SanitarDiska

Printable View

08.01.2008, 16:17
CaHeK

Вложений: 1

SanitarDiska

Доброго времени суток!
С неделю назад появилось сообщение от NOD32,что пытаются загрузить файл 1013.ехе.Попытки были настойчивы,но прерывались разрывом связи.Потом возникло сообщение о том,что срочно необходимо установить SanitarDiska и что на компе хранится компромат типа порносайтов и т.д.
Потом посыпалась реклама.Отсылаю файлы,оч. надеюсь на помощь.Заранее благодарен.
08.01.2008, 16:19
Макcим

Выполните [URL="http://virusinfo.info/showthread.php?t=1235"]правила оформления запроса[/URL].
09.01.2008, 01:22
CaHeK

Сорри,я старался,но почему-то не вставились отчеты:blink:
Ламер я непроходимый!:cool:
Пробую исчо раз,простите,если опять не так-я не со зла!
09.01.2008, 01:29
drongo

не то :) Перечитал правила, ну нет таких файлов которые вы прикрепили :)Прочитайте ещё разок .
09.01.2008, 14:43
CaHeK

Прогнал CureIt потом AVZ вроде отпустило...удалили кучу троянов.Надеюсь,что поможет.В любом случае,спасибо всем за ликбез!
09.01.2008, 14:45
Макcим

Напрасно Вы так. Возможен рецидив.
09.01.2008, 16:15
CaHeK

Вполне возможен.Даже есть определенные опасения.Много прочитал на сайте.Ну да всегда могу к Вам обратиться!Огромное спасибо всем,кто помогает "чайникам" вроде меня!
ЗЫ. Вечерком проверю,все ли чисто?
Сделаю логи и все вышлю.
Береженого....
09.01.2008, 20:57
CaHeK

Вложений: 3

Если кто-то проверит,буду очень признателен.
09.01.2008, 21:20
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\Fadpu16E.sys','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
09.01.2008, 21:42
CaHeK

Ну нету у меня ZIPа!!! Че делать? Есть RAR...

[size="1"][color="#666686"][B][I]Добавлено через 55 секунд[/I][/B][/color][/size]

Скрипт выполнил,комп перезагрузился,карантин я сжал раром...

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Ща закачаю,сорри за истерику:blink:
09.01.2008, 21:55
V_Bond

рар - это хорошо .... авз сам все запакует ... ;)
09.01.2008, 22:09
CaHeK

А я уже весь карантин упаковал...всю папку!:biggrinsanta:

[size="1"][color="#666686"][B][I]Добавлено через 42 секунды[/I][/B][/color][/size]

А прррриятна ощущать,что ты не один!:biggrin:

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

Мдээээ,я не токмо Ламо,я еще и читать-то толком не умею:blink:
Послать еще раз?Согласно прил.3?
(я не нарошна!!)
09.01.2008, 22:19
V_Bond

C:\WINDOWS\system32\ntos.exe [B]TR/Spy.Broker.ap[/B] - удален ...
сделайте еще раз комплект логов - новый - посмотрим вдруг что осталось ...
09.01.2008, 22:22
CaHeK

Не ругайте,но я повторил отсылку.На этот раз все как надо.

[size="1"][color="#666686"][B][I]Добавлено через 52 секунды[/I][/B][/color][/size]

Ок,из сетки выходить и ПО отключать,так?
09.01.2008, 22:30
V_Bond

все как написано в правилах ...
09.01.2008, 23:13
CaHeK

Вложений: 3

Высылаю логи,надеюсь,что все получилось.
10.01.2008, 00:35
CaHeK

Эххх,не дождуся я ответа-так и лягу спатки толи с вирусом,толи здоровым...Ну да утро вечера мудренее!
10.01.2008, 00:40
V_Bond

в логах не видно ничего зловредного ....
какие -то проблемы остались ?
10.01.2008, 08:46
CaHeK

Пока никаких проблем не наблюдается.Огромное спасибо за потраченное на меня время!
10.01.2008, 11:24
Макcим

Что из этого нужно? Лишнее отключим для безопасности :smile: [CODE]>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/CODE]
10.01.2008, 20:55
CaHeK

Я даже и не знаю...
Наверно не нужен доступ анонима,да и дисп.сеанса справки для удаленного стола...
короче,не надо ниче отключать-я не знаю,что это,но потом не смогу включить при необходимости.
Знать бы где упасть...
16.01.2008, 23:29
CaHeK

AVZ определяет 96,9% вероятность,что файл dadkeyb.dll относится к шпионским.Что делать?
17.01.2008, 00:26
V_Bond

немного не так он подозревает его как Keylogger (несколько разные вещи) .... я так понимаю у вас дел а это от него ....
22.02.2009, 03:19
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.aay[/B] (DrWEB: Trojan.Proxy.2486)[/LIST][/LIST]