Вот такой зоопарк обнаружился:
Worm.Sifiliz
Trojan.DownLoader.28665
Trojan.PWS.LDPinch.2369
Trojan.PWS.Webmonier
VBS.Psyme.444
Trojan.DownLoader.31195
Trojan.DownLoader.33215
VBS.PackFor
Trojan.Packed.166
логи:
Printable View
Вот такой зоопарк обнаружился:
Worm.Sifiliz
Trojan.DownLoader.28665
Trojan.PWS.LDPinch.2369
Trojan.PWS.Webmonier
VBS.Psyme.444
Trojan.DownLoader.31195
Trojan.DownLoader.33215
VBS.PackFor
Trojan.Packed.166
логи:
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syst153.dll','');
QuarantineFile('C:\WINDOWS\system32\ldfjksdhejf.dll','');
QuarantineFile('C:\DOCUME~1\42C3~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\DOCUME~1\42C3~1\LOCALS~1\Temp\svchots.exe','');
DeleteFile('C:\DOCUME~1\42C3~1\LOCALS~1\Temp\svchots.exe');
DeleteFile('C:\DOCUME~1\42C3~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ldfjksdhejf.dll');
DeleteFile('C:\WINDOWS\system32\syst153.dll');
BC_Importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, если останутся, пофиксите с помощью hijackthis строки: [code]O2 - BHO: C:\WINDOWS\system32\ldfjksdhejf.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\ldfjksdhejf.dll (file missing)
O4 - HKCU\..\Run: [Restore Operation] C:\DOCUME~1\42C3~1\LOCALS~1\Temp\svchots.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\42C3~1\LOCALS~1\Temp\winlogon.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\syst153.dll
[/code] Карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=12811[/url] , как написано в прил.3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] , скачайте новую версию Hijackthis (ссылка - в правилах), обновите базы AVZ ( AVZ - файл - обновление баз) и сделайте новые логи.
В карантин ничего не попало. Вручную тоже ничего не нашел.
[QUOTE=Rogoff;139125]В карантин ничего не попало. Вручную тоже ничего не нашел.[/QUOTE]
Так ведь
[quote]скачайте новую версию Hijackthis (ссылка - в правилах), обновите базы AVZ ( AVZ - файл - обновление баз) и сделайте новые логи.[/quote]
прошу прощения за невнимательность, логи:
На всякий случай, найдите и загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=12811[/url] файл [code]c:\windows\system32\ctfmon.exe[/code] Помимо этого, следующее:[LIST=1][*]У вас через файл hosts осуществляется попытка болкировки серверов webmoney. Это вы сами писали? Если нет, то программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
clearhostsfile;
end.[/code][*]Какие из этих служб вами используются?[code]8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/code] В принципе, если это домашняя машина, можно отключить все.[*]Виден DrWeb. Если программа лицензионная, то рекомендуется обновиться до версии 4.44 Автоматического обновления с версии 4.33 на версию 4.44 , насколько я знаю, на данный момент не происходит - следует вручную скачать дистрибутив с сайта разработчика и выполнить установку поверх предыдущей версии[/LIST]А так, вроде-бы, чисто.
и вот скрипт отключающий ненужные службы(оставил только автозапуск сд)
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
c:\windows\system32\ctfmon.exe загрузил:
Файл сохранён как 071004_193229_virus_4705861dd97e0.zip
Размер файла 9464
MD5 d2386b988ee704b6fbbfee5fe4d7fa89
файл hosts почистил
из служб не используется ни одна, а вот комп работает в сети и имеет общие ресурсы
выполнил скрипт по отключению ненужных служб и теперь на комп нельзя зайти по сети.
[CODE]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 0);
RebootWindows(true);
end.[/CODE]
вот так тогда.