При каждом клике мышью выскакивает сообщение о зараженном комп. и в случае "ОК" перемещает на страницу с программой sanitardiska
Printable View
При каждом клике мышью выскакивает сообщение о зараженном комп. и в случае "ОК" перемещает на страницу с программой sanitardiska
[B]Отключите восстановление системы[/B]
1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\xcodec.dll','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
2.[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL] в HiJackThis
[CODE]
O2 - BHO: (no name) - {29F340EA-2108-40d0-94A0-62EC2B9EDF59} - (no file)
[/CODE]
3.Выслать карантин по [URL="http://virusinfo.info/upload_virus.php?tid=17053"]этой ссылке[/URL]
не помогло?!
файл с карантина отправил.
[b]Отключите восстановление системы!![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\xcodec.dll');
BC_DeleteFile('C:\WINDOWS\system32\xcodec.dll');
DelBHO('{ED2F0D39-992F-4330-A26C-42818DC66C43}');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
P.S. Свежачок поймали! Пока только эвристиками детектируется. Отправил в ЛК.
Кажется помогло, окно больше не появляется...
В логах чисто.
Для профилактики можно отключить все что вам не нужно из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
А скрипт на отключение всего "этого" можно получить? ;-)
Лехко ;) :
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
* Если есть локалка с общим доступом к файлам и принтерам, уберите первую строчку после begin.
Лови еще "благодарность" Для хороших людей не жалко!
Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\xcodec.dll - [B]Hoax.Win32.PornCodec.a[/B] (DrWEB: Trojan.Fakealert.413)[/LIST][/LIST]