при загрузке Windows появляется окно мои документы, NOD32 говорит об угрозе от файлов IEGrabber, IEFaker, CertGrabber, PSGrabber, и периодически напоминает об этом. Больше никаких неприятностей не замечал.
пытаются прорваться IEGrabber etc
при загрузке Windows появляется окно мои документы, NOD32 говорит об угрозе от файлов IEGrabber, IEFaker, CertGrabber, PSGrabber, и периодически напоминает об этом. Больше никаких неприятностей не замечал.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe O2 - BHO: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - C:\WINDOWS\system32\winload.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\svchost.exe:EXT.VEXE:$DATA',''); QuarantineFile('c:\windows\system32\svchost.exe:EXT.VEXE',''); QuarantineFile('C:\WINDOWS\explorer.exe:mian.nest:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:httpcomm:$DATA',''); QuarantineFile('c:\windows\explorer.exe:extractor3.jpg:$DATA',''); QuarantineFile('c:\windows\explorer.exe:extractor3.jpg',''); QuarantineFile('C:\WINDOWS\explorer.exe:mian.nest',''); QuarantineFile('C:\WINDOWS\explorer.exe:httpcomm',''); QuarantineFile('C:\WINDOWS\system32\winload.dll',''); DeleteFile('C:\WINDOWS\system32\winload.dll'); DeleteFile('C:\WINDOWS\explorer.exe:mian.nest:$DATA'); DeleteFile('C:\WINDOWS\explorer.exe:httpcomm:$DATA'); DeleteFile('c:\windows\explorer.exe:extractor3.jpg:$DATA'); DeleteFile('c:\windows\explorer.exe:extractor3.jpg'); DeleteFile('C:\WINDOWS\explorer.exe:httpcomm'); DeleteFile('C:\WINDOWS\explorer.exe:mian.nest'); DeleteFile('c:\windows\system32\svchost.exe:EXT.VEXE:$DATA'); DeleteFile('c:\windows\system32\svchost.exe:EXT.VEXE'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
Добавлено через 1 минуту
+ на всякий случай такой лог: http://virusinfo.info/showthread.php?t=10387
Последний раз редактировалось Bratez; 24.10.2007 в 17:31. Причина: Добавлено
I am not young enough to know everything...
Спасибо, для меня это колдунство какое-то! теперь все ок. Только вот архив не запаролил, извиняюсь. Вот лог
Карантина вашего нет. Пришлите обязательно (см. приложение 3 правил), т.к. у вас явно было что-то новенькое. Загружать тут: http://virusinfo.info/upload_virus.php?tid=13500
Нужны новые логи AVZ по правилам + дополнительный, как описано тут:
http://virusinfo.info/showthread.php?t=10387
I am not young enough to know everything...
извиняюсь за задержку, вроде вчера выкладывал карантин... выкладываю еще раз, если опять не получилось, значит что-то с руками. кстати появилась еще одна папка с карантином, после сегодняшнего сканирования AVZ, ее тоже загрузить?
Все отлично. Карантин получен, в логах порядок.
Для профилактики очистите временные файлы IE и посмотрите, нужно ли вам что-то из этого списка:
Все ненужное желательно отключить.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\explorer.exe:extractor3.jpg - Trojan-PSW.Win32.Agent.sq (DrWEB: BackDoor.Master.13)
- c:\\windows\\explorer.exe:extractor3.jpg:$data - Trojan-PSW.Win32.Agent.sq (DrWEB: BackDoor.Master.13)
- c:\\windows\\explorer.exe:httpcomm - Backdoor.Win32.Agent.cjh (DrWEB: BackDoor.Master.12)
- c:\\windows\\explorer.exe:httpcomm:$data - Backdoor.Win32.Agent.cjh (DrWEB: BackDoor.Master.12)
- c:\\windows\\explorer.exe:mian.nest - Backdoor.Win32.Agent.cjh (DrWEB: BackDoor.Master.11)
- c:\\windows\\explorer.exe:mian.nest:$data - Backdoor.Win32.Agent.cjh (DrWEB: BackDoor.Master.11)
Уважаемый(ая) shrm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
