Junior Member
Вес репутации
61
злой вирус
При подключении интернета ( на любом сайте) в трее появляется красный круг с белым крестом и периодически высвечивается сообщение "Warning! Security report Your computer is infected! It is strongly recommended to start spyware cleaner tool". Symantec Antivirus поместил в изолятор Softstop. После этого рабочий стол стал однотонным, не возможно изменить рабочий стол
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
пофиксите...
Код:
O4 - HKLM\..\Run: [Windows Framework] C:\DOCUME~1\Alexey\LOCALS~1\Temp\frmwrk.exe
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\docume~1\alexey\locals~1\temp\frmwrk.exe','');
DeleteFile('c:\docume~1\alexey\locals~1\temp\frmwrk.exe');
BC_ImportAll;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteSysClean;
RebootWindows(true);
end.
пришлите крантин согласно приложения 3 правил ...
повторите логи...
Junior Member
Вес репутации
61
Большое спасибо все полечилось. Посылаю карантин.
Вложения
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\mssvmdll.dll','');
QuarantineFile('C:\Documents and Settings\Alexey\uncwqs.dll','');
QuarantineFile('C:\Documents and Settings\Alexey\dfgaert.dll','');
QuarantineFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\mstsk32.dll','');
QuarantineFile('C:\Documents and Settings\Alexey\krnl32.dll','');
QuarantineFile('C:\WINDOWS\System32\svhc32.dll','');
QuarantineFile('C:\WINDOWS\System32\krnl32.dll','');
QuarantineFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\winhid64.dll','');
QuarantineFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\sthbdm32.dll','');
QuarantineFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\krnl32.dll','');
QuarantineFile('C:\Documents and Settings\Alexey\sthbdm32.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
Junior Member
Вес репутации
61
скрипт выполнил, посылаю карантин
Вложения
Карантина вашего нет, ни от первого скрипта ни от второго.
I am not young enough to know everything...
Карантины загружают по ссылке "Прислать запрошенные файлы" вверху темы.
Из сообщения его уберите.
Добавлено через 18 минут
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Alexey\sthbdm32.dll');
DeleteFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\krnl32.dll');
DeleteFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\sthbdm32.dll');
DeleteFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\winhid64.dll');
DeleteFile('C:\Documents and Settings\Alexey\krnl32.dll');
DeleteFile('C:\WINDOWS\System32\krnl32.dll');
DeleteFile('C:\WINDOWS\System32\svhc32.dll');
DeleteFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\mstsk32.dll');
DeleteFile('C:\Documents and Settings\Alexey\dfgaert.dll');
DeleteFile('C:\Documents and Settings\Alexey\uncwqs.dll');
DeleteFile('C:\DOCUME~1\Alexey\LOCALS~1\Temp\mssvmdll.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-dcf7-f96da086b434} - C:\DOCUME~1\Alexey\LOCALS~1\Temp\sthbdm32.dll
O2 - BHO: (no name) - {6C6B8C69-9285-4D94-8492-9E920C8C2B65} - C:\DOCUME~1\Alexey\LOCALS~1\Temp\winhid64.dll
O2 - BHO: (no name) - {74f25a2c-22b3-4023-8f1a-ca616c30a8b5} - C:\Documents and Settings\Alexey\sthbdm32.dll
O2 - BHO: (no name) - {c5183abc-eb6e-4e05-b8c9-500a16b6cf94} - C:\DOCUME~1\Alexey\LOCALS~1\Temp\krnl32.dll
O3 - Toolbar: (no name) - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\DOCUME~1\Alexey\LOCALS~1\Temp\mstsk32.dll
O3 - Toolbar: (no name) - {12EE7A5E-0674-42f9-A76B-000000004D00} - C:\Documents and Settings\Alexey\dfgaert.dll
O3 - Toolbar: (no name) - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Documents and Settings\Alexey\uncwqs.dll
O3 - Toolbar: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - C:\DOCUME~1\Alexey\LOCALS~1\Temp\mssvmdll.dll
Сделайте новые логи.
Последний раз редактировалось Bratez; 28.09.2007 в 18:15 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
61
извените сразу не совсем понял
Junior Member
Вес репутации
61
Вложения
SpywareSoftStop нужно удалить через установку удаление программ (это чистое мошенничество) ....
чем из этого пользуетесь ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Junior Member
Вес репутации
61
SpywareSoftStop удалил.
из всего списка используется только:
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
выполните скрипт ...
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
Junior Member
Вес репутации
61
скрипт выполнил. Огромное спасибо. Как я могу Вас отблагадорить?
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 32 В ходе лечения обнаружены вредоносные программы:
c:\\docume~1\\alexey\\locals~1\\temp\\frmwrk.exe - Hoax.Win32.Renos.iw (DrWEB: Trojan.Fakealert.327)