Аваст поймал какой-то вирь, рассылающий спам, убил его Cureit
посмотрите логи пожалуста
Аваст поймал какой-то вирь, рассылающий спам, убил его Cureit
посмотрите логи пожалуста
Не всё убили. Сейчас поправим
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sрoоlsv.exe',''); QuarantineFile('C:\WINDOWS\system32\7z.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys',''); QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA',''); DeleteFile('c:\WINDOWS\system32\svchost.exe:exe.exe:$DATA'); DeleteFile('c:\WINDOWS\system32\svchost.exe:ext.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys'); BC_DeleteSvc('FCI'); BC_DeleteSvc('Spa992apr'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(17); BC_Activate; RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13334
P.S.новые логи в студию.
Последний раз редактировалось drongo; 18.10.2007 в 17:45.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
выполнил, вот логи и карантин
Пофиксите в HijackThis:
Выполните скрипт в безопасном режиме:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\7z.exe, O4 - HKCU\..\Run: [NeroFilterCheck] sрoоlsv.exe
Пришлите карантин, если будет не пустой.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sрoоlsv.exe',''); QuarantineFile('C:\WINDOWS\system32\7z.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys'); DeleteFile('C:\WINDOWS\system32\sрoоlsv.exe'); DeleteFile('C:\WINDOWS\system32\7z.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи.
I am not young enough to know everything...
выполнил, новые скрипты:
и карантин
Больше вредного не вижу.
Надо лишнее закрывать:
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
спасибо в очередной раз.
в карантин ничего интересного не попало ...
выполните скрипт ...
сделайте лог http://virusinfo.info/showthread.php?t=10387Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys'); BC_DeleteSvc('mchInjDrv'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось V_Bond; 18.10.2007 в 20:10.
всё же свежего пинча поймали http://virusinfo.info/showpost.php?p...1&postcount=24
выполните скрипт ...
сделайте лог http://virusinfo.info/showthread.php?t=10387Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\wupdsvc0.exe'); DeleteFile('C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\RMCFVHK1\msntsrv[1].exe'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
меняйте пароли срочно!
Последний раз редактировалось drongo; 19.10.2007 в 01:05.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
прошу прощения, менять пароли где и на что?
надеюсь завтра доберусь до машины этой, доделаю...
на всё начиная от учётных записей, кончая форумами, мылом, пароли аськи и тд ...
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
блин, так серьёзно?
хорошо, постараюсь...
Лучше перестраховаться и поменять пароли от всего что связанно с интернетом,возможно, что пинч и не успел выполнить своих функций
Давайте уберём не нужные Вам службы:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); RebootWindows(true); end.
И повторите логи для контроля.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\user\\local settings\\temporary internet files\\content.ie5\\rmcfvhk1\\msntsrv[1].exe - Trojan.Win32.Agent.cia (DrWEB: Trojan.PWS.LDPinch.2454)
- c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Obfuscated.jb (DrWEB: Trojan.Spambot.2491)
- c:\\windows\\system32\\wupdsvc0.exe - Trojan.Win32.Agent.cia (DrWEB: Trojan.PWS.LDPinch.2454)
Уважаемый(ая) Gaer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.