-
Junior Member
- Вес репутации
- 60
Началось всё с Trojan.Win32.BHO.yr
Касперский 7.0 обнаруживает Trojan.Win32.BHO.yr,но удалить его не может.Компьютер время от времени зависает,бывает гаснет монитор или просто застывает изображение,не всегда ребутается с первого раза.Сделал всё по праилам, cureit нашла 5 троянов включая сабж и 1 хакерскую прогаммку и удалила их,в отличие от моего антивира,после чего проверил AVZ,здесь уже ничего не удалялось,было подозрение на троян,я вручную удалил файл благо он был не системным с помощью KillBox,и думал всё уже нормально.Но комп снова завис после пары часов нормальной работы,хотелось бы узнать виноваты в этом вирусы или нет,логи прикрепляю
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
пофиксите
Код:
O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll (file missing)
O2 - BHO: (no name) - {F6BE95D0-F936-45FD-8121-E4B21225927D} - C:\WINDOWS\system32\amstrea.dll (file missing)
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Beleg\LOCALS~1\Temp\winlogon.exe
O4 - HKLM\..\Policies\Explorer\Run: [7H28X9M91L] C:\WINDOWS\winlogon32.exe
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O20 - Winlogon Notify: atixdaxx - C:\WINDOWS\SYSTEM32\atixdaxx.dll
выполните скрипт....
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
QuarantineFile('C:\Program Files\Common Files\SystemErrorFixer\strpmon.exe','');
QuarantineFile('C:\WINDOWS\system32\winmds.exe','');
QuarantineFile('C:\WINDOWS\system32\45qD42IK.exe','');
QuarantineFile('C:\WINDOWS\system32\amstrea.dll','');
QuarantineFile('C:\WINDOWS\WebAssist.dll','');
QuarantineFile('atixdaxx.dll','');
QuarantineFile('C:\WINDOWS\winlogon32.exe','');
QuarantineFile('C:\Documents and Settings\Beleg\Рабочий стол\install_en.exe','');
QuarantineFile('C:\DOCUME~1\Beleg\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\Beleg\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\winlogon32.exe');
DeleteFile('atixdaxx.dll');
DeleteFile('C:\WINDOWS\WebAssist.dll');
DeleteFile('C:\WINDOWS\system32\amstrea.dll');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
очистите задания в планировщике ... думаю они не ваши...
пришлите карантин согласно приложения 3 правил...
повторите логи...
Последний раз редактировалось V_Bond; 21.11.2007 в 16:57.
-
-
Junior Member
- Вес репутации
- 60
Подскажите пожалуйста где найти этот планировщик,чтобы очистить в нём задания...пофиксил,скрипт выполнил,новые логи прикрепляю,карантин выслал.
-
пуск- панель управления - назначенные задания .....
-
-
Альтернативный путь: AVZ - сервис - Менеджер планировщика заданий. Выбирай на свой вкус.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Сделал спасибо)
-
пофиксите...
Код:
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
выполните скрипт (обязательно с отключенным антивирусом) ....
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
QuarantineFile('C:\WINDOWS\system32\45qD42IK.exe','');
QuarantineFile('C:\WINDOWS\system32\winmds.exe','');
QuarantineFile('C:\Documents and Settings\Beleg\Рабочий стол\install_en.exe','');
QuarantineFile('C:\Program Files\Common Files\SystemErrorFixer\strpmon.exe','');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
DelCLSID('DF780F87-FF2B-4DF8-92D0-73DB16A1543A');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил....
-
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\SystemErrorFixer\strpmon.exe" dm=http://systemerrorfixer.com; ad=http://systemerrorfixer.com
O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2210] "C:\Documents and Settings\Beleg\Рабочий стол\install_en.exe"
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Карантин выслал и пофиксил.
-
Опять нужен комплект логов.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
-
-
Последний карантин пустой, только ini-файлы.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Больше в нём ничего не было.Вот свежие логи.
-
в логах чисто ...
осталось разобраться с потенциальными уязвимостями....
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
-
-
Junior Member
- Вес репутации
- 60
-
локальная сеть паличиствует ?
-
-
Junior Member
- Вес репутации
- 60
Есть локальная сеть+выделенный интернет от провайдера
-
тогда так ...
выполните скрипт....
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 60
-
если проблем больше нет ... то лечение можно считать завершенным ...
-