-
Junior Member
- Вес репутации
- 60
В компютере вирус 80avp08.com
Здравствуйте! Обращаюсь к вам с большой просьбой.
Ситуация следующая: у меня на компютере стоит Windows XP версия 2003 SP 2
уже более двух лет, и проблем небыло. Но недавно я установил Avast-4.7.Home
Появились проблемы. На всех дисках ( C.D.E.) появился неизвестный файл
80avp08.com - И возникли проблеммы с открытием дисков в учётной записи "Гость"
При открытии дисков появляется предуприждение:
80avp08.com - Ошибка приложения
Исключение unknown software exception (0x80000003) в приложении по адресу 0x0032123e.
" ОК" - завершение приложения
"Отмена" - отладка приложения
В " Админ" особых проблем нет, но тоже что-то работает не так.
Вопросы:
1. Может ли быть причиной данного вируса Установка программы Avas4.7 - Home
( я имею в веду мог ли быть прикреплён вирус 80avp08.com к инстеляшке Avasta намеренно)
от этого будет зависить что делать дальше с этой прогой, менять её или нет?
2. Можно ли подключить к USB флешку во время тестированния и ремонта программы.
( она тоже с вирусом 80avp08.com).
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отуда скачивали Аваст?
2. В принципе можно, только всё необходимо выполнять с флешкой.
Логи нам нужны из под учётки администратора.
-
Junior Member
- Вес репутации
- 60
Avast- скачен с - "TopDownloads.ru из закладки - программы, установил Аvast 14.12.2007 года. Вирус " 80avp08.com" появился 09.01.2008 года в 11 часов 09 минут- Особо грешить на Аваст, не имею право, Возможно я его занёс на флешке. У товарища в ноутбуке, тотже вирус и тоже время послкднего изменения вируса
( я скачевал у него музыку на флешку).
2. Флешку подключу с самого первого пункта исполнения правил.
Работу по лечению начну приблезительно через 2 часа.
-
Сообщение от
Вит35
Возможно я его занёс на флешке. У товарища в ноутбуке, тотже вирус и тоже время послкднего изменения вируса
( я скачевал у него музыку на флешку).
Ну Вы скорее всего сами и нашли ответ на вопрос как Вы заразили свой компьютер.
Ждёмс логов.
-
Junior Member
- Вес репутации
- 60
Вроди бы сделал всё как надо. Только при работе с утелитой DrWeb- В безопасном режиме не проходило полное уничтожение выбранных файлов. После перехода в обычный режым - вирусы востановились.
-
AVZ и HJT не из архива запускаете? Нужно распаковать...
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('H:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\hwpsgt.sys','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('H:\autorun.inf');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\system32\wincab.sys');
BC_DeleteSvc('wincab');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17550
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
-
-
Junior Member
- Вес репутации
- 60
Крипт ввполнил, архив выслал, Профиксировать файл
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe .
Не могу в связи с отсутствием такового. Но вирус пропал.
-
H:\autorun.inf Worm.Win32.AutoRun.bld
E:\autorun.inf Worm.Win32.AutoRun.bld
D:\autorun.inf Worm.Win32.AutoRun.bld
C:\autorun.inf Worm.Win32.AutoRun.bld
C:\WINDOWS\system32\amvo0.dll Trojan-Psw.Win32.OnlineGames.myr
C:\WINDOWS\system32\amvo.exe Trojan-Psw.Win32.OnlineGames.myr
C:\WINDOWS\system32\DRIVERS\hwpsgt.sys -чистый
повторите логи начиная с пункта 10 правил ...
-
-
Поищите через AVZ 80avp08.com - найдется - удалите
-
-
Junior Member
- Вес репутации
- 60
Вируса в процесе осмотра не обнаружил, Спасибо большое. Вы мне очень помоги. Всего Вам хорошего.
-
Junior Member
- Вес репутации
- 60
Ещё раз на всякий случай шлю логи
-
Все чисто.
Что из этого не нужно?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
-
-
Junior Member
- Вес репутации
- 60
Лично я, точно не знаю что там нужно, и чего не нужно.
