Показано с 1 по 7 из 7.

пытаются прорваться IEGrabber etc (заявка № 13500)

  1. #1
    Junior Member Репутация
    Регистрация
    24.10.2007
    Сообщений
    16
    Вес репутации
    34

    Exclamation пытаются прорваться IEGrabber etc

    при загрузке Windows появляется окно мои документы, NOD32 говорит об угрозе от файлов IEGrabber, IEFaker, CertGrabber, PSGrabber, и периодически напоминает об этом. Больше никаких неприятностей не замечал.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
    O2 - BHO: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - C:\WINDOWS\system32\winload.dll
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system32\svchost.exe:EXT.VEXE:$DATA','');
    QuarantineFile('c:\windows\system32\svchost.exe:EXT.VEXE','');
    QuarantineFile('C:\WINDOWS\explorer.exe:mian.nest:$DATA','');
    QuarantineFile('C:\WINDOWS\explorer.exe:httpcomm:$DATA','');
    QuarantineFile('c:\windows\explorer.exe:extractor3.jpg:$DATA','');
    QuarantineFile('c:\windows\explorer.exe:extractor3.jpg','');
     QuarantineFile('C:\WINDOWS\explorer.exe:mian.nest','');
     QuarantineFile('C:\WINDOWS\explorer.exe:httpcomm','');
     QuarantineFile('C:\WINDOWS\system32\winload.dll','');
     DeleteFile('C:\WINDOWS\system32\winload.dll');
    DeleteFile('C:\WINDOWS\explorer.exe:mian.nest:$DATA');
    DeleteFile('C:\WINDOWS\explorer.exe:httpcomm:$DATA');
    DeleteFile('c:\windows\explorer.exe:extractor3.jpg:$DATA');
    DeleteFile('c:\windows\explorer.exe:extractor3.jpg');
     DeleteFile('C:\WINDOWS\explorer.exe:httpcomm');
     DeleteFile('C:\WINDOWS\explorer.exe:mian.nest');
    DeleteFile('c:\windows\system32\svchost.exe:EXT.VEXE:$DATA');
    DeleteFile('c:\windows\system32\svchost.exe:EXT.VEXE');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Сделайте новые логи.

    Добавлено через 1 минуту

    + на всякий случай такой лог: http://virusinfo.info/showthread.php?t=10387
    Последний раз редактировалось Bratez; 24.10.2007 в 17:31. Причина: Добавлено
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    24.10.2007
    Сообщений
    16
    Вес репутации
    34
    Спасибо, для меня это колдунство какое-то! теперь все ок. Только вот архив не запаролил, извиняюсь. Вот лог
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Карантина вашего нет. Пришлите обязательно (см. приложение 3 правил), т.к. у вас явно было что-то новенькое. Загружать тут: http://virusinfo.info/upload_virus.php?tid=13500

    Нужны новые логи AVZ по правилам + дополнительный, как описано тут:
    http://virusinfo.info/showthread.php?t=10387
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    24.10.2007
    Сообщений
    16
    Вес репутации
    34
    извиняюсь за задержку, вроде вчера выкладывал карантин... выкладываю еще раз, если опять не получилось, значит что-то с руками. кстати появилась еще одна папка с карантином, после сегодняшнего сканирования AVZ, ее тоже загрузить?
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Все отлично. Карантин получен, в логах порядок.

    Для профилактики очистите временные файлы IE и посмотрите, нужно ли вам что-то из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Все ненужное желательно отключить.
    I am not young enough to know everything...

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,514
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 26
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\explorer.exe:extractor3.jpg - Trojan-PSW.Win32.Agent.sq (DrWEB: BackDoor.Master.13)
      2. c:\\windows\\explorer.exe:extractor3.jpg:$data - Trojan-PSW.Win32.Agent.sq (DrWEB: BackDoor.Master.13)
      3. c:\\windows\\explorer.exe:httpcomm - Backdoor.Win32.Agent.cjh (DrWEB: BackDoor.Master.12)
      4. c:\\windows\\explorer.exe:httpcomm:$data - Backdoor.Win32.Agent.cjh (DrWEB: BackDoor.Master.12)
      5. c:\\windows\\explorer.exe:mian.nest - Backdoor.Win32.Agent.cjh (DrWEB: BackDoor.Master.11)
      6. c:\\windows\\explorer.exe:mian.nest:$data - Backdoor.Win32.Agent.cjh (DrWEB: BackDoor.Master.11)


  • Уважаемый(ая) shrm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Трояны пытаются угнать веб мани
      От milenadrea в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.07.2010, 19:06
    2. Мошенники пытаются нажиться на трагедии в Перми
      От ALEX(XX) в разделе Другие новости
      Ответов: 1
      Последнее сообщение: 05.12.2009, 21:42
    3. Исследователи пытаются смоделировать поведение ботнета
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 0
      Последнее сообщение: 29.07.2009, 11:09
    4. Как прорваться на сайт зараженным...
      От Helgin в разделе Технические и иные вопросы
      Ответов: 3
      Последнее сообщение: 01.04.2009, 22:35
    5. Ответов: 10
      Последнее сообщение: 05.10.2007, 15:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01547 seconds with 21 queries