-
Junior Member
- Вес репутации
- 61
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
пофиксите ....
Код:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [SoundMam] C:\WINDOWS\system32\svohost.exe
O4 - HKLM\..\Run: [IMJPMIG8.2] msime80.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [MsServer] msfir80.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.e
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=
O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
выполните скрипт....
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('autorun.bat','');
QuarantineFile('msime80.exe','');
QuarantineFile('msfir80.exe','');
QuarantineFile('C:\WINDOWS\system32\printer.exe','');
QuarantineFile('C:\WINDOWS\system32\svohost.exe','');
QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
QuarantineFile('C:\Documents and Settings\Andelik\Рабочий стол\install_en.exe','');
QuarantineFile('C:\Documents and Settings\Andelik\Главное меню\Программы\Автозагрузка\system.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
QuarantineFile('C:\WINDOWS\system32\winscok.dll','');
QuarantineFile('c:\windows\system32\winavxx.exe','');
QuarantineFile('c:\windows\system32\svohost.exe','');
DeleteFile('c:\windows\system32\svohost.exe');
DeleteFile('c:\windows\system32\winavxx.exe');
DeleteFile('C:\WINDOWS\system32\winscok.dll');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\Andelik\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
DeleteFile('C:\WINDOWS\system32\sulimo.dat');
DeleteFile('C:\WINDOWS\system32\svohost.exe');
DeleteFile('C:\WINDOWS\system32\printer.exe');
DeleteFile('msfir80.exe');
DeleteFile('msime80.exe');
BC_ImportAll;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteSysClean;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил...
повторите логи...
-
-
Junior Member
- Вес репутации
- 61
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
Я не вижу этих строк. Все есть, кроме этих 2х...
-
честно , я их не выдумал
выполняйте скрипт ... и повторяйте логи ...
-
-
Junior Member
- Вес репутации
- 61
Do a system scan only >>
04 - Global Startup: Kaspersky anti-hacker.lnk.....
04 - Global Startup: Microsoft Office.lnk...
Это всего 2 строки где упоминается Startup.
Я просто плохо разбираюсь в этом, но я уже перепроверил эту ветку (HiJackThis) раз 10, нету этих 2х строк там...
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
-
выполняйте скрипт ... и повторяйте логи ...
-
-
Junior Member
- Вес репутации
- 61
Извиняюсь за столь поздний ответ, уснул во время сканирования
Вот логи.
Заранее спасибо, табличка с запросом на апдейт СпайВер оборудования перестала вылезать и права вернулись
Последний раз редактировалось andrelik; 09.11.2010 в 21:29.
-
В карантине пришло:
C:\autorun.bat - VBS.Igidak
C:\WINDOWS\system32\printer.exe - Trojan.Fakealert.357
C:\WINDOWS\system32\sulimo.dat - Trojan.Proxy.1739
C:\WINDOWS\system32\WinAvXX.exe - Trojan.Fakealert.357
C:\WINDOWS\system32\winscok.dll - Trojan.DownLoader.14298
(по классификации DrWeb)
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
Clearquarantine;
Clearhostsfile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\CmdLineExt.dll','');
QuarantineFile('C:\Documents and Settings\Арина\Главное меню\Программы\Автозагрузка\system.exe','');
QuarantineFile('C:\Program Files\Spyware Process Detector\spydetector.exe','');
DeleteFile('C:\WINDOWS\system32\sulimo.dat');
BC_DeleteFile('C:\WINDOWS\system32\sulimo.dat');
DeleteFile('C:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('G:\autorun.inf');
BC_DeleteFile('C:\autorun.inf');
BC_DeleteFile('E:\autorun.inf');
BC_DeleteFile('F:\autorun.inf');
BC_DeleteFile('G:\autorun.inf');
DeleteFile('C:\autorun.vbs');
DeleteFile('E:\autorun.vbs');
DeleteFile('F:\autorun.vbs');
DeleteFile('G:\autorun.vbs');
BC_DeleteFile('C:\autorun.vbs');
BC_DeleteFile('E:\autorun.vbs');
BC_DeleteFile('F:\autorun.vbs');
BC_DeleteFile('G:\autorun.vbs');
DeleteFile('C:\autorun.bin');
DeleteFile('E:\autorun.bin');
DeleteFile('F:\autorun.bin');
DeleteFile('G:\autorun.bin');
BC_DeleteFile('C:\autorun.bin');
BC_DeleteFile('E:\autorun.bin');
BC_DeleteFile('F:\autorun.bin');
BC_DeleteFile('G:\autorun.bin');
DeleteFile('C:\WINDOWS\system32\autorun.inf');
DeleteFile('C:\WINDOWS\system32\autorun.vbs');
DeleteFile('C:\WINDOWS\system32\autorun.bin');
BC_DeleteFile('C:\WINDOWS\system32\autorun.inf');
BC_DeleteFile('C:\WINDOWS\system32\autorun.vbs');
BC_DeleteFile('C:\WINDOWS\system32\autorun.bin');
bc_importquarantinelist;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, если останутся, пофиксите с помощью Hijackthis строчки:
Код:
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
, загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=13373 , как написано в прил.3 правил и повторите логи, начиная с п. 10 правил.
