Висел в трее значком, от туда прибился. Но сообщения Windows Security Alert Warning! Potential Spyware Operation... выскакивают с завидным постоянством. Календарь, панель управления блокированы, regedit есть.
Логи сделал по правилам выкладываю.
Висел в трее значком, от туда прибился. Но сообщения Windows Security Alert Warning! Potential Spyware Operation... выскакивают с завидным постоянством. Календарь, панель управления блокированы, regedit есть.
Логи сделал по правилам выкладываю.
Честно говоря многовато накопили добра.
Выполнить скрипт:
Загрузить ВЕСЬ карантин через ссылку вверху темы.Код:begin Clearhostsfile; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\system32\systems.txt',''); QuarantineFile('C:\WINNT\system32\ntos.exe',''); QuarantineFile('c:\winnt\system32\printer.exe',''); QuarantineFile('autorun.exe',''); QuarantineFile('system.exe',''); QuarantineFile('C:\WINNT\system32\WinAvXX.exe',''); BC_DeleteFile('C:\WINNT\system32\ntos.exe'); DeleteFile('C:\WINNT\system32\ntos.exe'); DeleteFile('C:\WINNT\system32\systems.txt'); BC_DeleteSvc('kpoof'); BC_DeleteSvc('poof'); BC_DeleteFile('C:\WINNT\system32\systems.txt'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Почистить:C:\Documents and Settings\Администратор\Local Settings\Temp\
Сменить ВСЕ пароли, т.к. был Пинч.
Сделать новые логи.
В дополнение к скрипту: провериться Cure-It полностью, желательно сначала в защищенном режиме, а потом в обычном.
Последний раз редактировалось PavelA; 25.09.2007 в 18:14.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Скрипт исполнил.
Карантин выслсал.
Темп почистил.
Новые логи добавляю.
Cure-it пока не проверял.
Гадость пока присутствует - выкидывает сообщение раз в 5 минут.
Последний раз редактировалось Shu_b; 25.09.2007 в 21:58. Причина: HiJackThis.ехе нам не нужен
из попавших в карантин ....
c:\winnt\system32\printer.exe Trojan.Win32.Qhost.oj
C:\WINNT\system32\systems.txt not-virus;Hoax.Win32.Renos.jh
C:\WINNT\system32\WinAvXX.exe Trojan.Win32.Qhost.oj
C:\WINNT\system32\ntos.exe Trojan.Agent.AFGS
выполните скрипт...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\system.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe',''); DeleteFile('c:\winnt\system32\printer.exe'); DeleteFile('C:\WINNT\system32\WinAvXX.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\winlogon.exe'); BC_ImportAll; BC_Activate; ClearHostsFile; ExecuteSysClean; RebootWindows(true); end.
Скрипт выполнил!
Карантин прислал по правилам.
Сообщение снова лезет!!!
Спасибо что помогаете, а то совсем запарило оно!
Добавлено через 8 минут
А логи снова высылать?
Просто WinAvXX.exe снова сидит в System32!
Последний раз редактировалось Toutlemond; 26.09.2007 в 18:52. Причина: Добавлено
system.exe - троян Trojan.Virantix по Симантеку
Вот описание: http://safe.cnews.ru/bugtrack/entry/...7/07/31/102765
второй тоже.
Будем убивать.
После перезагрузки через AVZ - Восст. системы - отметить п.п.2,3,4 нажать Выполнить.Код:begin Clearhostsfile; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\system.exe'); DeleteFile('C:\WINNT\system32\WinAvXX.exe'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Сделать новые логи.
Последний раз редактировалось PavelA; 26.09.2007 в 19:07.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Ок! Сделал как надо, вот логи !
Описание почитал - все совпадает!
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINNT\system32\WinAvXX.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\system.exe',''); QuarantineFile('c:\winnt\system32\printer.exe',''); DeleteFile('c:\winnt\system32\printer.exe'); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\system.exe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); DeleteFile('C:\WINNT\system32\WinAvXX.exe'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
повторите логи...
А почему "Восст. системы" включено? Страшно отключать или прятно долго лечится.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
а разве в W2K восстановление?
А и еще невозможно попасть в панель управления - как ее включить через реестр? При выборе свойства в "Мой компьютер" оно не пускает то же, типа прав нет :-)
скрипт выполнил, Карантин отослал а вот и логи!
И кстати панель управления я включил обратно.
В логах больше ничего подозрительного.
Выполните скрипт:
И вот это посмотрите:Код:begin ExecuteRepair(6); ExecuteRepair(13); ExecuteRepair(17); end.
Что используете - скажите, остальное поправим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром) >> разрешена потенциально опасная служба TlntSvr (Telnet) >> разрешена потенциально опасная служба TlntSvr (Telnet) >> разрешена потенциально опасная служба Messenger (Служба сообщений) >> разрешена потенциально опасная служба Alerter (Оповещатель) >> разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >> Безопасность: Разрешены терминальные подключения к данному ПК >> Безопасность: Разрешена отправка приглашений удаленному помошнику >> Безопасность: разрешен автоматический вход в систему
I am not young enough to know everything...
И ведь действительно!
Сообщение больше не вылезает!
Спасибо огромное, парни! Без вас бы форматнул все к чертям
Хорошо что есть люди готовые помочь в трудную минуту!
А из перечисленого скорее всего почти ничего и не надо разве что
>> Безопасность: разрешен автоматический вход в систему
тогда такой скрипт...
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('Schedule', 4); SetServiceStart('Alerter', 4); SetServiceStart('Messenger', 4); SetServiceStart('TlntSvr', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 46
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\autorun.exe - Trojan.Win32.Qhost.oj (DrWEB: Trojan.Fakealert.305)
- c:\\documents and settings\\администратор\\главное меню\\программы\\автозагрузка\\system.exe - Trojan.Win32.Qhost.oj (DrWEB: Trojan.Fakealert.305)
- c:\\winnt\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.adj (DrWEB: Trojan.Packed.180)
- c:\\winnt\\system32\\printer.exe - Trojan.Win32.Qhost.oj (DrWEB: Trojan.Fakealert.305)
- c:\\winnt\\system32\\systems.txt - Hoax.Win32.Renos.jh (DrWEB: Trojan.Fakealert.305)
- c:\\winnt\\system32\\winavxx.exe - Trojan.Win32.Qhost.oj (DrWEB: Trojan.Fakealert.305)
Уважаемый(ая) Toutlemond, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.