F-Secure on line scaner нашел Malware.BHNJ и Trojan-Spy.Win32.Webmoner.fi
Проверил копьютер он-лайн сканером F-Secure. Антивирус нашел 2 вируса: Malware.BHNJ и Trojan-Spy.Win32.Webmoner.fi , один из них, как я понимаю, - троян, крадущий пароли. Нортон, который постоянно установлен на компьютере, как видно, все это время "ловил мышей". После этого шокирующего открытия проделал все процедуры, описанные на страничке "Правила! Читать перед запросом о помощи!". Но вот, что напрягает. На сайте SpyLog не могу обнаружить в своем эккаунте свои сервисы, такое впечатление, что сервисы управления счетчиками/статистикой моих сайтов перемещены из эккаунта неизвестно куда. Это косвенно указывает на то, что с паролями у меня не все в порядке. Пока ситуацию с другими паролями/сайтами не проверял, хочу вначале навести порядок в компьютере.
P.S. Прикрепил лог F-Secure
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Может, они дублируют предыдущие логи, а может быть и нет. Прикрепил на всякий случай. Кажется один заархивированный лог мог быть затерт (записан поверх созданного ранее), т.к. одно из сканирований было повторено. Поэтому прикрепил файлы в формате .txt для страховки.
Спасибо. Скрипт выполнил. Но, кажется, скрипт нашел только 2 файла: christmas.exe и AL2DLL.dll из перечисленных в теле скрипта. Остальные не найдены. Архив с карантином посылаю через форму на сайте.
P.S. Не знаю, важно ли это, но файлов update.exe полно в других местах на C: (а не в том, которое было указано в скрипте)
Последний раз редактировалось Lex1; 07.01.2008 в 13:26.
Причина: Добавил P.S.
Высылаю карантин. Кстати, было найдено огромное количество файлов update.exe на С: и несколько на D:. Но вот, что интересно, ни один из найденных на С: почемуто в архиве не сохранился. Поэтому в архиве только файлы с D:
Поэтому прикрепляю лог поиска (Протокол.txt), чтобы было все понятно. Кстати, Вы имели в виду этот лог, когда говорили о логах? Или надо было прислать какие то другие логи?
А пока хотел спросить вот еще про что. После того, как делал предыдущие логи и запускал с этой целью avz.exe и HijackThis.exe, теперь при каждой загрузке системы появляется сообщение: "Найдено новое устройство", хотя никакое новое железо не устанавливал.
Когда смотришь это "неизвестное устройство" через Диспетчер устройств, то в Сведениях видно такое:
Это значит, надо этот файл прислать? Но если его в папке WINDOWS нет? Никакие средства просмотра такого файла в папке WINDOWS не обнаруживают (нет там такого файла C:\WINDOWS\update.exe), в том числе и утилита avz.exe его тоже не видит. Что она видит на диске (при поиске файла update.exe) я прислал раньше, эта информация содержится в файле Протокол.txt (см. выше).
Или этот файл присутствует, но его не видно? Это вы имели в виду? Как же тогда его "достать"?
А почему тогда на диске утилита видит какие то "клоны" этого файла? Что она видит на диске (при поиске файла update.exe) я прислал раньше, эта информация содержится в прикрепленном файле Протокол.txt (см. выше).
можно закрыть лишнее...
из этого списка ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
можно готовиться к обороне : Отключить что не нужно:
Код:
Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
, не загружаться под админом, гулять по инету с файрвоксом + noscript...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: