Junior Member
Вес репутации
59
Трояны одолели
Господа помогите плиз, кто знает? на бугалтерском компе подцепилась вот такая зараза Dr.Web ее определи вот так!
Файл название вредоноса
С:/ a3g3.bat Trojan.MulDrop.6474
D:/ a3g3.bat Trojan.MulDrop.6474
Он ее удаляет а она, через 1 мин снова появляеться.
но самое главное что? при включенном Интернете появляется еще вот такая зараза
Файл название вредоноса
amvo.dll Trojan.PWS.Wsgame.3434
И вот эта зараза реально не дает работать 1с. бухгалтерии и т.д.
Я их удаляю а они снова появляються, что делать то ????
Заранее спасибо!
Последний раз редактировалось Senar; 13.03.2008 в 14:54 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Эта зараза у Вас или по сети бегает, или с флешки заносите. Скрипт сейчас напишу.
Добавлено через 3 минуты
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\x6.bat','');
QuarantineFile('C:\x6.bat','');
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19713
Последний раз редактировалось PavelA; 13.03.2008 в 11:45 .
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
59
Вряд ли по сети, скорее всего как я понял из описания она подкачивается по интернету именно на этот копм. потому что у нас еще 7 компов и все чистые.
Добавлено через 22 минуты
Все выполнил, карантин отправил
Последний раз редактировалось Senar; 13.03.2008 в 12:08 .
Причина: Добавлено
в карантине amvo0.dll. amvo1.dll - Trojan-PSW.Win32.OnLineGames.teg , D:\x6.bat - Worm.Win32.AutoRun.cvh меняйте пароли к он-лайн играм, если играете в таковые, конечно.
Выполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\x6.bat');
DeleteFile('C:\x6.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
Junior Member
Вес репутации
59
все сделал как сказали логи прикрепил
Добавлено через 2 минуты
что то один лог не грузиться говорить что файл с таким именем уже прикреплен в начале сообщения
Последний раз редактировалось Senar; 13.03.2008 в 14:53 .
Причина: Добавлено
Junior Member
Вес репутации
59
Вложения
Отключите Adaware, она мешает лечению (а лучше удалите ее совсем).
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи.
I am not young enough to know everything...
Логи делайте со вставленной флешкой.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
59
флешкой не пользуемся сейчас
Вложения
Теперь все чисто.
Рекомендуется отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
Junior Member
Вес репутации
59
Спасибо!! а как это отключить то, и как понять что нужно а что нет!!!
Вот скрипт для отключения:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
Если есть локалка с общим доступом к файлам и принтерам, уберите первую строчку после begin.
I am not young enough to know everything...
отключить можно по разному. можно сделать из вашего лога, который сделали с avz там на линки нужные накликать Bratez уже накликал вам Получиться скрипт- его выполнить.
Eсли есть несколько компьютеров которые сведены в локальную сеть- удобно оставить >> Безопасность: к ПК разрешен доступ анонимного пользователя. Хотя лучше всё закрыть и просто записать компьютеры друг у друга.
Я бы еще посоветовал отключить автозапуск флешек.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
59
Всем ОГРОМНОЕ спасибо!!!!!!!!!!!!!!!!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 13 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.teg (DrWEB: Trojan.PWS.Wsgame.3434) c:\\windows\\system32\\amvo1.dll - Trojan-GameThief.Win32.OnLineGames.teg (DrWEB: Trojan.PWS.Wsgame.3434) d:\\x6.bat - Worm.Win32.AutoRun.cvh (DrWEB: Trojan.MulDrop.6474)