-
Junior Member
- Вес репутации
- 59
Расшарена папка на моей машине "- ЖЕСТКОЕ ПОРНО -"
Вот и у меня были же такие глаза, уважаемые, когда я увидел такую папку расшаренную на моей машине. Значит она была на диске К(принесённый винт с роботы) я удалил, смотрю снова есть... удалил папку и удалил шару. смотрю снова есть только теперь оно в c:\doc&set\alluser\template\microsoft\identifies\ содержимое папки... разшарена идентис и названа как тема.
Почему я упомянул про винт с работы- на роботе у меня 192,168,4,2/24
но на геётвее есть ещё 192,168,3,ххх/24 именно этих локалок айпи постояно сканируються нетбиос и фаервол блокирует, хотя дома у меня раньше было 10,21,хх,хх а тепкрь когда роутер поставил(вместе с винчестером) 192,168,0,2/24
замечен процес wmplayer.exe проигрователь медиа виндозный... только он особенный, сам грузиться, при вызове диспетчера, фокус на него и попытке нажать завержить процес - попа.... комп не висит но на клаву и мышь не реагирует.... только нажатие трёх педалей на мгновение курсор мыши превращает в часики.... помагает только программа Розетка_дисконект.
симантек и агнитум гордо молчат, и впервые за все мои посты к вам... должен сказать шо и курет ничего не нашол.
Плюс компьютер сам перегружаеться иногда- редко но появилось.
вот содержимое папки идентис - пароль virusinfo
я уже теряюсь в догадках что твориться на работе... там половина машин в локалке включена и моя в том числе...
Последний раз редактировалось Kurk_SS; 11.03.2009 в 18:36.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 59
да перепутал трошки
C:\documents and settings\all user\templates\microsoft\TAMPLATES\содержимое папки
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{D21D9540-6415-4288-BDD0-4453088D9D38}');
QuarantineFile('pns32.dll','');
DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL');
DeleteFile('pns32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ....
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось Kurk_SS; 11.03.2009 в 18:36.
-
Junior Member
- Вес репутации
- 59
карантина нет т.к. папка есть за 25 число но она пуста
-
Junior Member
- Вес репутации
- 59
извините мож я шото путаю.. вообщем в папке карантин ничего нет, а вот в папке инфектид есть шлю
Последний раз редактировалось V_Bond; 25.08.2008 в 14:57.
-
выполните скрипт ...
Код:
begin
QuarantineFile('c:\program files\windows media player\agent\wmplayer.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 59
вот карантин злосного плеера
-
Junior Member
- Вес репутации
- 59
Кстате наблюдение... если через tasklist, taskkill выключить wmplayer.exe -а это получаеться сделать, сразу пропадают попытки соеденения со всеми айпи в локалке....
Добавлено через 1 час 55 минут
Или про меня забыли все
Последний раз редактировалось Kurk_SS; 25.08.2008 в 22:03.
Причина: Добавлено
-
wmplayer.exe_ - Worm.Win32.PornRun.i
Детектирование файла будет добавлено в следующее обновление.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\program files\windows media player\agent\wmplayer.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось Kurk_SS; 11.03.2009 в 18:36.
-
Ничего плохого не видно.
Обновите доистрическую Джава.
Поставьте Сервис Пак 3. Возможно потребуется активация системы.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\windows media player\\agent\\wmplayer.exe - Worm.Win32.PornRun.i (DrWEB: Win32.HLLW.Autoruner.2664)
-