Проверка др вебом дала наличие только Trojan.Copyself в C:\WINDOWS\autorun.inf При визуальной проверке на наличие autorun ов в корзине обнаружились неудаляемые файлы. Прикрепляю логи
Printable View
Проверка др вебом дала наличие только Trojan.Copyself в C:\WINDOWS\autorun.inf При визуальной проверке на наличие autorun ов в корзине обнаружились неудаляемые файлы. Прикрепляю логи
интересует что написано в авторане, пришлите его :)
также парочку неудолямых тоже прислать согласно приложения 2 правил.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('c:\windows\system32\l3731.tmp','');
DeleteFile('c:\windows\system32\l3731.tmp');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(12);
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=16247[/url]
[quote=drongo;170520]интересует что написано в авторане, пришлите его :)
также парочку неудолямых тоже прислать согласно приложения 2 правил.
[/quote]
авторан удален др вебом, поэтому не могу его прислать.
[quote=drongo;170520]
также парочку неудолямых тоже прислать согласно приложения 2 правил.
[/quote]
Название неудаляемых брать такие же как в корзине?
Карантин закачал
Файл сохранён как 080111_024529_virus_47872ca95f0f2.zip
Размер файла 134115
MD5 6348de5dd36d334b6b3ee6e61f56e453
l3731.tmp - [b]Trojan-PSW.Win32.LdPinch.eyv[/b]
ntos.exe - [b]Trojan-PSW.Win32.Zbot.dd[/b]
Надо будет сменить все пароли
высылаю неудаляемые из корзины файлы + те (2 шт), которые появляются при удалении неудаляемых
Файл сохранён как 080113_222506_virus_478ae4220254b.zip
Размер файла 2389
MD5 41fdac71729facfc5e4ee17a5094c088
На диске С в корзине тоже те же файлы, только в 3 папках с названием из длинной последовательности букв и цифр.
Нужно сделать повторные логи.
В карантине указатель на
[QUOTE]
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}[/QUOTE]
Если есть навык работы с реестром, то поискать в нем: 645FF040-5081-101B-9F08-00AA002F954E. Интересует, что в этом разделе реестра прописано.
логи сделал, кроме этого в реестре найдено 7 записей с 645FF040-5081-101B-9F08-00AA002F954E
Картинки реестра закачал на рапидшару:
[url]http://pic.rapidshare.ru/538554[/url]
[url]http://pic.rapidshare.ru/538555[/url]
[url]http://pic.rapidshare.ru/538557[/url]
[url]http://pic.rapidshare.ru/538558[/url]
[url]http://pic.rapidshare.ru/538560[/url]
[url]http://pic.rapidshare.ru/538561[/url]
[url]http://pic.rapidshare.ru/538563[/url]
В картинках только указатели на "Корзину", в общем все правильно.
В логах зверей не видно. На всякий случай, проверь все флешки на наличие autorun.inf.
Версию Доктора надо обновить до 4.44. Будет удалять влет этих зверей.
Плюс можем закрыть то, что Вам не нужно:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[quote=PavelA;171841]
проверь все флешки на наличие autorun.inf.
[/quote]
а может вообще автозапуск флэшек отключить? а то не всегда успевают шифт нажать и флэшка успевает открыться. А вообще хотелось бы уточнить момент когда происходит заражение с флэшки, в момент появления окошка автозапуска или уже после выбора действия с флэшкой?
[quote=PavelA;171841]
Версию Доктора надо обновить до 4.44. Будет удалять влет этих зверей.[/quote]
т.е. Доктор 4.44 удалит эти неудаляемые файлы, а то я не понял что делать дальше.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
[quote=rubin;171873]
>> Службы: TermService (Службы терминалов)
>> Службы: mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
[/quote]
Это все можно закрывать, не нужно
[quote=rubin;171873]
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/quote]
автозапуск с CDROM можно отключить, а на этом компе нужен доступ к общим папкам
[QUOTE=Rogoff;172264]а может вообще автозапуск флэшек отключить?[/QUOTE]Конечно. Посмотрите [URL="http://virusinfo.info/showthread.php?t=14929"]здесь[/URL].
[QUOTE=Rogoff;172264]а может вообще автозапуск флэшек отключить? а то не всегда успевают шифт нажать и флэшка успевает открыться. А вообще хотелось бы уточнить момент когда происходит заражение с флэшки, в момент появления окошка автозапуска или уже после выбора действия с флэшкой?
т.е. Доктор 4.44 удалит эти неудаляемые файлы, а то я не понял что делать дальше.
[/QUOTE]
По моему разумению, в момент появления окошка автозапуска, или чуть раньше, в момент отработки autorun.inf
Доктор удалит те, вредные файлы, которые прописаны в autorun.inf
Неудаляемые файлы это последствия. Основа это то, что запускается через autorun.inf
а как же избавиться от неудаляемых файлов в корзине?
[QUOTE=Rogoff;172365]а как же избавиться от неудаляемых файлов в корзине?[/QUOTE]
Скачайте [URL="http://vc.kiev.ua/vc/download/vc405sw.zip"]Volkov Commander[/URL]. Программа работает на ДОС-уровне и с ее помощью Вы можете очистить Вашу корзину.
Не надо волноваться за зря. У меня такие же файлы есть в "Корзине".
Они нужны для правильного показа иконок "Корзины" + отображение возможных действий для нее.
все, я спокоен по поводу этих файлов :) значит наше лечение на этом завершено?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\l3731.tmp - [B]Trojan-PSW.Win32.LdPinch.eyv[/B] (DrWEB: Trojan.PWS.LDPinch.1941)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.yn[/B] (DrWEB: Trojan.Proxy.2503)[/LIST][/LIST]