SpIDer Guard переодически выдает сообщение о вирусе BackDoor.Generic.1138!
Printable View
SpIDer Guard переодически выдает сообщение о вирусе BackDoor.Generic.1138!
[CODE]begin
QuarantineFile('C:\Documents and Settings\I_AM\Local Settings\Application Data\smss.exe','');
DeleteFile('C:\Documents and Settings\I_AM\Local Settings\Application Data\smss.exe');
end.[/CODE]
Выполните скрипт, пришлите содержимое карантина
Извините, какой скрипт выполнить?
[url]http://virusinfo.info/showthread.php?t=7239[/url]
Содержимое карантина
Не могу отправить содержимое карантина, не коректный файл.
Если только так. Но в карантине результат месячной давности.
1. в правилах написано, как отправлять файлы.
2. То, что Вы прикрепили, никто на просил. просили выполнить скрипт, и прислать карантин. [url]http://virusinfo.info/showpost.php?p=95322&postcount=2[/url]
Имено так я и сделал! В карантине было только это. Перезагрузился и снова попер вирус.
А если так?
Выполнил скрипт. Написало что выполнен без ошибок.Затем - автокарантин. Полностью содержимое превышает ограничения на отправку, поэтому выслал в таком виде.
Еще раз. Где Вас просили делать автокарантин?
После выполнения скрипта в карантине должен был оказаться ОДИН файлик. Его и надо было прислать по правилам, а именно - по ссылке [url]http://virusinfo.info/upload_virus.php?tid=7878[/url] Прикреплять что-либо, кроме логов к сообщениям не нужно!
Так как фик сейчас разберешься, что у вас наудалялось и что в карантине. Начнем сначала. Сделайте логи.
После выполнения скрипта в карантине ничего не оказалось!!! Что теперь прикажете делать?
[QUOTE=sergio75;95348]После выполнения скрипта в карантине ничего не оказалось!!! Что теперь прикажете делать?[/QUOTE]
Не оказалось так не оказалось. Повторите логи. И скорее всего вы получаете своего бекдора снаружи через какую-то дыру. Где конкретно на диске обнаруживаются зараженные файлы?
10-02-2007 19:37:13 [CL] C:\Documents and Settings\All Users\Документы\SharedDocs.exe - инфицирован BackDoor.Generic.1138
10-02-2007 19:37:14 [CL] C:\Documents and Settings\All Users\Документы\Мои видеозаписи\Мои видеозаписи.exe - инфицирован BackDoor.Generic.1138
10-02-2007 19:37:14 [CL] C:\Documents and Settings\All Users\Документы\Моя музыка\Моя музыка.exe - инфицирован BackDoor.Generic.1138
10-02-2007 19:37:15 [CL] C:\Documents and Settings\All Users\Документы\Моя музыка\Sample Playlists\Sample Playlists.exe - инфицирован BackDoor.Generic.1138
10-02-2007 19:37:15 [CL] C:\Documents and Settings\All Users\Документы\Моя музыка\Образцы музыки\Образцы музыки.exe - инфицирован BackDoor.Generic.1138
10-02-2007 19:37:16 [CL] C:\Documents and Settings\All Users\Документы\Моя музыка\Образцы музыки\Образцы музыки.exe - удален
10-02-2007 19:37:16 [CL] C:\Documents and Settings\All Users\Документы\Моя музыка\Образцы музыки\Образцы музыки.exe - инфицирован BackDoor.Generic.1138
10-02-2007 19:37:17 [CL] C:\Documents and Settings\All Users\Документы\Моя музыка\Образцы музыки\Образцы музыки.exe - инфицирован BackDoor.Generic.1138
10-02-2007 19:37:17 [CL] C:\Documents and Settings\All Users\Документы\Моя музыка\Sync Playlists\Sync Playlists.exe - инфицирован BackDoor.Generic.1138
10-02-2007 19:37:18 [CL] C:\Documents and Settings\All Users\Документы\Мои рисунки\Мои рисунки.exe - инфицирован BackDoor.Generic.1138
