Подцепил заразу, не могу извести!
Подцепил заразу, не могу извести!
Последний раз редактировалось YuriJJ; 13.05.2008 в 10:31.
Пофиксите в HijackThis:
Не перезагружаясь после этого, выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ldr.exe,C:\WINDOWS\system32\actcontroller.exe, O2 - BHO: (no name) - {6C6B8C69-9285-4D94-8492-9E920C8C2B65} - C:\WINDOWS\System32\uncwqs.dll O2 - BHO: (no name) - {74f25a2c-22b3-4023-8f1a-ca616c30a8b5} - C:\WINDOWS\System32\wintst.dll O3 - Toolbar: (no name) - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\WINDOWS\System32\mssvmdll.dll O3 - Toolbar: (no name) - {12EE7A5E-0674-42f9-A76B-000000004D00} - C:\WINDOWS\System32\stubext.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\stubext.dll',''); QuarantineFile('C:\WINDOWS\System32\mssvmdll.dll',''); QuarantineFile('c:\documents and settings\user\application data\oti\ezlogin\exec\ezlogin.exe',''); QuarantineFile('C:\WINDOWS\system32\ldr.exe',''); QuarantineFile('C:\WINDOWS\system32\actcontroller.exe',''); QuarantineFile('C:\WINDOWS\RavMonE.exe',''); QuarantineFile('C:\Documents and Settings\User\systerm.exe',''); QuarantineFile('C:\WINDOWS\System32\wintst.dll',''); QuarantineFile('C:\WINDOWS\System32\uncwqs.dll',''); QuarantineFile('C:\WINDOWS\system32\frmwrk.exe',''); QuarantineFile('c:\docume~1\user\locals~1\temp\winlogon.exe',''); DeleteFile('c:\docume~1\user\locals~1\temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\frmwrk.exe'); DeleteFile('C:\WINDOWS\System32\uncwqs.dll'); DeleteFile('C:\WINDOWS\System32\wintst.dll'); DeleteFile('C:\WINDOWS\RavMonE.exe'); DeleteFile('C:\WINDOWS\system32\actcontroller.exe'); DeleteFile('C:\WINDOWS\system32\ldr.exe'); DeleteFile('C:\WINDOWS\System32\mssvmdll.dll'); DeleteFile('C:\WINDOWS\System32\stubext.dll'); BC_ImportALL; BC_DeleteSvc('FCI'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
Все сделал.
Карантин:
Файл сохранён как071106_072717_virus_47306bb529e3a.zipРазмер файла115351MD52c33eebb7906ecee4b3628ac63a7b5e1
Новые логи.
Последний раз редактировалось YuriJJ; 13.05.2008 в 10:31.
c:\documents and settings\user\application data\oti\ezlogin\exec\ezlogin.exe
Этот файл в карантин не попал. Поищите вручную и пришлите по правилам.
I am not young enough to know everything...
Trojan-Proxy.Win32.Agent.gz c:\docume~1\user\locals~1\temp\winlogon.exe
Packed.Win32.Tibs.dd C:\WINDOWS\system32\frmwrk.exe
Попутно гляньте, что вам нужно из этого:
Ненужное отключим.Код:>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Установленный на компьютере DrWeb устарел, скачайте новую версию с сайта http://download.drweb.com/win и установите.
Тогда осталась только одна козявка. Выполните скрипт:
Добавлено через 41 секундуКод:begin SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\User\systerm.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
И контрольные логи, начиная с п.10 правил.
Последний раз редактировалось Bratez; 06.11.2007 в 16:50. Причина: Добавлено
I am not young enough to know everything...
1. C:\WINDOWS\System32\stubext.dll
TR/Agent.Small.svc (AntiVir)
(Avast) Win32:Adware-gen
(Fortinet) Misc/SpywareSoftStop
(F-Prot) W32/Backdoor.BYIN
(Ikarus) Virus.Win32.AdWare и т.д.
2. C:\WINDOWS\System32\mssvmdll.dll
(eSafe) suspicious Trojan/Worm
(FileAdvisor) High threat detected
(Fortinet) Misc/SpywareSoftStop и т.д.
3. C:\Documents and Settings\User\systerm.exe
(AntiVir) TR/Agent.Small.svc
(F-Prot) W32/Backdoor.BYIN и т.д.
4. C:\WINDOWS\System32\wintst.dll
(AntiVir) TR/Agent.Small.svc
(NOD32v2) Win32/SpywareSoftstop и т.д.
5. C:\WINDOWS\System32\uncwqs.dll
(Microsoft) Program:Win32/SpywareSoftStop
(NOD32v2) Win32/SpywareSoftstop и т.д.
Вам же сказали сделать логи повторно... увидим
Это про stubext.dll, mssvmdll.dll, systerm.exe, wintst.dll, uncwqs.dll...Hello,
avz00003.dta, avz00004.dta, avz00005.dta, avz00006.dta, avz00007.dta
No malicious code were found in these files.
Please quote all when answering.
--
Best regards, Ermilov Maxim
Virus analyst, Kaspersky Lab.
e-mail: [email protected]
http://www.kaspersky.com/
Что-то мы все дружно прозевали:
Вроде ее можно прибить через Установка/удаление программ.Код:O4 - HKCU\..\Run: [SpywareSoftStop] C:\Program Files\SpywareSoftStop\SpywareSoftStop.exe
Если нет - пофиксите и папку удалите C:\Program Files\SpywareSoftStop.
Удаленные dll-ки - ее причиндалы. Кстати, в ЛК я такие отправлял где-то неделю назад, тоже отлуп пришел .
I am not young enough to know everything...
В логах больше ничего зловредного нет.
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Уважаемый(ая) YuriJJ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.