Проверил Вебом в безопасном. Далее все как в правилах, syscheck почему-то не сформировался. Остальное прикладываю.
Проверил Вебом в безопасном. Далее все как в правилах, syscheck почему-то не сформировался. Остальное прикладываю.
Последний раз редактировалось Denis79; 05.05.2008 в 12:26.
Отключить антивирус,интернет
.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\mssrv32.exe',''); QuarantineFile('c:\windows\system32\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe',''); QuarantineFile('C:\WINDOWS\system32\taskmon.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('D:\PicaJet\PJExt.dll',''); QuarantineFile('d:\winamp\Саша\winampa.exe',''); QuarantineFile('c:\windows\taskmon.exe',''); QuarantineFile('c:\windows\hporclnr.exe',''); QuarantineFile('C:\WINDOWS\system32\6to4svcfe.exe',''); QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17587
Добавлено через 2 минуты
C:\ff94849656b791168c19838e20f8f4a9\- это виндоус вы обновляли ? странная папка :-)
Последний раз редактировалось drongo; 05.02.2008 в 18:55. Причина: Добавлено
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Выполнил.
Предыстория появления папки неизвестна (попросили комп посмотреть ).
Это вроде папка при установлении IE7 появляется...
Вероятно обновиться пытались (карантин загрузил).
Выполните скрипт в AVZЗагрузите карантин согласно приложению №3 правил. Повторите логи.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\AgCPanelKoreane.exe',''); QuarantineFile('C:\WINDOWS\system32\6to4svcfx.exe',''); QuarantineFile('C:\WINDOWS\system32\advapi32h.exe',''); QuarantineFile('C:\WINDOWS\system32\3194208064f.exe',''); QuarantineFile('C:\WINDOWS\system32\12520850j.exe',''); QuarantineFile('C:\WINDOWS\system32\actskin4r.exe',''); QuarantineFile('c:\windows\system32\mssrv32.exe',''); QuarantineFile('C:\WINDOWS\system32\6to4svcfxz.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\1.tmp',''); QuarantineFile('C:\WINDOWS\system32\3076e.exe',''); QuarantineFile('C:\WINDOWS\system32\adptifn.exe',''); QuarantineFile('C:\WINDOWS\system32\6to4svcfe.exe',''); DeleteFile('c:\windows\taskmon.exe'); DeleteFile('C:\WINDOWS\system32\6to4svcfe.exe'); DeleteFile('C:\WINDOWS\system32\adptifn.exe'); DeleteFile('C:\WINDOWS\system32\3076e.exe'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\1.tmp'); DeleteFile('C:\WINDOWS\system32\6to4svcfxz.exe'); DeleteFile('c:\windows\system32\mssrv32.exe'); DeleteFile('C:\WINDOWS\system32\actskin4r.exe'); DeleteFile('C:\WINDOWS\system32\12520850j.exe'); DeleteFile('C:\WINDOWS\system32\3194208064f.exe'); DeleteFile('C:\WINDOWS\system32\advapi32h.exe'); DeleteFile('C:\WINDOWS\system32\6to4svcfx.exe'); DeleteFile('C:\WINDOWS\system32\AgCPanelKoreane.exe'); DeleteFile('C:\WINDOWS\system32\taskmon.sys'); DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe'); BC_ImportALL; BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ekp38.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Iot27.sys'); BC_DeleteSvc('Iot27'); BC_DeleteSvc('Ekp38'); BC_DeleteSvc('taskmon.sys'); BC_DeleteSvc('SoundMAXClipSrvERSvc'); BC_DeleteSvc('SoundMAXClipSrv'); BC_DeleteSvc('RpcSsCiSvc'); BC_DeleteSvc('ProtectedStorageRasMan'); BC_DeleteSvc('PolicyAgentNla'); BC_DeleteSvc('PlugPlaySysmonLog'); BC_DeleteSvc('msupdate'); BC_DeleteSvc('mnmsrvcdmserver'); BC_DeleteSvc('HTTPFilterUPS'); BC_DeleteSvc('CryptSvcThemes'); BC_DeleteSvc('avast! Agent Service (default)'); BC_DeleteSvc('aspnet_statesrservice'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
это из того что прислали...
vedxg6ame4.exe- Email-Worm.Win32.Zhelatin.uw
taskmon.sys Trojan-Proxy.Win32.Agent.xo
taskmon.exe Trojan-Downloader.Win32.Tibs.uo
6to4svcfe.exe Backdoor.Win32.IRCBot.bgg
c:\windows\hporclnr.exe точно гадость, но в карантине нет. надо бы поискать и прислать
P.S. Denis79,Нужно провести инструктаж пользователю, как пользоваться инетом вообще , и особенно указать на то ,что под админом бродить по всем помойкам и кликать на всё что приходит по мылу- приводит к плачевным результатом.
Последний раз редактировалось drongo; 05.02.2008 в 20:29.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Карантин загрузил. Проверку выполнил, логи приложил.
Последний раз редактировалось Denis79; 05.05.2008 в 12:26.
hporclnr.exe загрузить как карантин?
Он не попал в карантин AVZ, посему ручками его сжал, присвоил пароль и загружаю согласно п. 3
вирусный аналитик говорит: чистый. Всё же, я бы от него избавился Этот файл должен был сам самоликвидироваться , вообще странно, что он остался живой. Я ещё разок пошлю на анализ.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
А логи чистые? Можно работать?
не совсем , загрузите новый карантинКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550p.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550.sys',''); QuarantineFile('C:\WINDOWS\system32\vedxga1me4t1.exe',''); QuarantineFile('C:\WINDOWS\system32\vedxg4am1et2.exe',''); QuarantineFile('C:\WINDOWS\system32\apiuser32.dll',''); DeleteFile('C:\WINDOWS\system32\vedxg4am1et2.exe'); DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe'); BC_QrSvc('asc3550p'); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Карантин загрузил. Новые логи делать?
Поздно. ) Уже сделал новые логи.
Последний раз редактировалось Denis79; 05.05.2008 в 12:26.
apiuser32.dll - ждем ответ от вирлаба.
I am not young enough to know everything...
hporclnr говорят чистый,
apiuser32.dll - ждем ответ ...
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
apiuser32.dll - Trojan-PSW.Win32.Delf.aoz (свежачок!)
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\hporclnr.exe'); DeleteFile('C:\WINDOWS\system32\apiuser32.dll'); BC_ImportDeletedList; BC_DeleteSvc('asc3550p'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Выполнил.
Логи приложил.
Последний раз редактировалось Denis79; 05.05.2008 в 12:26.
Уважаемый(ая) Denis79, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.