-
-
Junior Member
- Вес репутации
- 61
Всё сделал, через ХайДжек не фиксил после АВЗ. Вроде ничего не нашёл. Вот логи.
Последний раз редактировалось andrelik; 09.11.2010 в 21:29.
-
C:\Documents and Settings\Арина\Главное меню\Программы\Автозагрузка\system.exe - Trojan.Fakealert.357 (по классификации DrWeb)
Пофиксите в Hijackthis строчку
Код:
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
BC_deletefile('C:\Documents and Settings\Арина\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\Documents and Settings\Арина\Главное меню\Программы\Автозагрузка\system.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('SSDPSRV', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
. Система будет перезагружена. В дополнение, все-же, проверьте систему Cureit! , загрузившись в безопасном режиме. ВНИМАНИЕ! Программа Cureit! при запуске проводит экспресс-проверку системы, по окончании которой вы САМИ должны выбрать пункт "Полная проверка" и нажать кнопку "Начать проверку" И еще: вы сами ставили вот эту штуку: Spyware Process Detector?
Последний раз редактировалось Numb; 20.10.2007 в 15:26.
-
-
После удаления этого таракана скорее всего станет актуальной такая информация:
http://virusinfo.info/showthread.php?t=8877
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
ТТ...да, ставил вроде я, после выведения сообщения, но Анти-Хакер не дал скачать...
И ещё, сообщение снова начало появляться
Может быть следует удалить всех других пользователей кроме меня?
-
Вы невнимательно читаете наши сообщения. Два последних сообщения (мое и Bratez-а) прочтите еще раз и выполните то, что там рекомендовали.
-
-
Junior Member
- Вес репутации
- 61
Всё сделал как написали, но Warning! Potential Spyware Operation так и появляется, и права снова закрыли
Spyware Process Detector? - если это то, на что ссылался сам вирус в начале, да, я начал закачку, но Анти-Хакер закачать не дал.
Что мне сделать (опять) чтоб получить права и убить эту надпись?
Последний раз редактировалось andrelik; 09.11.2010 в 21:29.
-
Давайте снова, внимательно и по порядку.
1. Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [NI.UGA6P_0001_N119M1510] "C:\Documents and Settings\Andelik\Рабочий стол\install_en.exe"
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [spyprodetector] C:\Program Files\Spyware Process Detector\spydetector.exe TRAY
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\printer.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\Andelik\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
DeleteFile('Explorer.exe C:\WINDOWS\system32\printer.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
3. Пришлите по правилам файлы:
C:\Documents and Settings\Andelik\Рабочий стол\install_en.exe
C:\Program Files\Spyware Process Detector\spydetector.exe
4. Опять autorun.inf у вас на дисках E, F, G.
Выполните еще раз эту процедуру:
http://virusinfo.info/showthread.php?t=8877
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Всё сделал как вы и просилил, НО:
3. Пришлите по правилам файлы:
C:\Documents and Settings\Andelik\Рабочий стол\install_en.exe
C:\Program Files\Spyware Process Detector\spydetector.exe
Нету их на компе. Искал по правилам - 0, искал через проводник, просто по компу, через поиск - 0...нету...
Вот логи.
П.С. Всё забываю спросить. Я проверял систему Кьюритом старой версии, апдейт посылает на фтпшник, но он уже 2ой день лежит
Последний раз редактировалось andrelik; 09.11.2010 в 21:29.
-
Что ж, "на нэт и суда нэт"
В логах чисто. Осталось только поправить вот это:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
Скажите, что нужно / не нужно, скрипт напишем.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Хм...в принципе, не андерстенд ничего ^^
Компом пользуюсь в основном для универа, игры в инете :p, распечатки и по другим мелочам. Расписания, Службы терминалов o.O - явно не для меня т.к. я вроде даже не совсем понимаю что енто..
Часто подключаю свой САТАшный хард через Сата рейд, так что административный доступ к дискам наверное нужен (если это оно и есть).
Доступ анонимного пользователя - а зачем ему сюда лезть? У мну 3 пользователя зареганых, пусть тока они и ходят. Сестра, Отец и я.
IFRAME - понятия не имею для чего это...
АктивИкс - он нужен, есть несколько сайтов которые не дают работать с собой без установки оного...
-
почитайте ... Службы Windows XP
как я понимаю, закрываем все ....
запретить автоматические запросы элементов управления ActiveX очень вредная штука ... советую убрать ... и вообще лучше использовать оперу или огненного лиса...
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 61
Огромнейшее спасибо вам /bow /kneel
Спасибо что помогли вылечить мой бедный компутер