
-
Junior Member
- Вес репутации
- 63
@Drongo.
Точно)
Скрипт выполнен без ошибок.
Анализы пациенту ещё раз сдать?