отпровляю файлы можете ли вы дать мне какие нибудь рекомендации. и помогите мне пожалуйста!
Printable View
отпровляю файлы можете ли вы дать мне какие нибудь рекомендации. и помогите мне пожалуйста!
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\spools.exe','');
QuarantineFile('C:\Documents and Settings\Agent A\Local Settings\Temporary Internet Files\Content.IE5\ECOR3VZX\bbot[1].exe','');
QuarantineFile('C:\WINDOWS\system32\vdNoevXe.exe','');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe');
SysCleanAddFile('C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe');
DeleteFile('C:\WINDOWS\system32\spools.exe');
DelCLSID('e7593602-124b-47c9-9f73-a69308edc973');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил).
Очистите папку временных файлов Интернет у себя и для другого пользователя компьютера.
Сделайте новые логи и приложите их к своей теме.
отправляю вам новые логи, очистить папку временных файлов интернет для другого пользователя не могу так как там стоит пароль.возможно в предыдущем сообщении логи заменились на новые.файлы из карантина avz отправила (по приложению № 3),
они нигде не отражаются, так и должно быть?
с уваженим, Ольга.
А зачем сюда прикрепили? Захотелось красных карточек получить?
Карантин был загружен, было ведь окошко- файл загружен.
А в тему надо новые логи прикрепить как в первом сообщении, неужели не понятно (их желательно сначала сделать по правилам) ?
чтобы вы знали, то что вы загрузили :C:\WINDOWS\system32\spools.exe - троянская программа Backdoor.Win32.IRCBot.aiv (kaspersky)
остальные файлы не попали,следует искать вручную по пункту 2 правил.
прошу извинить меня я чуть-чуть запуталась...:'-( а сейчас надеюсь правильно..
У вас был [b]Backdoor.Win32.IRCBot.aiv[/b] (уже удален).
Пофиксите в HijackThis:
[code]
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
[/code]
Выполните скрипт в AVZ:
[code]
begin
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
В карантине AVZ должен быть файл [b]FXuCebKC.exe[/b] - пришлите его по правилам.
И еще неплохо бы разобраться с этим:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Сообщите, что вы используете из перечисленного, остальное поправим.
Всё выполнила, файл отправила. какие из служб используются не знаю, но компьютер подключен по локальной сети к двум компьютерам. модем установлен на этом компьютере. Спасибо за момощь с уважением ольга.
Присланный файл - копия того же зловреда.
Выполните такой скрипт:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\FXuCebKC.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте логи еще раз для контроля.
спосибо за помощь отпровляю вам новые логи. а ещё я забыла вам сказать что звук на компьютере пропал когда я поняла что появился вирус.
В логах чисто.:)
большое спасибо ребятки. помогите вернуть звук компьютеру пожалуйста...
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!
Удачи!
[quote]звук на компьютере пропал когда я поняла что появился вирус.[/quote]
На основании чего вы это поняли?
В каком файле был обнаружен троян?
[quote]помогите вернуть звук компьютеру пожалуйста[/quote]
Переустановите драйвер звуковой карты. Понять почему пропал звук, по логам не возможно.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\agent a\\local settings\\temporary internet files\\content.ie5\\ecor3vzx\\bbot[1].exe - [B]Backdoor.Win32.IRCBot.aiv[/B] (DrWEB: BackDoor.Spool)[*] c:\\windows\\system32\\fxucebkc.exe - [B]Backdoor.Win32.IRCBot.aiv[/B] (DrWEB: BackDoor.Spool)[*] c:\\windows\\system32\\spools.exe - [B]Backdoor.Win32.IRCBot.aiv[/B] (DrWEB: BackDoor.Spool)[/LIST][/LIST]