Лечил сначала Касперским, потом AVZ.
На первый взгляд вроде бы всё нормально - exe'шников инфицированных не находит, файлов *.t больше не осталось тоже.
Но есть такое подозрение, что совсем ещё не всё вылечилось.
Один из симптомов - при нажатии ctrl+alt+del появляется сообщение "Диспетчер задач отключен администратором"
Логи в приложении.
Спасибо!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
чтобы вернуть на место Диспетчер задач, нужно в AVZ в меню "Файл -> Восстановление системы" поставить галку напротив "Удаление всех Policies..." и нажать "Выполнить отмеченные операции".
следующие файлы (если найдутся через AVZ) прислать на исследование по правилам форума (предварительно убедитесь, что включено противодействие руткитам в AVZ!):
C:\WINDOWS\system32\spoolsvv.exe
c:\windows\system32\_mzu_stonedrv3.exe
C:\DOCUME~1\AFTERG~1\LOCALS~1\Temp\176\gm.exe
C:\WINDOWS\system32\dxvwrxjd.exe
C:\WINDOWS\system32\wservice.exe
C:\DOCUME~1\AFTERG~1\LOCALS~1\Temp\E.tmp
C:\WINDOWS\system32\rpcc.dll
C:\WINDOWS\system32\geczt.dll
C:\WINDOWS\RGVuaXNvNGth\command.exe
c:\windows\system32\taskdir.exe
C:\WINDOWS\system32\adir.dll
C:\WINDOWS\system32\daoprint.dll
srvc.dll
C:\WINDOWS\system32\oyethk32.dll
C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\svclient.dll
C:\WINDOWS\system32\scnike.dll
C:\WINDOWS\system32\izpromon.dll
C:\Documents and Settings\afterglow\Local Settings\Temp\00000727.tmp
C:\Documents and Settings\afterglow\Local Settings\Temp\00000748.tmp
C:\Documents and Settings\afterglow\Local Settings\Temp\snatch2.exe (вот этот файл нужен в первую очередь)
C:\Documents and Settings\afterglow\Local Settings\Temporary Internet Files\Content.IE5\A3KJZOLS\00000753.tmp
C:\Documents and Settings\afterglow\Local Settings\Temporary Internet Files\Content.IE5\OZEV21M1\se[1].exe
C:\WINDOWS\system32\se.exe.exe
C:\WINDOWS\system32\vxgame*.exe
после указанных операций - перезагрузить компьютер и сделать новые логи, которые приложить к теме.
Последний раз редактировалось MOCT; 12.11.2006 в 23:47.
C:\Documents and Settings\afterglow\Local Settings\Temp\00000727.tmp
C:\Documents and Settings\afterglow\Local Settings\Temporary Internet Files\Content.IE5\A3KJZOLS\00000753.tmp
C:\Documents and Settings\afterglow\Local Settings\Temp\snatch2.exe
эти три файла одинаковые Trojan-Spy.Win32.Goldun.ms (Касперский)
C:\WINDOWS\system32\se.exe.exe
C:\Documents and Settings\afterglow\Local Settings\Temporary Internet Files\Content.IE5\OZEV21M1\se[1].exe
эти два файла одинаковые, недетектируемые трояны для скачивания других троянов.
из "Менеджера расширений проводника" в AVZ удалить строки с упоминанием следующих файлов:
C:\WINDOWS\system32\oyethk32.dll
C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\svclient.dll
C:\WINDOWS\system32\scnike.dll
C:\WINDOWS\system32\izpromon.dll
из "Менеджера файла Hosts" в AVZ удалить все строки, кроме строки
127.0.0.1 localhost
удалить все файлы вида:
C:\Documents and Settings\afterglow\Local Settings\Temporary Internet Files\Content.IE5\A3KJZOLS\000007*.tmp
после этого перезагрузиться, сделать новые логи и прикрепить их к теме.
В диспетчере служб и драйверов AVZ удалите строки ссылающиеся на файл C:\WINDOWS\RGVuaXNvNGth\command.exe
Что-то не нравится мне что у Вас каждый раз лечатся одни и те же архивы... Да и строки от Look2Me из реестра так и не удалились:
C:\WINDOWS\system32\oyethk32.dll
C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\svclient.dll
C:\WINDOWS\system32\scnike.dll
C:\WINDOWS\system32\izpromon.dll
Строку, ссылавшуюся на файл С:\WINDOWS\RGVuaXNvNGth\command.exe убрал
А строки от Look2ME вообще удаляться оттуда не хотят - с них можно только галки убрать.
Видимых симптомов заражения не осталось, кроме 16килобайтных файлов *.exe в архивах *.rar.
Все *.exe, инфицированные Glowa, почистил из найденных AVZ архивов вручную, логи сделал уже после этого.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: