После удаления partnership.dll инфицированного BackDoor.Bech.origin позвонил провайдер и сообщил, что с нашего ip производится массовая рассылка спама.
После удаления partnership.dll инфицированного BackDoor.Bech.origin позвонил провайдер и сообщил, что с нашего ip производится массовая рассылка спама.
Последний раз редактировалось U_M_A; 06.03.2008 в 16:37.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\winlagons.exe',''); DeleteFile('C:\WINDOWS\system32\winlagons.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Google Online Search Service'); BC_DeleteSvc('Lbwj53'); BC_DeleteSvc('NdisWon'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=19272).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Карантин пустой 8(
winlagons.exe в системе не обнаружен, но есть C:\WINDOWS\system32\winlogon.exe
Последний раз редактировалось U_M_A; 06.03.2008 в 15:56.
winlogon.exe - системный ... его не трогайте ....
сделайте новые логи ....
Новые логи.
Последний раз редактировалось U_M_A; 06.03.2008 в 16:37.
Логи чистые. Для порядка пофиксите строчку в HijackThis:
Код:O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
I am not young enough to know everything...
Как чистые? После перезагрузки:
Код:1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод APICodeHijack.JmpTo[600D230F] >>> Код руткита в функции LoadLibraryExW нейтрализован Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Функция advapi32.dll:SystemFunction035 (619) перехвачена, метод APICodeHijack.JmpTo[600D1541] >>> Код руткита в функции SystemFunction035 нейтрализован Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[67001634] >>> Код руткита в функции InternetAlgIdToStringA нейтрализован Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[670017CF] >>> Код руткита в функции InternetAlgIdToStringW нейтрализован Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text
Последний раз редактировалось Макcим; 06.03.2008 в 16:35.
Это нормально.
Спасибо
Уважаемый(ая) U_M_A, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.