Показано с 1 по 11 из 11.

IM-Worm.Win32.VB.ev и Virus.Win32.Sality.aa (заявка № 29685)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2007
    Адрес
    Frolovo MegaTown. Why Mega? I am living in Frolovo
    Сообщений
    252
    Вес репутации
    177

    Exclamation IM-Worm.Win32.VB.ev и Virus.Win32.Sality.aa

    Доброго времени суток!
    С некоторых пор стал замечать, что во Входящих, Исходящих, а также в каталоге C:\Documents and Settings\All Users\Документы
    стал появляться Fun.exe (IM-Worm.Win32.VB.ev)
    Стал пропадать Инет (причина мне известна: провайдер блокирует множественные рассылки)
    CureIt! выпал в BSOD, KIS2009 вставал намертво на половине сканирования.
    Хочется раз и навсегда покончить с этим. Логи прилагаются.
    Спасибо!
    Вложения Вложения
    Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\llgpsk.sys','');
     DeleteService('Bonjour Service');
     DeleteService('NdisFileServices32');
     DeleteFile('C:\WINDOWS\system32\dns-sd.exe');
     DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\llgpsk.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('NdisFileServices32');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2007
    Адрес
    Frolovo MegaTown. Why Mega? I am living in Frolovo
    Сообщений
    252
    Вес репутации
    177
    Файл сохранён как 080906_044851_virus_48c25203b06c0.zip
    Размер файла 1225084
    MD5 5b08a50e1575bda5091ba4e23ceca3b8

    Новый комплект логов:

    P.S. Файлы опять появились...
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 06.09.2008 в 14:08.
    Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Удалите файл вручную:
    Код:
    C:\Documents and Settings\All Users\Application Data\Apple\Installer Cache\Bonjour 1.0.104\Bonjour.msi
    -Пофиксите
    Код:
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
    Больше в логах ничего плохого не вижу.
    Почитайте еще тут: http://www.viruslist.com/ru/viruses/...virusid=313455
    Выполните пункт 2 правил.
    Потом повторите логи.

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2007
    Адрес
    Frolovo MegaTown. Why Mega? I am living in Frolovo
    Сообщений
    252
    Вес репутации
    177
    Затребованный комплект логов.
    И ещё вопросец:
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

    Компьютер - домашний, получает Интернет через локальную Сеть.
    Спасибо!
    Вложения Вложения
    Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Выполните скрипт, чтобы устранить проблемы
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Messenger', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
     DeleteService('Bonjour Service');
     DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
    RebootWindows(true);
    end.
    Руководство по службам можно скачать по ссылке в моей подписи.

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2007
    Адрес
    Frolovo MegaTown. Why Mega? I am living in Frolovo
    Сообщений
    252
    Вес репутации
    177
    Скрипт выполнил, браузер Apple Safari деинсталлировал. Полёт пока нормальный.
    Будем зрить в корень далее.
    Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Shark Посмотреть сообщение
    браузер Apple Safari деинсталлировал.
    Зачем? Он и без Бонжура рабочий

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Пункт 2 правил выполнили?
    Лучше делать так http://virusinfo.info/showthread.php?t=15927
    пункт 1 или 2.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2007
    Адрес
    Frolovo MegaTown. Why Mega? I am living in Frolovo
    Сообщений
    252
    Вес репутации
    177
    Цитата Сообщение от kps Посмотреть сообщение
    Пункт 2 правил выполнили?
    Лучше делать так http://virusinfo.info/showthread.php?t=15927
    пункт 1 или 2.
    Пункт 2 выполнил.

    Добавлено через 4 минуты

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Зачем? Он и без Бонжура рабочий
    Да не нужен он мне. Ничего в нём нет замеччательного - он дырявый к тому же.
    Последний раз редактировалось Shark; 07.09.2008 в 19:32. Причина: Добавлено
    Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Shark, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Net-Worm.Win32.Kido.hr и Virus.Win32.Sality
      От Кочевник в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.07.2010, 18:10
    2. После вирусов Net-Worm.Win32.Kido.ir и Virus.Win32.Sality.aa.
      От StepIn в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 19.02.2010, 16:36
    3. Ответов: 1
      Последнее сообщение: 26.02.2009, 14:29
    4. virus.win32.sality.s; worm.win32.Autorun.cxk
      От Nvs в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.08.2008, 20:09
    5. Ответов: 13
      Последнее сообщение: 13.09.2006, 14:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01045 seconds with 20 queries