-
Junior Member
- Вес репутации
- 60
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
QuarantineFile('C:\DOCUME~1\3BC0~1\LOCALS~1\Temp\jswmidin.sys','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\KCOM.SYS','');
QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');
QuarantineFile('C:\Temp\winlogon.exe','');
DeleteFile('C:\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
DeleteFile('C:\WINDOWS\system32\drivers\KCOM.SYS');
DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\DOCUME~1\3BC0~1\LOCALS~1\Temp\jswmidin.sys');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
Добавлено через 5 минут
P.S. BitAccelerator и ConnectionServices - это adware, деинсталлируйте их через Установка/удаление программ.
Последний раз редактировалось Bratez; 13.01.2008 в 14:34.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Файл сохранён как080113_062726_virus_478a03ae62cfc.zipРазмер файла12168MD5c10ff8104a347f689787a818ac719189
Хочу отметить один момент.
Я запускал лечение с флэшки. А на ней оказалось мало места.
Сперва я не заметил этого и файлы карантина получились с нулевым размером. (вероятно из-за отсутствия места не создался и один из фалов предыдущих логов). Я скопировал программу на жесткий диск и отослал файл карантина после повторного выполнения предложенного скрипта. Так что извиняюсь.
А новые логи в данный момент выполняются. Будут чуточку позже
-
Все заведомо зловредные файлы были удалены скриптом, поэтому при повторном его выполнении в карантин попасть уже не могли. Жаль - не исключено, что среди них были новые модификации. Ну хоть secdrv.sys попал, он оказался чистым.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Bratez
Все заведомо зловредные файлы были удалены скриптом, поэтому при повторном его выполнении в карантин попасть уже не могли. Жаль - не исключено, что среди них были новые модификации. Ну хоть secdrv.sys попал, он оказался чистым.
Может оказаться что этого чистого файла система не досчитается?
Его можно восстановить из карантина?
И еще ... ночью я положил подозрительный файл в карантин.
Он единственный, но может чем то поможет.
Файл сохранён как080113_065940_virus_478a0b3c2ed08.zipРазмер файла12188MD543d3e036027838851138bf69f96ef69d
Добавлено через 4 минуты
Сообщение от
Bratez
Добавлено через 5 минут
P.S. BitAccelerator и ConnectionServices - это adware, деинсталлируйте их через Установка/удаление программ.
Не подскажете насколько вредны могут оказаться эти программы.
Может от них пользы быть больше чем вреда?
Хотя я их и разинсталировал ...
Последний раз редактировалось -Алексей-; 13.01.2008 в 16:05.
Причина: Добавлено
-
Сообщение от
-Алексей-
Может оказаться что этого чистого файла система не досчитается?
Его можно восстановить из карантина?
Он-то как раз не удалялся, был просто скопирован для проверки.
Добавлено через 2 минуты
Сообщение от
-Алексей-
Не подскажете насколько вредны могут оказаться эти программы.
Может от них пользы быть больше чем вреда?
Хотя я их и разинсталировал ...
Вред в принципе небольшой - закачка рекламы.
А пользы никакой, это уж точно .
Добавлено через 3 минуты
И еще ... ночью я положил подозрительный файл в карантин.
Он единственный, но может чем то поможет.
Хорошо, что прислали - свеженький...
Последний раз редактировалось Bratez; 13.01.2008 в 16:11.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Я рад, если помог вам, прислав файл.
Ну и теперь долгожданные логи (машинка у меня уже старенькая, скорости маловато)
Последний раз редактировалось -Алексей-; 30.03.2010 в 23:38.
-
Очистите временные файлы IE через Свойства Обозревателя.
Пришлите карантин, созданный при выполнении логов.
Посмотрите, нужно ли вам что-то из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Лишнее отключим.
Добавлено через 15 минут
Ваш свеженький образчик только что классифицировали в ЛК как Backdoor.Win32.Small.cqm. Поздравляю, вы тоже внесли свой вклад в пополнение антивирусных баз.
Последний раз редактировалось Bratez; 13.01.2008 в 16:47.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Файл сохранён как 080113_074800_virus_478a1690458d2.zip
Размер файла 188870
MD5 03c0e7462bcf710461e09ae229c8e80b
Это карантин.
Что касается служб, то мне сложно сказать о необходимости той или иной.
Думаю, что следующие службы не нужны:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Вот эти службы я в сомнении:
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
А вот эти думаю можно и оставить:
Код:
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
-
Файлы в карантине чистые.
Вот скрипт для отключения ненужного:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Спасибо! Посмотрим как будет работать ...
-
"Спасибо" у нас говорят кнопочкой
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Все выполнил ... пока полет нормальный.
Но у меня есть еще вопрос.
После лечения у меня появляется постоянно ошибка после загрузки на ошибку чтения памяти процесса SDTrayApp.exe.
Да и комп подвисал так, что приходилось перегружать его жестко.
Я конечно понимаю, что он старенький, но есть возможность как-то почистить или оптимизировать его после лечения. И кроме того AVZ выдавал строки после проверки:
Код:
>> Нарушение ассоциации SCR файлов
>> Таймаут завершения служб находится за пределами допустимых значений
Это возможно каким то образом поправить?
-
SDTrayApp - это Spyware Doctor, но в логах ваших я его не вижу.
Если он есть в списке установленных программ - удалите.
При наличии нормального антивируса подобные программы не нужны.
>> Нарушение ассоциации SCR файлов
>> Таймаут завершения служб находится за пределами допустимых значений
Лечится через AVZ: Файл - Мастер поиска и устранения проблем.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Мда, недолго радовался ...
Компьютер стал зависать, кроме ошибок Spyware Doctorа.
Последнего я наверное удалю после полного излечения.
В связи с этим хотел посоветоваться у специалистов из NOD32 или AVAST Home котороый более продвинутый?
Возвращаясь к теме заразы ... прилагаю логи
верне попытался ... но у меня исходящий трафик забит вирусом.
Поэтому не могу сказать что загрузилось, а что нет.
Прошу сообщить.
-
Junior Member
- Вес репутации
- 60
Повторно посылаю логи.
Похоже вирус у меня разослал немало себя
Сейчас заблокирова исходящий трафик, поставив аутпост
Последний раз редактировалось -Алексей-; 30.03.2010 в 23:38.
-
антивирус и фаервол поставить не позволяют религиозные убеждения ?
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\w32sys15.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');
QuarantineFile('c:\temp\winlogon.exe','');
DeleteFile('c:\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\w32sys15.exe');
BC_QrSvc('Usbserk2');
BC_DeleteSvc('FCI');
BC_DeleteSvc('DefLib');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 60
Файл сохранён как 080114_130612_virus_478bb2a406401.zip
Размер файла 562890
MD5 be86651b425ac263f23975231dcfd405
А что касается религии, то просто хотел по честному все )))
Чтобы бесплатным пользоваться, типа Spyware Doctor ...
Последний раз редактировалось -Алексей-; 14.01.2008 в 22:08.
Причина: Добавлено
-
в карантине ...
c:\temp\winlogon.exe Trojan-Proxy.Win32.Small.is
C:\WINDOWS\system32\DefLib.sys Trojan.win32.Agent.asu
c:\windows\system32\svchost.exe:ext.exe:$DATA Trojan.win32.Agent.dxq
C:\WINDOWS\system32\w32sys15.exe TR/Dldr.Logsnif.1
C:\WINDOWS\system32\DRIVERS\secdrv.sys -чистый
повторите логи .....
насчет антивирусов .... из бесплатных Avira Antivir ... http://www.free-av.com/index.htm
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось -Алексей-; 30.03.2010 в 23:38.