гм..этот remove-errorsafe сканирует комп, находит зараженные файлы но чтобы их удалить просит ввести ключ, который, собсвенно, можно получить только за 40$ =\
pig, даже не знаю..мне надо еще раз его пофиксить?
гм..этот remove-errorsafe сканирует комп, находит зараженные файлы но чтобы их удалить просит ввести ключ, который, собсвенно, можно получить только за 40$ =\
pig, даже не знаю..мне надо еще раз его пофиксить?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Если уже фиксили, а он вернулся, значит, нужно что-то более радикальное...
Надо сделать свежие логи, разберемся.
I am not young enough to know everything...
Виноват, не знал. Раньше он удалял бесплатно. Еще раз прошу прощения.Сообщение от monami
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
вот логи..
В логах все на том же месте, как и в начале темы. Не понимаю, либо зловред нас дурит, либо ...
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
хотите сказать, что я вас дурю?
Это были просто мысли в слух.
Теперь по делу:
Выполнить скрипт:
После перезагрузки загрузить карантин через ссылку вверху темы (см. Приложение 3 Правил).Код:begin ClearQuarantine(); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\System Volume Information\_restore{9CE9234D-CB30-41DD-AE22-B484889AEBA5}\RP293\A0406289.exe' ,'' ); QuarantineFile('C:\System Volume Information\_restore{9CE9234D-CB30-41DD-AE22-B484889AEBA5}\RP293\A0406290.exe' ,'' ); QuarantineFile('C:\System Volume Information\_restore{9CE9234D-CB30-41DD-AE22-B484889AEBA5}\RP293\A0406291.exe' ,'' ); QuarantineFile('C:\WINDOWS\system32\qwerty12.exe /service',''); QuarantineFile('C:\WINDOWS\pmkkjg.dll',''); QuarantineFile('lsaswIo.dll',''); BC_ImportAll; BC_DeleteFile('C:\WINDOWS\system32\qwerty12.exe /service'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Поискать lsaswIo.dll в AVZ и написать в какой директории этот файл лежит.
Добавлено через 11 минут
http://www.atribune.org/content/view/24/2/ - совершенно точно бесплатная удалялка Virtumonde.
Последний раз редактировалось PavelA; 09.08.2007 в 16:34. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
всё сделала, путь - C:\WINDOWS\system32\lsaswIo.dll
VundoFix помог наполовину.. он нашел два зараженных файла, удалил, но Errorsafeсе равно не изчез..
Я после этого снвоа запустила XoftSpySe (тот, что платный), он нашел еще один зараженный файл трояном Vundo Trojan со степенью риска Severe, однако путь к нему несколько странный (я очень плохо разбираюсь в компьютерах =\ ) - software/microsoft/juan . Полный путь XoftSpySe не дает, поэтмоу я даже не знаю где этот файл искать
Последний раз редактировалось monami; 09.08.2007 в 17:19.
1. Пришлите карантин после скрипта от PavelA.
2. Выполните скрипт в AVZ:
3. Пофиксите в HijackThis (если останется):Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\pmkkjg.dll'); DeleteFile('C:\WINDOWS\system32\lsaswIo.dll'); DeleteFile('C:\WINDOWS\system32\qwerty12.exe'); BC_ImportDeletedList; BC_DeleteSvc('DomainService'); BC_DeleteFile('C:\WINDOWS\system32\qwerty12.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
4. Удалите все задания в планировщике (Панель управления -> Назначенные задания).Код:O2 - BHO: (no name) - {276d85d3-9a22-44c6-9a46-f3c0bcb4815a} - C:\WINDOWS\system32\lsaswIo.dll O20 - Winlogon Notify: lsaswIo - C:\WINDOWS\SYSTEM32\lsaswIo.dll
5. Перезагрузите компьютер и сделайте еще раз логи.
I am not young enough to know everything...
вот
Теперь в логах все чисто.
Проблема еще проявляется?
I am not young enough to know everything...
нет =) спасибо вам всем огромное ) а что насчет того трояна по пути software/microsoft/juan?
Видимо, речь идет не о файле, а о каком-то подозрительном ключе в реестре. В логах ничего такого нет. Если интересно, можете запустить regedit и поискать ключи:а что насчет того трояна по пути software/microsoft/juan?
HKEY_LOCAL_MACHINE\Software\Microsoft\Juan
или HKEY_CURRENT_USER\Software\Microsoft\Juan
При наличии такового поставьте курсор на Juan, выберите в меню Файл - Экспорт, сохраните файл, упакуйте в zip и прикрепите сюда.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\lsaswio.dll - not-a-virus:AdWare.Win32.Virtumonde.ke (DrWEB: Trojan.Virtumod)
- c:\\windows\\system32\\wmldap.dll - Trojan-Spy.Win32.Goldun.ps (DrWEB: Trojan.PWS.GoldSpy)
Уважаемый(ая) monami, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
