Сын поймал трояна, попытался вылечить avast -ом, после этого комп постоянно перегружаеться, работает только в безопасном режиме, все что написано в правилах следовательно делал в этом режиме, Посмотрите, пожалуйста, что мне делать
Сын поймал трояна, попытался вылечить avast -ом, после этого комп постоянно перегружаеться, работает только в безопасном режиме, все что написано в правилах следовательно делал в этом режиме, Посмотрите, пожалуйста, что мне делать
выполните скрипт...
пришлите карантин согласно приложения 3 правил...Код:begin DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA'); QuarantineFile('C:\DOCUME~1\Qwerty\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\c++.exe',''); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\DOCUME~1\Qwerty\LOCALS~1\Temp\winlogon.exe'); BC_DeleteSvc('FCI'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
вроде бы все заработало, спасибо, карантин отправил
Пофиксите в HijackThis:
Сделайте новые логи для контроля.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,C:\WINDOWS\system32\c++.exe, O2 - BHO: Flash Module - {85911752-BC96-4fff-9121-6EB9D8F438E1} - hyperconn.dll (file missing) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
I am not young enough to know everything...
попавшие в карантин ... почти ни кем не детектятся ...
C:\DOCUME~1\Qwerty\LOCALS~1\Temp\winlogon.exe TR/Crypt.XPACK.Gen
C:\WINDOWS\system32\ntos.exe Trojan-Spy.Win32.Bancos.aam (Ikarus)
Вот новые логи, посмотрите пожалуйста
Что из этого нужно ?
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> разрешена потенциально опасная служба TermService (Службы терминалов) >> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> разрешена потенциально опасная служба TlntSvr (Telnet) >> разрешена потенциально опасная служба TlntSvr (Telnet) >> разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Ничего
1.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('Schedule', 4); SetServiceStart('TlntSvr', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
спасибо, логи новые нужны?
Нет.
Рекомендуется прочитать книгу "Безопасный Интернет Универсальная защита для Windows ME – Vista"
Вы можете отблагодарить нас оказав помощь в пополнении базы безопасных файлов.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\qwerty\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Agent.ro (DrWEB: Trojan.Spambot.2496)
- c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.cr (DrWEB: Trojan.Proxy.2071)
Уважаемый(ая) MoR2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.