Trojan.DownLoader
Добрый день.
Несколько дней назад обнаружила, что мой компьютер скачивает из Интернета по 16-17 Мб каждые 6 минут. Антивирус SUPERAntiSpyware обнаружил в нескольких файлах Trojan.DownLoader. Я их удалила и это, естественно, не помогло. Поставила FireWall, который каждые 6 минут перехватывает попытки процесса ndetect.exe выйти в Интернет. Dr.Web при каждом сканировании находит все новые вирусы.
Помогите, пожалуйста. Заранее спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
После перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\План.xls',''); QuarantineFile('SocksA.exe',''); QuarantineFile('C:\WINDOWS\system32\sw24.exe',''); QuarantineFile('C:\WINDOWS\system32\sw20.exe',''); RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
необходимо обновить базы AVZ при помощи автоматического обновления (Файл/Обновление баз)
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Базу обновила и отправила Вам содержимое карантина
SocksA.exe-не попал - поискать в ручную по по второму пункту правил.
Экземпляры свежие.Сейчас сделаем скрипт.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
tel.xls.exe - вот этот файлик надо поискать через AVZ и загрузить
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Файлы в карантин не добавились. Я прикрепила лог с ошибками. TotalComander эти файлы тоже не находит.
Простите, нашла как искать файлы через AVZ, сейчас поищу там.
wscntfy.exe на всякий случай тоже прислать, а вдруг патченный
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Искать файлы так: Сервис -- Поиск файлов на диске.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
3.Продолжим после того как пришлёте остальныеКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\sw24.exe'); DeleteFile('C:\WINDOWS\system32\sw20.exe'); DeleteFile('C:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Файлы tel.xls.exe и SocksA.exe AVZ тоже не находит, даже с запросами '*SocksA*.exe', '*tel*.*xls*.exe'.
А wscntfy.exe находит, но в карантин не добавляет ни из поиска, ни добавлением в карантин по списку. Об ошибках не сообщает.
SocksA.exe я видела в реестре в ключах для автозагрузки.
tel.xls.exe сегодня видела на флешке, после чего сразу ее отформатировала, при сканировании флешка подсоединена не была.
Добавлено через 15 минут
Фикс сделала, скрипт выполнила
Последний раз редактировалось Mila; 26.09.2007 в 17:06. Причина: Добавлено
Чувствую надо чистить все флешки с autorun.inf.
Делайте повторные логи, как в начале.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-убить- можно используя менеджер автозагрузки в AVZ.SocksA.exe я видела в реестре в ключах для автозагрузки.
Сделать новые логи по правилам(это значит читать правила внимательней и выгрузить все антивирусы и антишопионы перед сканированием) и прикрепить к следующему сообщению
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
SocksA.exe удалила
Вот новые логи
Логи чистые.
Определяйте, что из этого не нужно, будем закрывать.
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Можно закрыть:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Остальное нужно оставить.
Вот вам скрипт:
Кстати, в Планировщике сидит нестандартное задание - файлик экселя.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); end.
Надо его в другое место поместить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо Вам огромное! Вы - замечательные люди, с Вами очень приятно было общаться.
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Уважаемый(ая) Mila, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
