Аваст поймал какой-то вирь, рассылающий спам, убил его Cureit
посмотрите логи пожалуста
Printable View
Аваст поймал какой-то вирь, рассылающий спам, убил его Cureit
посмотрите логи пожалуста
Не всё убили. Сейчас поправим
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sрoоlsv.exe','');
QuarantineFile('C:\WINDOWS\system32\7z.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
DeleteFile('c:\WINDOWS\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('c:\WINDOWS\system32\svchost.exe:ext.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
BC_DeleteSvc('FCI');
BC_DeleteSvc('Spa992apr');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=13334[/url]
P.S.новые логи в студию.
выполнил, вот логи и карантин
Пофиксите в HijackThis:
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\7z.exe,
O4 - HKCU\..\Run: [NeroFilterCheck] sрoоlsv.exe[/code]
Выполните скрипт в безопасном режиме:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sрoоlsv.exe','');
QuarantineFile('C:\WINDOWS\system32\7z.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
DeleteFile('C:\WINDOWS\system32\sрoоlsv.exe');
DeleteFile('C:\WINDOWS\system32\7z.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите карантин, если будет не пустой.
Повторите логи.
выполнил, новые скрипты:
и карантин
Больше вредного не вижу.
Надо лишнее закрывать:
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
спасибо в очередной раз.
в карантин ничего интересного не попало ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
BC_DeleteSvc('mchInjDrv');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
сделайте лог [url]http://virusinfo.info/showthread.php?t=10387[/url]
всё же свежего пинча поймали ;) [url]http://virusinfo.info/showpost.php?p=143461&postcount=24[/url]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\wupdsvc0.exe');
DeleteFile('C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\RMCFVHK1\msntsrv[1].exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
сделайте лог [url]http://virusinfo.info/showthread.php?t=10387[/url]
[b]меняйте пароли срочно! [/b]
прошу прощения, менять пароли где и на что?
надеюсь завтра доберусь до машины этой, доделаю...
на всё ;) начиная от учётных записей, кончая форумами, мылом, пароли аськи и тд ...
блин, так серьёзно?
хорошо, постараюсь...
Лучше перестраховаться и поменять пароли от всего что связанно с интернетом,возможно, что пинч и не успел выполнить своих функций :)
Давайте уберём не нужные Вам службы:
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
И повторите логи для контроля.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\local settings\\temporary internet files\\content.ie5\\rmcfvhk1\\msntsrv[1].exe - [B]Trojan.Win32.Agent.cia[/B] (DrWEB: Trojan.PWS.LDPinch.2454)[*] c:\\windows\\system32\\svchost.exe:ext.exe:$data - [B]Trojan.Win32.Obfuscated.jb[/B] (DrWEB: Trojan.Spambot.2491)[*] c:\\windows\\system32\\wupdsvc0.exe - [B]Trojan.Win32.Agent.cia[/B] (DrWEB: Trojan.PWS.LDPinch.2454)[/LIST][/LIST]