Доброго времени суток.
Появилась у меня эдакая зараза - опрометчиво кликнул по ссылке на pif файл залитый на imageshack.
Прошу посмотреть логи на предмет вредителей.
Printable View
Доброго времени суток.
Появилась у меня эдакая зараза - опрометчиво кликнул по ссылке на pif файл залитый на imageshack.
Прошу посмотреть логи на предмет вредителей.
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-6706182745-0432880999-544269252-7354\rundll32.exe','');
QuarantineFile('C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll','');
DeleteFile('C:\RECYCLER\S-1-5-21-6706182745-0432880999-544269252-7354\rundll32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-6706182745-0432880999-544269252-7354\rundll32.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pssdk42.sys','');
DeleteFile('C:\RECYCLER\S-1-5-21-6706182745-0432880999-544269252-7354\rundll32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
PS: Как я полагаю, у вас был пинч и были украдены все пароли, в т.ч. от msn... смените все пароли везде
Залил карантин.
Имел-ли место быть так называемый "пинч" и нужно-ли менять пароли?
В корне диска C появился файл ".rnd" с нечитаемым содержимым, а на диске X "autorun.inf", запускающий несколько раз open=system32/rundll.exe со странными параметрами. При необходимости приложу.
Прикрепляю повторно сделаные логи.
нету логов... :(
Логи прикрепил, извиняюсь.
В логах ничего подозрительного. Жалобы есть?
пароли все-таки смените, кстати
Жалоб не наблюдается. Сие был пинч? Может кто может парсер для него дать, дабы проверить файлик ".rnd" в корне C на предмет того - какие пароли ушли.
я не уверен насчет пинча, просто рассылка сообщений от вашего имени в msn вызывает определенные подозрения...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-6706182745-0432880999-544269252-7354\rundll32.exe - [B]P2P-Worm.Win32.Palevo.kad[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Worm.P2P.Palevo.B, NOD32: Win32/Peerfrag.EU worm, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]