-
Vundo Trojan
Vundo Trojan. NAV начал ловить Downloader в C:\Doc & Set\...\Loc Set\Temp Inter Files\Content.IE5\..дальше варианты разные (или сразу файл или в папке). Content.IE5 в Temp. Internet Files не обнаруживается. NAV Downloader успешно удаляет, но через некоторое время опять отлавливает. Также NAV ловит других злодеев, но удаляет лишь частично.
После проверки XoftSpySE обнаруживает в реестре 5 записей от Vundo Trojan. Удаляем. После перезагрузки они опять появляются.
Symantec TrojanVundo Removal Tool его в упор не видит :(
Удалял всю автозагрузку, отключал сеть - не помагает.
HELP!!!(помогите).
С уважением Andran ([EMAIL="[email protected]"][email protected][/EMAIL]).
-
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ddabc.dll','');
QuarantineFile('C:\WINDOWS\system32\vtutu.dll','');
QuarantineFile('C:\WINDOWS\system32\mljgd.dll','');
QuarantineFile('C:\WINDOWS\system32\pmkhf.dll','');
QuarantineFile('C:\WINDOWS\system32\jkkjk.dll','');
QuarantineFile('C:\WINDOWS\system32\mllmn.dll','');
QuarantineFile('winwil32.dll','');
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
QuarantineFile('\SystemRoot\System32\Drivers\sw848b.SYS','');
QuarantineFile('C:\WINDOWS\system32\winwil32.dll','');
DeleteFile('C:\WINDOWS\system32\winwil32.dll');
DeleteFile('winwil32.dll');
DeleteFile('C:\WINDOWS\system32\mllmn.dll');
DeleteFile('C:\WINDOWS\system32\jkkjk.dll');
DeleteFile('C:\WINDOWS\system32\pmkhf.dll');
DeleteFile('C:\WINDOWS\system32\mljgd.dll');
DeleteFile('C:\WINDOWS\system32\vtutu.dll');
DeleteFile('C:\WINDOWS\system32\ddabc.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пофиксите...
[code]
O2 - BHO: (no name) - {06E04E5A-E768-44D1-ACC2-79D7D24581AF} - (no file)
O2 - BHO: (no name) - {0D1559BC-3FAD-4C49-A3EE-560AF786940B} - C:\WINDOWS\system32\mllmn.dll
O2 - BHO: (no name) - {1472CF55-9B6E-45E4-B2CA-F150E9D397C5} - C:\WINDOWS\system32\jkkjk.dll
O2 - BHO: (no name) - {37DB338D-B113-44FB-A338-14AB24F057AA} - C:\WINDOWS\system32\pmkhf.dll
O2 - BHO: (no name) - {723991F8-4DEB-462D-928D-CECB5032572A} - C:\WINDOWS\system32\mljgd.dll
O2 - BHO: (no name) - {7C79B3D7-5157-4D4F-83C7-2C1578D9DABC} - C:\WINDOWS\system32\vtutu.dll
O2 - BHO: (no name) - {7CF6F519-324F-4F39-8FC1-278306A0CBE7} - C:\WINDOWS\system32\ddabc.dll
O2 - BHO: (no name) - {8EE8215E-5075-4487-B7EA-FAAFE2EDB796} - (no file)
O2 - BHO: (no name) - {A59AA054-64A8-46AA-B184-ADE073127E33} - (no file)
O2 - BHO: (no name) - {A72D85B3-29D5-40A7-B566-15E6E4BC3003} - (no file)
O2 - BHO: (no name) - {B8FFEDEF-62E1-4FA2-986D-3E7883BA0B00} - (no file)
O2 - BHO: (no name) - {C091FE81-260A-41A0-A4DC-6162363C2234} - (no file)
O2 - BHO: (no name) - {D386E0A6-9C12-466D-B698-6E371E283356} - (no file)
O20 - Winlogon Notify: winwil32 - C:\WINDOWS\SYSTEM32\winwil32.dll
[/code]
пришлите карантин согласно приложения 3 правил ..
повторите логи...
-
Сделал как приказали ( изв если что не так)
Что-то Virus.zip загрузить не удаётся (наверно туп).
Понял. Отправил.
Прошло N минут. Заразы пока не видать (уух)!!! :)
-
У Вас были
C:\WINDOWS\system32\mllmn.dll и ко [COLOR="Blue"]not-a-virus:AdWare.Win32.Virtumonde.wl [/COLOR]
C:\WINDOWS\system32\winwil32.dll - [COLOR="Blue"]Trojan.Win32.Dialer.qn[/COLOR]
(по Касперскому)
C:\WINDOWS\system32\ddabc.dll - [COLOR="Blue"]Trojan.Click.4341[/COLOR](DrWeb)
[B]tcpip.sys [/B]- чистый
[B]sw848b.SYS[/B] - чистый
В логах всё чисто.
Что из этого вас нужно?остальное пофиксим
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/QUOTE]
-
спс пок OK :):):)
Из служб не надо:
RemoteRegistry (Удаленный реестр)
SSDPSRV (Служба обнаружения SSDP)
TlntSvr (Telnet)
Alerter (Оповещатель)
mnmsrvc (NetMeeting Remote Desktop Sharing)
RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Что мне делать с
[B]tcpip.sys [/B]- чистый
[B]sw848b.SYS[/B] - чистый
С уважением Andran
-
Вот скрипт для отключения служб
[CODE]begin
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/CODE]
С чистыми файлами ничего делать не нужно :) пускай себе живут ;)
Если проблем больше нет,то лечение можно считать законченным.
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!
Удачи!
Page generated in 0.00971 seconds with 10 queries