-
Junior Member
- Вес репутации
- 68
Провел проверку - помогите сориентироваться: всё иль ещё что нужно.
Началось с того, что на компьютере вылез зверь по имени BackDoor.Mailbot
Он, как я понял, прибыл с почтой, и ещё он большой любитель делать перезагрузку.
Лечил его Др.Вебом под Виндой, - не искоренялся.
Сегодня прошерудил Досовским Др.Вебом (drweb386.exe) в "безопасном режиме со строкой дос".
Хоть он, как я заметил и ничего не откопал, но после загрузки Др.Веб под Виндой отловил вируса.
И после следующей перезагрузки он уже не выскакивал.
Но я всё же проделал процедуры, указанные в правилах этой темы (прошелся AVZ-том и HijackThis-ом), AVZ там что-то умедрился накопать.
Вот прикрепляю сюда файлы, созданные ими.
Посмотрите, плз, и скажите, осталось там ещё что и, если да, то как это искоренить?
Последний раз редактировалось JaneYa; 21.02.2008 в 21:35.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите на время восстановление системы. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('svcchost.exe','');
QuarantineFile('svcchosst.exe','');
QuarantineFile('C:\WINDOWS\system32\srvc.exe','');
QuarantineFile('C:\WINDOWS\system32\mfcee.exe','');
QuarantineFile('C:\WINDOWS\system32\mdmd.exe','');
QuarantineFile('C:\Documents and Settings\1\4.exe','');
QuarantineFile('c:\windows\system32\helpsys.exe','');
DeleteFile('c:\windows\system32\helpsys.exe');
DeleteFile('C:\Documents and Settings\1\4.exe');
DeleteFile('C:\WINDOWS\system32\mdmd.exe');
DeleteFile('C:\WINDOWS\system32\mfcee.exe');
DeleteFile('C:\WINDOWS\system32\srvc.exe');
DeleteFile('svcchosst.exe');
DeleteFile('svcchost.exe');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки,пришлите содержимое карантина AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=9218 , как написано в прил.3 правил, и сделайте новые логи. И еще: у вас -
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Крайне рекомендуется поставить SP2 + все критические дополнения.
-
-
Junior Member
- Вес репутации
- 68
А подскажите, пожалуйста, как выполнить именно этот скрипт?
Я ток недавно начал осваивать AVZ.
Как я подозреваю, перед выполнение его надо куда-то записать, а вот куда?
И ещё, для чего следует поставить SP2 - что это даст или чего позволит избежать?
-
Сообщение от
JaneYa
А подскажите, пожалуйста, как выполнить именно этот скрипт?
http://virusinfo.info/showpost.php?p=88804&postcount=1
-
-
Сообщение от
JaneYa
И ещё, для чего следует поставить SP2 - что это даст или чего позволит избежать?
Закроет массу дырок, через которые лезут черви и трояны.
-
-
Junior Member
- Вес репутации
- 68
Numb, Ваши рекомендации я выполнил, содержимое карантина по указанной ссылке прислал, логи прикрепляю.
Жду дальнейших указаний.
Последний раз редактировалось JaneYa; 21.02.2008 в 21:35.
-
Не надо прикреплять вирусы к сообщениям.
Читайте "Правила" (Хинт: Прислать запрошенные файлы вверху темы)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
C:\WINDOWS\system32\mdmd.exe - Trojan-Proxy.Win32.Slaper.e
c:\windows\system32\helpsys.exe - Trojan-Proxy.Win32.Slaper.e
(по классификации Касперского)
Остальные в карантин не попали, но и в логах их не видно.
В программе hijackthis пофиксите строку
Код:
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
. Какие-нибудь симптомы заражения остались? И еще раз: вот с этим
Код:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
и без файервола вы очень недолго пробудете в интернете с чистой машиной. Крайне рекомендуется поставить SP2 + все последующие обновления.
-
-
Junior Member
- Вес репутации
- 68
Всё, вчера сделал последний штрих - профиксил.
Симптомов заражения нет, жалоб не поступало.
Премного Вам, Numb, благодарен!!!
По поводу рекомендации SP2 я понял.