Лазиют непонятные процессы
Printable View
Лазиют непонятные процессы
[url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('wmvstat.dll','');
QuarantineFile('wmvmgr32.dll','');
QuarantineFile('jpgstat.dll','');
QuarantineFile('ifcstat.dll','');
QuarantineFile('ifcmgr32.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('confwmv.dll','');
QuarantineFile('confjpg.dll','');
QuarantineFile('confifc.dll','');
QuarantineFile('C:\WINDOWS\system32\xpspqdvd.dll','');
QuarantineFile('C:\WINDOWS\system32\ipsemsw3.dll','');
QuarantineFile('C:\WINDOWS\system32\ifcconf.exe','');
QuarantineFile('C:\WINDOWS\skksd32.exe','');
QuarantineFile('C:\WINDOWS\System32\msormsxm.exe','');
QuarantineFile('C:\WINDOWS\system32\msormsxm.dll','');
QuarantineFile('C:\WINDOWS\System32\gptedrmc.dll','');
QuarantineFile('C:\WINDOWS\System32\ipsemsw3.dll','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=9617[/url]........
Файл сохранён как/td> 070510_232532_virus_464371ace2fcf.zipРазмер файла1195305MD5f104bebf0929e1b1757900db8ffb50d9
В присланном пара видов [B]Email-Worm.Win32.Warezov[/B].
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\cfg000.exe');
DeleteFile('c:\windows\system32\msormsxm.exe');
DeleteFile('C:\WINDOWS\System32\gptedrmc.dll');
DeleteFile('C:\WINDOWS\System32\ipsemsw3.dll');
DeleteFile('C:\WINDOWS\system32\msormsxm.dll');
DeleteFile('C:\WINDOWS\skksd32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксите в HijackThis:
[code]
O20 - AppInit_DLLs: e1.dll confwmv.dll wmvstat.dll confjpg.dll jpgstat.dll ipsemsw3.dll confifc.dll ifcstat.dll
O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing)
O20 - Winlogon Notify: jpgmgr - jpgmgr32.dll (file missing)
O20 - Winlogon Notify: msormsxm - C:\WINDOWS\system32\msormsxm.dll
O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing)
O20 - Winlogon Notify: xpspqdvd - C:\WINDOWS\system32\xpspqdvd.dll (file missing)
[/code]
Сделайте новые логи, начиная с п.10 правил.
P.S. [B]Remote Administrator[/B], надеюсь, сами ставили?
Пишу я, человек из техсаппорта сети в которой Tomat находится. Remote Administrator поставлен мною с целью зайти на данный форум и выполнив все по правилам показать человеку что его компьютер все же заражен, не смотря на то что он проверялся на наличие вирусов с отрицательным результатом.
А казалось бы всего то и ходил один процесс msormsxm.exe а с какими еще кракозябрами ходит куча народу и утверждает что вирусов у них нет и что они проверились всеми возможными антивирусами.
Вобщем если можно будем иногда заглядывать к вам, не очень то люди хотят идти сюда почему то.
PS Скрипты и логи уже завтра вечером , тк он (Tomat) давно спит.
Заявление :"что вирусов у них нет и что они проверились всеми возможными антивирусами " не верно! Антивирус просто не мог знать на этот момент данного зверя .Вот вам доказательство того, что без сотрудничества со стороны пользователя ( то есть [B]выполнение наших правил[/B] ) заражённые компьютеры будут ещё долго будоражить вашу сеть-Ответ из лаб. Касперского :
[code]Hello.
New malicious software was found in the attached file.
Email-Worm.Win32.Warezov.dc
It's detection will be included in the next update. Thank you for your help.
-----------------
Regards, Roman Gavrilchenko
Virus Analyst, Kaspersky Lab.
Ph.: +7(495) 797-8700
E-mail: [email protected]
http://www.kaspersky.com http://www.viruslist.com
> Attachment: 070510_232532_virus_464371ace2fcf.zip
> VirusInfo Из темы http://virusinfo.info/showthread.php?t=9617 070510_232532_virus_464371ace2fcf.zip[/code]
P.s. Ну если не хотят внимательно читать и выполнять что требуется, это их право : со зверями ведь веселее и тех -поддержке больше работы :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]39[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\cfg000.exe - [B]Trojan.Win32.Pakes.cnj[/B][*] c:\\windows\\system32\\gptedrmc.dll - [B]Email-Worm.Win32.Warezov.dc[/B] (DrWEB: Win32.HLLM.Limar)[*] c:\\windows\\system32\\ipsemsw3.dll - [B]Email-Worm.Win32.Warezov.dc[/B] (DrWEB: Win32.HLLM.Limar)[*] c:\\windows\\system32\\msormsxm.dll - [B]Email-Worm.Win32.Warezov.na[/B] (DrWEB: Win32.HLLM.Limar)[*] c:\\windows\\system32\\msormsxm.exe - [B]Email-Worm.Win32.Warezov.pa[/B] (DrWEB: Win32.HLLM.Limar)[/LIST][/LIST]