Проверка др вебом дала наличие только Trojan.Copyself в C:\WINDOWS\autorun.inf При визуальной проверке на наличие autorun ов в корзине обнаружились неудаляемые файлы. Прикрепляю логи
Проверка др вебом дала наличие только Trojan.Copyself в C:\WINDOWS\autorun.inf При визуальной проверке на наличие autorun ов в корзине обнаружились неудаляемые файлы. Прикрепляю логи
Последний раз редактировалось Rogoff; 13.01.2009 в 09:09.
интересует что написано в авторане, пришлите его
также парочку неудолямых тоже прислать согласно приложения 2 правил.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('c:\windows\system32\l3731.tmp',''); DeleteFile('c:\windows\system32\l3731.tmp'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(12); RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16247
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
l3731.tmp - Trojan-PSW.Win32.LdPinch.eyv
ntos.exe - Trojan-PSW.Win32.Zbot.dd
Надо будет сменить все пароли
высылаю неудаляемые из корзины файлы + те (2 шт), которые появляются при удалении неудаляемых
Файл сохранён как 080113_222506_virus_478ae4220254b.zip
Размер файла 2389
MD5 41fdac71729facfc5e4ee17a5094c088
На диске С в корзине тоже те же файлы, только в 3 папках с названием из длинной последовательности букв и цифр.
Нужно сделать повторные логи.
В карантине указатель на
Если есть навык работы с реестром, то поискать в нем: 645FF040-5081-101B-9F08-00AA002F954E. Интересует, что в этом разделе реестра прописано.[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
логи сделал, кроме этого в реестре найдено 7 записей с 645FF040-5081-101B-9F08-00AA002F954E
Картинки реестра закачал на рапидшару:
http://pic.rapidshare.ru/538554
http://pic.rapidshare.ru/538555
http://pic.rapidshare.ru/538557
http://pic.rapidshare.ru/538558
http://pic.rapidshare.ru/538560
http://pic.rapidshare.ru/538561
http://pic.rapidshare.ru/538563
Последний раз редактировалось Rogoff; 13.01.2009 в 09:09.
В картинках только указатели на "Корзину", в общем все правильно.
В логах зверей не видно. На всякий случай, проверь все флешки на наличие autorun.inf.
Версию Доктора надо обновить до 4.44. Будет удалять влет этих зверей.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Плюс можем закрыть то, что Вам не нужно:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
а может вообще автозапуск флэшек отключить? а то не всегда успевают шифт нажать и флэшка успевает открыться. А вообще хотелось бы уточнить момент когда происходит заражение с флэшки, в момент появления окошка автозапуска или уже после выбора действия с флэшкой?
т.е. Доктор 4.44 удалит эти неудаляемые файлы, а то я не понял что делать дальше.
Добавлено через 5 минут
Это все можно закрывать, не нужно
автозапуск с CDROM можно отключить, а на этом компе нужен доступ к общим папкам
Последний раз редактировалось Rogoff; 15.01.2008 в 04:05. Причина: Добавлено
Конечно. Посмотрите здесь.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
а как же избавиться от неудаляемых файлов в корзине?
Скачайте Volkov Commander. Программа работает на ДОС-уровне и с ее помощью Вы можете очистить Вашу корзину.
Не надо волноваться за зря. У меня такие же файлы есть в "Корзине".
Они нужны для правильного показа иконок "Корзины" + отображение возможных действий для нее.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
все, я спокоен по поводу этих файлов значит наше лечение на этом завершено?
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\l3731.tmp - Trojan-PSW.Win32.LdPinch.eyv (DrWEB: Trojan.PWS.LDPinch.1941)
- c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.yn (DrWEB: Trojan.Proxy.2503)
Уважаемый(ая) Rogoff, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.