:)
Сегодня словил спамбот и какой то прокси там чегой то
логи
Веб удалил файлы но после перезагрузки все время появляются файлы в корне С типа F.tmp, E.tmp и т.д.
Printable View
:)
Сегодня словил спамбот и какой то прокси там чегой то
логи
Веб удалил файлы но после перезагрузки все время появляются файлы в корне С типа F.tmp, E.tmp и т.д.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msekfek.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\imapi.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\redbook.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите весь карантин по правилам.
Карантин получен.
C:\WINDOWS\system32\ntos.exe - [B]Trojan-Spy.Win32.Bancos.aam[/B]
C:\WINDOWS\system32\msekfek.dll - видимо отсутствует.
Остальные чистые.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите в HijackThis (что останется):
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\msekfek.dll
[/code]
Сделайте новые логи.
P.S. На всякий случай поменяйте свои пароли, скорее всего троян их украл.
[quote=Bratez;117836]Карантин получен.
C:\WINDOWS\system32\ntos.exe - [B]Trojan-Spy.Win32.Bancos.aam[/B]
C:\WINDOWS\system32\msekfek.dll - видимо отсутствует.
Остальные чистые.
После перезагрузки пофиксите в HijackThis (что останется):
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\msekfek.dll
[/code]
Сделайте новые логи.
P.S. На всякий случай поменяйте свои пароли, скорее всего троян их украл.[/quote]
Спасибо.
После выполнения скрипта фиксить кроме 020 было нечего.
[quote=Bratez;117836]Карантин получен.
C:\WINDOWS\system32\ntos.exe - [B]Trojan-Spy.Win32.Bancos.aam[/B]
C:\WINDOWS\system32\msekfek.dll - видимо отсутствует.
Остальные чистые.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите в HijackThis (что останется):
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\msekfek.dll
[/code]
Сделайте новые логи.
P.S. На всякий случай поменяйте свои пароли, скорее всего троян их украл.[/quote]
фиксить после скрипта пришлось только 020 строку, остальных не было.
:O логи превысили лимит по размеру и не влезают!!!
при нажатии на волщебную ссылку показывает все логи которые я выкладывал ранее. Могу я их удалить?
Больше ничего подозрительного нет.
Удалите файлы C:\*.tmp и убедитесь, что они не появляются.
[quote=Not;117840]
:O логи превысили лимит по размеру и не влезают!!!
при нажатии на волщебную ссылку показывает все логи которые я выкладывал ранее. Могу я их удалить?[/quote]
Да, начинай со старых.
Не знаю почему они к тебе липнут ;)Или у тебя мёдом намазано или не выполнил моих советов :
Чтобы уменьшить шанс заражения советую на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
[quote=drongo;117844]Да, начинай со старых.
Не знаю почему они к тебе липнут ;)Или у тебя мёдом намазано или не выполнил моих советов :
Чтобы уменьшить шанс заражения советую на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [URL]http://security-advisory.newmail.ru[/URL][/quote]
Все просто.
Вчера при поиске необходимой информации по яндексу,
принебрег своим правилом смотреть адрес сайта в ссылках.
Нажав очередную ссылку попал на сайт ХХХ содержания.
Сразу после этого очистил темпори интернет и запустил веба.
Веб и сказал, что небезопасный секс приводит к плачевным последствиям.:'-(
А вот альтернативные браузеры мне не нравятся. Никаких фаерволов у меня не установлено (есть такая необходимость).
Но удивительно то, что вирусню с такой частотой начал хватать месяц-два назад. раньше такого не было.
Вот недостающие логи.
Все чисто. [B]*.tmp[/B] больше не появляются?
[quote=Not;117847]Все просто.
Вчера при поиске необходимой информации по яндексу,
принебрег своим правилом смотреть адрес сайта в ссылках.
Нажав очередную ссылку попал на сайт ХХХ содержания.
Сразу после этого очистил темпори интернет и запустил веба.
Веб и сказал, что небезопасный секс приводит к плачевным последствиям.:'-(
А вот альтернативные браузеры мне не нравятся. Никаких фаерволов у меня не установлено (есть такая необходимость).
Но удивительно то, что вирусню с такой частотой начал хватать месяц-два назад. раньше такого не было.
Вот недостающие логи.[/quote]
и были выполнены точно 1 и 2 пункты полностью ?
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
[quote=Bratez;117850]Все чисто. [B]*.tmp[/B] больше не появляются?[/quote]
Да вроде все.
Спасибо.
[quote=drongo;117851]и были выполнены точно 1 и 2 пункты полностью ?
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)[/quote]
Нет.
Я не люблю ограниченные права.
И не люблю альтернативные браузеры.
Вообще я стараюсь быть аккуратен в своих связях, но как то иногда проскакивают неосторожности.:)
В таком случае будешь часто ловить;)
Я привык и не хочу по другому;) Зато ничего не липнет, даже если система защиты проворонит.
[quote=drongo;117865]В таком случае будешь часто ловить;)
Я привык и не хочу по другому;) Зато ничего не липнет, даже если система защиты проворонит.[/quote]
Значит я еще не раз посетю этот раздел:)