Купил КИС, он в ходе полной проверки обнаружил троян pcClient.wi, вроде удалил. На всякий случай решил проконсультироваться со специалистами, может осталась какая-нибудь дрянь.. заранее спасибо!
Printable View
Купил КИС, он в ходе полной проверки обнаружил троян pcClient.wi, вроде удалил. На всякий случай решил проконсультироваться со специалистами, может осталась какая-нибудь дрянь.. заранее спасибо!
1.что то я не уверен что кис купили , в логах обычый кав ;)может кто коробки поменял ;-)
2.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[code]begin
QuarantineFile('C:\Program Files\AdVantage\AdVantage.exe','');
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12487[/url]
3.зайти в панель управления, установка /удаление программ- если что найдёться со словом advantage- скажите ;)
4.убедитесь что делали точно по инструкции : [url]http://virusinfo.info/showthread.php?t=12112[/url]
5.Продложение V_Bond уже указал
пофиксите ...
[code]
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: winjmf32 - winjmf32.dll (file missing)
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Pointdev\IDEAL Administration\IACtrl.exe','');
QuarantineFile('winjmf32.dll','');
QuarantineFile('C:\trafinspag.exe','');
QuarantineFile('\SystemRoot\system32\DRIVERS\XPVCOM.sys','');
DeleteFile('winjmf32.dll');
BC_Importall;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
Пардон, вы совершенно правы, КАВ а не КИС ^.^ Ну как всегда бывает, хочешь КИС а денег хватает тока на КАВ :) Карантин выслал как нам свыше правилами предписано :)
Насчет adVantage, эта штука зачем-то прилеплена к последним демон тулзам была, вроде сидит себе в трее тихо и кушать не просит... Ну еще есть у меня анализатор логов апача "Advantage Web Log analiser". КАВ настроен (и делал полное сканирование) согласно инструкции
C:\Program Files\Pointdev\IDEAL Administration\IACtrl.exe ,C:\trafinspag.exe ,C:\WINDOWS\system32\DRIVERS\XPVCOM.sys чистые
C:\Program Files\AdVantage\AdVantage.exe -[B]Adware:Win32/Advantage[/B] .... можем убить ...
или это сделает ваш антивирус после очередного обновления ;)
Убить!!! растерЗать!!! :) надо) а C:\trafinspag.exe это вобщем-то клиент для Траффик-Инспектора, через него интернет раздается у нас :)
[QUOTE]C:\trafinspag.exe это вобщем-то клиент для Траффик-Инспектора, через него интернет раздается у нас [/QUOTE]
ну откуда мы єто можем знать ... (лучше проверить) ...
растерзЫваем .... ;)
выпоните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\AdVantage\AdVantage.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Спасибо, скрипт выполнил :) наверно теперь все чисто :)
можно повторите логи.... для контроля ...
в процессе...скоро выложу :)
Извините за задержку, вчера пришлось срочно уехать... Прикладываю логи
актитвных зловредов не вижу ...
[code]
C:\Program Files\Transcender\BACKUP\AutoProf.exe >>> подозрение на Trojan-Clicker.Win32.VB.on ( 0044E440 0029FAE2 0012E961 001E47C6 24576)
Файл успешно помещен в карантин (C:\Program Files\Transcender\BACKUP\AutoProf.exe)
C:\Program Files\Transcender\BACKUP\cleanup.exe >>> подозрение на Trojan.Win32.Dopen.b ( 004199AC 002C0845 0019462D 00000000 16384)
Файл успешно помещен в карантин (C:\Program Files\Transcender\BACKUP\cleanup.exe)
C:\Program Files\Transcender\BACKUP\FileCleanup.exe >>> подозрение на AdvWare.Win32.CashDeluxe.g ( 00433EE8 002E237F 00009EA0 00000000 20480)
Файл успешно помещен в карантин (C:\Program Files\Transcender\BACKUP\FileCleanup.exe)
C:\Program Files\Transcender\BACKUP\MasterUpdater.exe >>> подозрение на Trojan-Downloader.Win32.Adload.l ( 003D56DA 0034D2D5 0013F7D6 00239755 24576)
Файл успешно помещен в карантин (C:\Program Files\Transcender\BACKUP\MasterUpdater.exe)
C:\Program Files\Transcender\BACKUP\TPM.exe >>> подозрение на Trojan-Clicker.Win32.VB.sc ( 0047BBAA 002C0845 001790EB 000B4CD6 36864)
Файл успешно помещен в карантин (C:\Program Files\Transcender\BACKUP\TPM.exe)
[/code]
если все из этого вам знакомо .... то не стоит беспокоится ....
что из этого используется ....
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Transcender это тесты... не должно быть там ничего опасного вроде.
Из служб вроде все нужные, это рабочая станция в лвс организации :)