Показано с 1 по 11 из 11.

IM-Worm.Win32.VB.ev и Virus.Win32.Sality.aa (заявка № 29685)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2007
    Адрес
    Frolovo MegaTown. Why Mega? I am living in Frolovo
    Сообщений
    252
    Вес репутации
    151

    Exclamation IM-Worm.Win32.VB.ev и Virus.Win32.Sality.aa

    Доброго времени суток!
    С некоторых пор стал замечать, что во Входящих, Исходящих, а также в каталоге C:\Documents and Settings\All Users\Документы
    стал появляться Fun.exe (IM-Worm.Win32.VB.ev)
    Стал пропадать Инет (причина мне известна: провайдер блокирует множественные рассылки)
    CureIt! выпал в BSOD, KIS2009 вставал намертво на половине сканирования.
    Хочется раз и навсегда покончить с этим. Логи прилагаются.
    Спасибо!
    Вложения Вложения
    Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\llgpsk.sys','');
     DeleteService('Bonjour Service');
     DeleteService('NdisFileServices32');
     DeleteFile('C:\WINDOWS\system32\dns-sd.exe');
     DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\llgpsk.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('NdisFileServices32');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2007
    Адрес
    Frolovo MegaTown. Why Mega? I am living in Frolovo
    Сообщений
    252
    Вес репутации
    151
    Файл сохранён как 080906_044851_virus_48c25203b06c0.zip
    Размер файла 1225084
    MD5 5b08a50e1575bda5091ba4e23ceca3b8

    Новый комплект логов:

    P.S. Файлы опять появились...
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 06.09.2008 в 14:08.
    Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Удалите файл вручную:
    Код:
    C:\Documents and Settings\All Users\Application Data\Apple\Installer Cache\Bonjour 1.0.104\Bonjour.msi
    -Пофиксите
    Код:
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
    Больше в логах ничего плохого не вижу.
    Почитайте еще тут: http://www.viruslist.com/ru/viruses/...virusid=313455
    Выполните пункт 2 правил.
    Потом повторите логи.

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2007
    Адрес
    Frolovo MegaTown. Why Mega? I am living in Frolovo
    Сообщений
    252
    Вес репутации
    151
    Затребованный комплект логов.
    И ещё вопросец:
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

    Компьютер - домашний, получает Интернет через локальную Сеть.
    Спасибо!
    Вложения Вложения
    Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Выполните скрипт, чтобы устранить проблемы
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Messenger', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
     DeleteService('Bonjour Service');
     DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
    RebootWindows(true);
    end.
    Руководство по службам можно скачать по ссылке в моей подписи.

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2007
    Адрес
    Frolovo MegaTown. Why Mega? I am living in Frolovo
    Сообщений
    252
    Вес репутации
    151
    Скрипт выполнил, браузер Apple Safari деинсталлировал. Полёт пока нормальный.
    Будем зрить в корень далее.
    Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Shark Посмотреть сообщение
    браузер Apple Safari деинсталлировал.
    Зачем? Он и без Бонжура рабочий

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Пункт 2 правил выполнили?
    Лучше делать так http://virusinfo.info/showthread.php?t=15927
    пункт 1 или 2.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2007
    Адрес
    Frolovo MegaTown. Why Mega? I am living in Frolovo
    Сообщений
    252
    Вес репутации
    151
    Цитата Сообщение от kps Посмотреть сообщение
    Пункт 2 правил выполнили?
    Лучше делать так http://virusinfo.info/showthread.php?t=15927
    пункт 1 или 2.
    Пункт 2 выполнил.

    Добавлено через 4 минуты

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Зачем? Он и без Бонжура рабочий
    Да не нужен он мне. Ничего в нём нет замеччательного - он дырявый к тому же.
    Последний раз редактировалось Shark; 07.09.2008 в 19:32. Причина: Добавлено
    Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Shark, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Net-Worm.Win32.Kido.hr и Virus.Win32.Sality
      От Кочевник в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.07.2010, 18:10
    2. После вирусов Net-Worm.Win32.Kido.ir и Virus.Win32.Sality.aa.
      От StepIn в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 19.02.2010, 16:36
    3. Ответов: 1
      Последнее сообщение: 26.02.2009, 14:29
    4. virus.win32.sality.s; worm.win32.Autorun.cxk
      От Nvs в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.08.2008, 20:09
    5. Ответов: 13
      Последнее сообщение: 13.09.2006, 14:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00999 seconds with 22 queries