10-02-2007 19:37:19 [CL] C:\Documents and Settings\All Users\Документы\Мои рисунки\Образцы рисунков\Образцы рисунков.exe - инфицирован BackDoor.Generic.1138
10-02-2007 19:37:19 [CL] C:\Documents and Settings\All Users\Документы\Мои рисунки\Образцы рисунков\Образцы рисунков.exe - инфицирован BackDoor.Generic.1138
10-02-2007 19:37:20 [CL] C:\Documents and Settings\All Users\Документы\Мои рисунки\Образцы рисунков\Образцы рисунков.exe - инфицирован BackDoor.Generic.1138
10-02-2007 19:37:20 [CL] C:\Documents and Settings\All Users\Документы\Мои рисунки\Образцы рисунков\Образцы рисунков.exe - инфицирован BackDoor.Generic.1138
10-02-2007 19:37:21 [CL] C:\Documents and Settings\All Users\Документы\Мои рисунки\Образцы рисунков\Образцы рисунков.exe - инфицирован BackDoor.Generic.1138
10-02-2007 19:37:22 [CL] C:\Documents and Settings\All Users\Документы\Мои рисунки\Образцы рисунков\Образцы рисунков.exe - инфицирован BackDoor.Generic.1138
10-02-2007 19:37:23 [CL] C:\Documents and Settings\All Users\Документы\Мои рисунки\Образцы рисунков\Образцы рисунков.exe - инфицирован BackDoor.Generic.1138
Прошу прощения!
Забыл.
AVZ - "Файл"=>"Выполнить скрипт"
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\I_AM\Local Settings\Application Data\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\CMMON32.EXE','');
DeleteFile('C:\Documents and Settings\I_AM\Local Settings\Application Data\smss.exe');
DeleteFile('C:\WINDOWS\system32\CMMON32.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
[url=http://virusinfo.info/showthread.php?t=4491]Пофиксите[/url] в Hijack строку
[code]
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\I_AM\Local Settings\Application Data\smss.exe"
[/code]
После перезагрузки пришлите нам карантин, повторите логи и добавьте к ним boot_clr.log из каталога AVZ.
При выполнении скрипта комп так повис, что пришлось выключать кнопкой. Без CMMON32.EXE не могу подключиться к инету. Пришлось делать откат системы.
А, видел такое. Этот троян распространяется через Desktop.ini посмотрите, у Вас должно быть полно таких файлов в разных директориях. НАйдите один Desktop.ini и прикрипите к посту
Поиск нашел всего 3.А как его прикрепить к посту?
Нажмите на "расширенный режим" ответа, там "управление вложениями"
Расширение .ini там не поддерживается!
Так смините расшитение на txt
Извиняюсь, похоже пролетел :( просто пришлите CMMON32.EXE
Скрипт без удаления CMMON`a -
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\I_AM\Local Settings\Application Data\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\CMMON32.EXE','');
DeleteFile('C:\Documents and Settings\I_AM\Local Settings\Application Data\smss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
Скрипт выполнил. Профиксить в Hijack строку не смог, потому что теперь нет такой. В карантине ничего нет.
Как-бы больше ничего подозрительного в логах не видно.
А еще раз гляньте, ПОЖАЛУЙСТА !
Опять попер!!! Опять 17 штук! Удалил Dr.Wer-ом. Что делать, кто его таскает на комп?
Эти файлы к вам на компьютер записываются по сети с помощью совместного доступа к файлам. Отключите "Службу доступа к файлами принтерам..." (Панель управления - сетевые подключения - свойства подключения к сети) или установите пароли на все учетные записи.
Сделал + поставил firewall. Пока все хорошо. Тьфу,тьфу,тьфу! Всем огромучее СПАСИБО!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]