Вот такой зоопарк обнаружился:
Worm.Sifiliz
Trojan.DownLoader.28665
Trojan.PWS.LDPinch.2369
Trojan.PWS.Webmonier
VBS.Psyme.444
Trojan.DownLoader.31195
Trojan.DownLoader.33215
VBS.PackFor
Trojan.Packed.166
логи:
Наборчик: LDPinch, DownLoader, Worm.Sifiliz и др
Вот такой зоопарк обнаружился:
Worm.Sifiliz
Trojan.DownLoader.28665
Trojan.PWS.LDPinch.2369
Trojan.PWS.Webmonier
VBS.Psyme.444
Trojan.DownLoader.31195
Trojan.DownLoader.33215
VBS.PackFor
Trojan.Packed.166
логи:
Последний раз редактировалось Rogoff; 14.01.2008 в 12:48.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, если останутся, пофиксите с помощью hijackthis строки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\syst153.dll',''); QuarantineFile('C:\WINDOWS\system32\ldfjksdhejf.dll',''); QuarantineFile('C:\DOCUME~1\42C3~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\DOCUME~1\42C3~1\LOCALS~1\Temp\svchots.exe',''); DeleteFile('C:\DOCUME~1\42C3~1\LOCALS~1\Temp\svchots.exe'); DeleteFile('C:\DOCUME~1\42C3~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\ldfjksdhejf.dll'); DeleteFile('C:\WINDOWS\system32\syst153.dll'); BC_Importall; BC_Activate; ExecuteSysClean; RebootWindows(true); end.Карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=12811 , как написано в прил.3 правил , скачайте новую версию Hijackthis (ссылка - в правилах), обновите базы AVZ ( AVZ - файл - обновление баз) и сделайте новые логи.Код:O2 - BHO: C:\WINDOWS\system32\ldfjksdhejf.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\ldfjksdhejf.dll (file missing) O4 - HKCU\..\Run: [Restore Operation] C:\DOCUME~1\42C3~1\LOCALS~1\Temp\svchots.exe O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\42C3~1\LOCALS~1\Temp\winlogon.exe O20 - AppInit_DLLs: C:\WINDOWS\system32\syst153.dll
В карантин ничего не попало. Вручную тоже ничего не нашел.
Так ведьСообщение от Rogoff
скачайте новую версию Hijackthis (ссылка - в правилах), обновите базы AVZ ( AVZ - файл - обновление баз) и сделайте новые логи.
прошу прощения за невнимательность, логи:
Последний раз редактировалось Rogoff; 14.01.2008 в 12:47.
На всякий случай, найдите и загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=12811 файлПомимо этого, следующее:Код:c:\windows\system32\ctfmon.exeА так, вроде-бы, чисто.
- У вас через файл hosts осуществляется попытка болкировки серверов webmoney. Это вы сами писали? Если нет, то программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:begin clearhostsfile; end.- Какие из этих служб вами используются?
В принципе, если это домашняя машина, можно отключить все.Код:8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя- Виден DrWeb. Если программа лицензионная, то рекомендуется обновиться до версии 4.44 Автоматического обновления с версии 4.33 на версию 4.44 , насколько я знаю, на данный момент не происходит - следует вручную скачать дистрибутив с сайта разработчика и выполнить установку поверх предыдущей версии
и вот скрипт отключающий ненужные службы(оставил только автозапуск сд)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); RebootWindows(true); end.
c:\windows\system32\ctfmon.exe загрузил:
Файл сохранён как 071004_193229_virus_4705861dd97e0.zip
Размер файла 9464
MD5 d2386b988ee704b6fbbfee5fe4d7fa89
файл hosts почистил
из служб не используется ни одна, а вот комп работает в сети и имеет общие ресурсы
Последний раз редактировалось Rogoff; 14.01.2008 в 12:47.
выполнил скрипт по отключению ненужных служб и теперь на комп нельзя зайти по сети.
вот так тогда.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 0); RebootWindows(true); end.
Уважаемый(ая) Rogoff, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
