Сотрудница "сидела" за моим компьютером, на следующий день AVG Free Edition выдаёт мне целое "стадо лошадей".Огромная просьба помочь.
Сотрудница "сидела" за моим компьютером, на следующий день AVG Free Edition выдаёт мне целое "стадо лошадей".Огромная просьба помочь.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Dokumente und Einstellungen\All Users\Startmenь\Programme\Autostart\tempweg.bat',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\Programme\Internet Explorer\Plugins\NPUPano.dll',''); BC_Activate; RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15494
Добавлено через 1 час 49 минут
tempweg.bat- не попал в карантин, поищите пожалуйста в ручном режиме. Пункт 2 правил
Последний раз редактировалось drongo; 20.12.2007 в 16:33. Причина: Добавлено
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Делаю всё,как описано в Правилах,но при просмотре Карантина файл tempweg.bat не видно.
Вы его не в карантине ищите, а на компьютере: Сервис - Поиск файлов на диске
Найти его не проблема.Как его в каратин "засунуть"?
не проблема .... особенно если искать через AVZ ....
secdrv.sys тоже заодно
Можно просто запаковать копии в zip архив с паролем virus, это аналогично карантину avz
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Посылаю,всё что нашла.Напишите получили или нет.Что-то не вижу,что загрузила их.
betsy , Получили, больше посылать копий не надо
ребята, вот что в батнике . нихт ферштейн но пойму чистит временные файлы
Код:@echo off REM lצschen des temp verzeichnisses 2000/xp REM plus unterverzeichnisse ohne nachfrage rd %temp% /s /q REM neues temp verzeichnis erzeugen md %temp
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
батник удаляет temp-папку (или как это по-русски называется???) и создаёт тут же новую.не пугаемся,помогаем пожалуйста дальше
осталось подождать вердикта лаба , сделайте пока новые логи , посмотрим точно удалился ли ваш троян Trojan.Win32.Small.ut
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Пожалуйста для тех,кто на бронепоезде,то есть для меня поясните,"сделать ещё раз логи"-повторить все эти процедуры описанные в правилах с п.1 по п.14. и выслать файлы вам?
с п.8 по 13 и приложить к сообщению
I am not young enough to know everything...
В общем да сделать те же файлы (только новые) и прикрепить так же как в первом вашем сообщении, присылать не надо, только прикрепить.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Доброе утро,день,вечер!(нужное подчеркнуть)
Сделала новые логи.Жду дальнейших распоряжений.
мда, или вы не отключили ваш антивирус перед выполнением скрипта, или в авз баг с удалением сервиса трояна
Значит так , попробуйте вот этот скрипт и новые логи сделать(после него ).
Код:begin BC_QrFile('C:\lich.sys'); BC_QrFile('C:\lich.exe'); BC_DeleteFile('C:\lich.sys'); BC_DeleteFile('C:\lich.exe'); BC_DeleteSvc('ZZZdrv_lich'); BC_Activate; RebootWindows(true); end.
Последний раз редактировалось drongo; 21.12.2007 в 11:05.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Скрипт запустила.Логи сделала.
Запустить HijackThis.
2. Нажать кнопку Open The Misc Tools section
3. Нажать кнопку Delete an NT Service
4. В открывшемся диалоге ввести название службы:
ZZZsvc_lich
5.Нажать кнопку OK
P.S. Перегрузиться не помешает
Обратиться к местному админу, что из этого используеться- остальное отключим.
Services: potentially dangerous service allowed RemoteRegistry (Remote-Registrierung)
>> Services: potentially dangerous service allowed TermService (Terminaldienste)
>> Services: potentially dangerous service allowed SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed Schedule (Taskplaner)
>> Services: potentially dangerous service allowed mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed RDSessMgr (Sitzungs-Manager f?r Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Не сидеть под админом, только под ограниченным юзером- тогда такого бы не было- просто троян не смог бы установиться.
Кстати, AVG его не знает, если хотите - нужно отослать разработчикам- он у вас в архиве должен быть.
Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefoxэто позволяют делать в отличии от IE 7 ,6....)
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Делаю всё как сказали,но выдаёт сделующее:
"The service `ZZZsvc_lich` is enabled and/or running.Disabled it first,using HiiackThis it self (from the scan results) or the Services.msc window"
Уважаемый(ая) betsy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.