Как Вы посоветуете?.
-
-
-
Trojan-Psw.Win32.OnlineGames.myr
Если есть он-лайн игры смените пароли.
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 60
Да локальная сеть вродибы есть. Я подключён через кабельное TV. Знаю точно что подключен через LAN. Я в нете новичок 2 месяца.
Он-лайн игры только стандартные " Windows" но я ими никогда не пользовался и не запускал.
-
Можно всё отключить тогда, врядли заметите Инет от этого не пострадает.
Код:
begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RebootWindows(true);
end.
Это же хорошо, что новичёк- не надо переучиваться.
Советую настроить как у меня :
1) Работать за компьютером с правами ограниченного пользователя. ( http://virusinfo.info/showpost.php?p=96895&postcount=1 )
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.virusinfo.info/
4)насчёт авторанов, отключить это счастье, тогда даже не известное не запуститься само:
http://virusinfo.info/showthread.php?t=16459
Последний раз редактировалось drongo; 06.02.2008 в 20:51.
-
-
Junior Member
- Вес репутации
- 60
Добавлено через 56 минут
1. Скрипт виполнил - Что оно мне даст в дальнейшем?
2. У меня в принцыпе так и стоит. "Админ " - Основная программа, которой я раньше практически не пользовался, разви что для установки каких-небудь программ. А вторая учётная запись " Гость" - с ограниченими правами использования, и практически в ней невозможно сделать какие либо изминення програм. В данный момент когда установили Интернет, а установили его в "Админ"- приходится пользоваться "Админом".
Firefox - Это наверное хорошо, но я не люблю менять программы. Хотя в дальнейшем - Прийдётся. А пока привык к IE-6.
3. За книгу спасибо- обязательно сегодня почитаю. Только у меня виндовс ХР.
4. При установке данного скрипта - что должно изменится. И какие он мне даст приоритеты. И будут ли какие небудь видимые изминения в обычной роботе компютера, или только в интернете.
Последний раз редактировалось Вит35; 06.02.2008 в 22:04.
Причина: Добавлено
-
1- меньше дырок- спокойней.меньше лишних служб, чуть выше производительность компьютера.
2.судя по вашему объяснению вы пользуетесь учётной записью с админскими правами- это то же самое что админ .
В статье есть линки на сайт майкросовта, почитайте. Вам нужно создать не пользователя с правами админа (также лучше вообще всех гостей удалить чтобы не запутались ) а пользователя с ограниченными правами.
Потом загрузитесь с ним и настроите интернет- собственно и настраивать вам его уже не надо, все настройки сделаны в учётной записи админа. Просто нужно сделать ярлык на рабочий стол от вашего подключения , чтобы было удобней включать и выключать инет, когда вздумается. В крайнем случае позвоните в тех-поддержку вашего провайдера, если сами не справитесь.
Вы же сказали 2 месяца в инете Вы много теряете, поверьте Время начать изучать новые возможности.
3.у меня тоже XP , это так назвали просто, XP по середине ( маскируется :-) ) . Можно было назвать" От Ме До Виста "
4. При физическом подключении любого съёмного диска, флешки и тд, не будут открываться автоматически и программы которые записаны на этих носителях не начнут исполняться. Не всегда удобно, так как нужно будет в ручном режиме открывать в "моём " компьютере , где вы увидите новый подключённый диск/флешку.Но зато будете уверены, что какой-нибудь новый вирус самостоятельно не запустился. Безопасность - прежде всего это компромисс.
Последний раз редактировалось drongo; 06.02.2008 в 23:13.
-
-
Junior Member
- Вес репутации
- 60
4. Я так понял, что при при исполнении данного скрипта -
- Самостоятельно не будут запускаться СD диски, Флешки, дискеты, итд. Даже если на них есть вирус он просто не перейдёт на мой комп самостоятельно?
- Во время вируса в моём компе, я делал резервную копию моих документов, а сейчас, я не помню на какую дискету я скинул, и боюсь просмотреть дискеты. После проведения данного скрипта, опасность заражения моего компа при просмотре заражённой дискеты, я так понял, существенно снижается?