Сообщение "Warning! Potential spywqre operation!" появляется примерно каждые 5 мин.
NOD32 бесплатный и CureIt не помогли.
Отключить восстановление системы не пускает.
Сообщение "Warning! Potential spywqre operation!" появляется примерно каждые 5 мин.
NOD32 бесплатный и CureIt не помогли.
Отключить восстановление системы не пускает.
Богато у Вас тут накопилось.
Выполнить скрипт:
После перезагрузки загрузить карантин через ссылку вверху темы.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('msvcrt64.dll',''); QuarantineFile('Explorer.exe C:\WINDOWS\system32\printer.exe',''); QuarantineFile('C:\WINDOWS\system32\sulimo.dat',''); QuarantineFile('C:\Documents and Settings\Git\Главное меню\Программы\Автозагрузка\system.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe',''); QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe',''); QuarantineFile('C:\WINDOWS\system32\pwdmon.dll',''); BC_DeleteFile('C:\WINDOWS\system32\WinAvXX.exe'); DeleteFile('C:\WINDOWS\system32\WinAvXX.exe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); DeleteFile('C:\Documents and Settings\Git\Главное меню\Программы\Автозагрузка\system.exe'); BC_DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); BC_DeleteFile('C:\Documents and Settings\Git\Главное меню\Программы\Автозагрузка\system.exe'); DeleteFile('C:\WINDOWS\system32\sulimo.dat'); BC_DeleteFile('C:\WINDOWS\system32\sulimo.dat'); DeleteFile('Explorer.exe C:\WINDOWS\system32\printer.exe'); BC_DeleteFile('Explorer.exe C:\WINDOWS\system32\printer.exe'); DeleteFile('msvcrt64.dll'); BC_DeleteFile('msvcrt64.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Профиксить:
Сделать новые логи.Код:O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O20 - Winlogon Notify: fanxctrl - fanxctrl.dll (file missing)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин отправил.
Новые логи:
C:\WINDOWS\system32\pwdmon.dll - чистый
C:\WINDOWS\system32\WinAvXX.exe
Остальные попавшие, похоже точно такие же.Код:Файл avz00004.dta получен 2007.10.03 11:30:52 (CET)Антивирус Версия Обновление Результат AhnLab-V3 2007.10.3.0 2007.10.02 - AntiVir 7.6.0.18 2007.10.02 TR/Crypt.ULPM.Gen Authentium 4.93.8 2007.10.03 Possibly a new variant of W32/Fathom.3-based!Maximus Avast 4.7.1043.0 2007.10.02 - AVG 7.5.0.488 2007.10.02 - BitDefender 7.2 2007.10.03 - CAT-QuickHeal 9.00 2007.10.02 - ClamAV 0.91.2 2007.10.03 - DrWeb 4.44.0.09170 2007.10.03 - eSafe 7.0.15.0 2007.10.02 suspicious Trojan/Worm eTrust-Vet 31.2.5182 2007.10.03 - Ewido 4.0 2007.10.02 - FileAdvisor 1 2007.10.03 - Fortinet 3.11.0.0 2007.10.03 - F-Prot 4.3.2.48 2007.10.03 W32/Fathom.3-based!Maximus F-Secure 6.70.13030.0 2007.10.03 - Ikarus T3.1.1.12 2007.10.03 - Kaspersky 7.0.0.125 2007.10.03 - McAfee 5132 2007.10.02 New Malware.bc Microsoft 1.2803 2007.10.03 Trojan:Win32/SystemHijack.gen NOD32v2 2568 2007.10.03 - Norman 5.80.02 2007.10.02 - Panda 9.0.0.4 2007.10.03 Suspicious file Prevx1 V2 2007.10.03 Spyware.WinAntiVirus Rising 19.43.10.00 2007.10.02 - Sophos 4.22.0 2007.10.03 Mal/HckPk-A Sunbelt 2.2.907.0 2007.10.03 - Symantec 10 2007.10.03 - TheHacker 6.2.6.076 2007.10.03 - VBA32 3.12.2.4 2007.10.03 - VirusBuster 4.3.26:9 2007.10.02 - Webwasher-Gateway 6.0.1 2007.10.02 Trojan.Crypt.ULPM.Gen Дополнительная информация File size: 7680 bytes MD5: deb743bf6e559857315bd69e4a734cf6 SHA1: db6ae94b25333b3dd9993061bde08b485eac8132 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=CD2653B7005047B81E9C0094309B6600BA310C53
В повторных логах их нет, значит удалились.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Большое спасибо!
1.Вот этот файлик поищите в AVZ C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
и загрузите его.
2.Что из этого не пользуете? Надо отключить.
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
3.плюс в hijackthis профксить неск. строчек
4. плюс оставить один работающий антивирус.Код:O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O21 - SSODL: msvcrt64.dll - {8A18BF86-F19C-4917-8337-ECAAD75DB9EC} - (no file)
Добавлено через 2 часа 1 минуту
not-virus:Hoax.Win32.Renos.lb по ЛК - свеженький . Теперь будет называться так.
Последний раз редактировалось PavelA; 03.10.2007 в 15:46. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\autorun.exe - Hoax.Win32.Renos.lb (DrWEB: Trojan.Fakealert.357)
- c:\\documents and settings\\git\\главное меню\\программы\\автозагрузка\\system.exe - Hoax.Win32.Renos.lb (DrWEB: Trojan.Fakealert.357)
- c:\\windows\\system32\\winavxx.exe - Hoax.Win32.Renos.lb (DrWEB: Trojan.Fakealert.357)
Уважаемый(ая) alex_grig, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.