Printable View
Добрый вечер.:O
Сидел в инете, вдруг антивурус стал кричать о вирусах. На рабочем столе появился файл ieupdr2.exe, а в Documents and Settings файл ie_updates3r.exe.
Мой антивирус (Antivir с последними обновлениями) вирус не видит, хотя при проверке на "Online сервисы. Проверки и тесты." Antivir всё показывает.
На машине стоит AntiVir и Outpost Firewall
Помогите плиз.
1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, [/CODE]
Без перезагрузки
2.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\mikel\ie_updates3r.exe');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('c:\documents and settings\mikel\ie_updates3r.exe','');
DeleteFile('c:\documents and settings\mikel\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
BC_DeleteSvc('Google Online Services');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=23141[/url]
Повторите логи
Карантин выслал. Файл ieupdr2.exe всё ещё на рабочем столе.
Новые логи в аттаче.
P.S. можно ли как-нить через скрипт закрыть всякие "потенциально опасные службы"? :O
[b]ieupdr2.exe[/b] - поищите при помощи АВЗ--сервис--поиск файлов на диске и вышлите согласно приложения 2 правил.
В хост файле - Вами сделаны записи?
[quote=wise-wistful;229497]
В хост файле - Вами сделаны записи?[/quote]
Извиняюсь, не понял :O
Ниже перечисленные записи Вы делали в HOSTS файле?
[quote]127.0.0.1 norton.com
127.0.0.1 multitrader.info
127.0.0.1 reggame.biz
127.0.0.1 tele-globus.biz
127.0.0.1 newasp.com.cn
127.0.0.1 mygolddinar.com
127.0.0.1 xfatum.com
127.0.0.1 think-adz2.com
127.0.0.1 daoway.biz
127.0.0.1 school-172.info
127.0.0.1 lem0n.info
127.0.0.1 fuckingwhitehats.com
127.0.0.1 supra-hosting.info
127.0.0.1 i-nt-e-r-n-e-t.com
127.0.0.1 microsoft.com
127.0.0.1 avirus.ru
127.0.0.1 avira.com
127.0.0.1 avira.de
127.0.0.1 avirus.ru
127.0.0.1 drweb.com
127.0.0.1 drweb.de
127.0.0.1 drweb.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky.ru
127.0.0.1 mcafee.ru
127.0.0.1 mcafee.com
127.0.0.1 mcafee.ua
127.0.0.1 kaspersky.ua
127.0.0.1 drweb.ua
127.0.0.1 avira.ua
127.0.0.1 avast.com
127.0.0.1 nod32.com.ua
127.0.0.1 drweb.ru
127.0.0.1 symantec.com
[/quote]
Ого, Не не я. :?
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\MikeL\Рабочий стол\ieupdr2.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Повторите логи начиная с п.10 правил.
Сделал.:)
Новые логи:
Как система поживает? Проблемы какие-то наблюдаются?
Спасибо, хорошо, кроме этого (лог AVZ):
[SIZE=1]8. Поиск потенциальных уязвимостей[/SIZE]
[SIZE=1]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)[/SIZE]
[SIZE=1]>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)[/SIZE]
[SIZE=1]>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)[/SIZE]
[SIZE=1]>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)[/SIZE]
[SIZE=1]>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)[/SIZE]
[SIZE=1]> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)![/SIZE]
[SIZE=1]>> Безопасность: разрешен автозапуск программ с CDROM[/SIZE]
[SIZE=1]>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)[/SIZE]
[SIZE=1]>> Безопасность: к ПК разрешен доступ анонимного пользователя[/SIZE]
[SIZE=1]>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/SIZE]
[SIZE=1]Проверка завершена[/SIZE]
[SIZE=1]9. Мастер поиска и устранения проблем[/SIZE]
[COLOR=#ff0000][SIZE=1]>> Разрешен автозапуск с HDD[/SIZE]
[SIZE=1]>> Разрешен автозапуск с сетевых дисков[/SIZE]
[SIZE=1]>> Разрешен автозапуск со сменных носителей[/SIZE]
[COLOR=black]Можно это как-нить заблочить?:>[/COLOR]
[/COLOR]
[QUOTE=Mr.Page;229520][COLOR=#ff0000][SIZE=1]>> Разрешен автозапуск с HDD[/SIZE]
[SIZE=1]>> Разрешен автозапуск с сетевых дисков[/SIZE]
[SIZE=1]>> Разрешен автозапуск со сменных носителей[/SIZE]
[COLOR=black]Можно это как-нить заблочить?:>[/COLOR]
[/COLOR][/QUOTE]
можно:[quote]AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и нажать кнопочку "исправить отмеченные проблемы".[/quote]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\mikel\\ie_updates3r.exe - [B]Trojan-Downloader.Win32.Winlagons.jj[/B] (DrWEB: Trojan.DownLoader.based)[*] c:\\documents and settings\\mikel\\рабочий стол\\ieupdr2.exe - [B]Trojan-Downloader.Win32.Winlagons.jj[/B] (DrWEB: Trojan.DownLoader.based)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.bcn[/B] (DrWEB: Trojan.Proxy.2842)[/LIST][/LIST]