Junior Member
Вес репутации
58
предлагается загрузить файл dalfree.com
При открытиии каких-либо сайтов, абсолютно любых, даже virusinfo.info, через некоторое время появляется окно загрузки файла dalfree.com с информацией о каком-то MS DOC, при этом, на месте сайта уже открывается другой, название не запомнила, но относящееся к тому что Doc повреждён.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пачка у Вас зверья живет или жила. AVZ хорошо поработал.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\profile.exe','');
QuarantineFile('C:\profile.com','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Ogard.exe','');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\Windows\wkssevr.exe','');
QuarantineFile('C:\WINDOWS\system32\pingy.exe','');
QuarantineFile('C:\WINDOWS\test.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\kiss.exe','');
QuarantineFile('C:\WINDOWS\system32\kasber.exe','');
QuarantineFile('C:\WINDOWS\system32\fvist.com','');
QuarantineFile('C:\WINDOWS\system32\System','');
QuarantineFile('C:\WINDOWS\mcds.exe','');
QuarantineFile('C:\WINDOWS\admirall.exe','');
QuarantineFile('C:\WINDOWS\system32\syssrv.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
QuarantineFile('c:\windows\system32\system','');
QuarantineFile('c:\windows\mcds.exe','');
QuarantineFile('c:\windows\system32\kiss.exe','');
QuarantineFile('c:\windows\system32\kasber.exe','');
DeleteFile('c:\windows\system32\kasber.exe');
DeleteFile('c:\windows\system32\kiss.exe');
DeleteFile('c:\windows\mcds.exe');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\syssrv.sys');
DeleteFile('C:\WINDOWS\admirall.exe');
DeleteFile('C:\WINDOWS\mcds.exe');
DeleteFile('C:\WINDOWS\system32\System');
DeleteFile('C:\WINDOWS\system32\fvist.com');
DeleteFile('C:\WINDOWS\system32\kasber.exe');
DeleteFile('C:\WINDOWS\system32\kiss.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\test.exe');
DeleteFile('C:\WINDOWS\system32\pingy.exe');
DeleteFile('C:\Windows\wkssevr.exe');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Ogard.exe');
DeleteFile('C:\profile.com');
DeleteFile('C:\profile.exe');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи с подключенными флешками.
Загрузить карантин по Правилам.
Последний раз редактировалось PavelA; 12.03.2009 в 11:30 .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
58
Спасибо)))) после выполненного скрипта начала читаться флешка, которая ранее не читалась. думала с виндой глюк))))
Вложения
Junior Member
Вес репутации
58
карантин щас загружу)
Добавлено через 1 час 21 минуту
я понимаю, что все очень заняты, но тем не менее, очень бы хотелось получить ответ....
Последний раз редактировалось Сильфа; 12.03.2009 в 22:49 .
Причина: Добавлено
Очистите временные папки, кеш браузера, обновите базы AVZ!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('mcds.exe');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Ogard.exe');
DeleteFile('E:\autorun.inf');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C635622}');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187322}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
Junior Member
Вес репутации
58
Вложения
Junior Member
Вес репутации
58
Неа, не знаю, как это делать)))) мне стыыыыыдно(((((((((((((
Если чистить, тогда пароли, что были в кэше тоже будут стёрты? ТО есть, если вход был, например на какой-либо сайт автоматическим, то уже пароль надо будет вновь вводить?
Сообщение от
Сильфа
Неа, не знаю, как это делать)))) мне стыыыыыдно(((((((((((((
Если чистить, тогда пароли, что были в кэше тоже будут стёрты? ТО есть, если вход был, например на какой-либо сайт автоматическим, то уже пароль надо будет вновь вводить?
В программке, про которую Гриша написал, можно галочку НЕ СТАВИТЬ, чтобы оыищать пароли, и все будет хорошо.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 73 В ходе лечения обнаружены вредоносные программы:
c:\autorun.inf - Worm.Win32.AutoRun.cgi ( DrWEB: Win32.HLLW.Autoruner.1269, BitDefender: Trojan.AutorunINF.Gen ) c:\documents and settings\user\local settings\temporary internet files\content.ie5\ohebcdqf\profile[1].com - Trojan.Win32.Buzus.apbp ( BitDefender: Trojan.Generic.1568342 ) c:\documents and settings\user\local settings\temporary internet files\content.ie5\toon5lsh\profile[1].com - Backdoor.Win32.Poison.vfe ( BitDefender: Backdoor.Generic.165894 ) c:\profile.com - Backdoor.Win32.Poison.vfe ( BitDefender: Backdoor.Generic.165894 ) c:\profile.exe - Backdoor.Win32.Poison.vfe ( BitDefender: Backdoor.Generic.165894 ) c:\restore\k-1-3542-4232123213-7676767-8888886\ogard.exe - Trojan.Win32.Agent.bulc c:\windows\admirall.exe - Backdoor.Win32.Delf.akc ( DrWEB: BackDoor.Aphex.10, BitDefender: Backdoor.Aphexdoor.1.0 ) c:\windows\mcds.exe - Trojan.Win32.Buzus.aoar ( DrWEB: Win32.HLLW.Wires, BitDefender: Trojan.Dropper.SVG ) c:\windows\system32\fvist.com - not-a-virus:Client-IRC.Win32.mIRC.603 ( DrWEB: BackDoor.IRC.based, BitDefender: Backdoor.Mirc.BB ) c:\windows\system32\kasber.exe - not-a-virus:Client-IRC.Win32.mIRC.603 ( DrWEB: BackDoor.IRC.based, BitDefender: Trojan.Flood.22016 ) c:\windows\system32\kiss.exe - not-a-virus:Client-IRC.Win32.mIRC.603 ( DrWEB: Program.mIRC.603, BitDefender: Backdoor.IRC ) c:\windows\system32\mssrv32.exe - Rootkit.Win32.Agent.gip ( BitDefender: Backdoor.Hupigon.145084 ) c:\windows\system32\ntos.exe - Trojan-Spy.Win32.Zbot.jdr ( DrWEB: Trojan.PWS.Panda.9, BitDefender: Backdoor.Bot.74877 ) c:\windows\system32\pingy.exe - Trojan.Win32.Runner.x ( DrWEB: Trojan.Starter.464, BitDefender: Trojan.Downloader.Small.ZJ ) c:\windows\system32\sohid.com - not-a-virus:RiskTool.Win32.HideWindows ( DrWEB: Trojan.Flood.22016, BitDefender: Packer.Morphine.B ) c:\windows\system32\system - not-a-virus:Client-IRC.Win32.mIRC.603 ( DrWEB: Program.mIRC.603, BitDefender: IRC-Worm.Generic.4557 ) c:\windows\test.exe - Backdoor.Win32.Delf.akc ( DrWEB: BackDoor.Aphex.10, BitDefender: Backdoor.Aphexdoor.1.0 ) c:\windows\wkssevr.exe - Backdoor.Win32.IRCBot.hyv ( DrWEB: BackDoor.IRC.Unkbot.76, BitDefender: Generic.Malware.SIBdldg.9AB30C24 )
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !