Puper и Vundo

[Xdrum]

новые логи и карантин

[V_Bond]

уже чище ...
выполните скрипт ...

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\qmtwfubo.dll','');
 QuarantineFile('C:\WINDOWS\system32\hgbqnmsd.dll','');
 QuarantineFile('C:\WINDOWS\grngoqw.exe','');     
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[Xdrum]

высылаю

[V_Bond]

ненужно переименовывать карантин ... еще и с кирилицей ...
пришлите нормально ...

[Xdrum]

выслал

[rubin]

Trojan.Win32.BHO.bd C:\WINDOWS\system32\hgbqnmsd.dll
Trojan.Win32.BHO.bd C:\WINDOWS\system32\qmtwfubo.dll
Выполните:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\hgbqnmsd.dll');
 DeleteFile('C:\WINDOWS\system32\qmtwfubo.dll');     
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Поищите через AVZ grngoqw.exe, найдется - пришлите

[Xdrum]

не нашел такого

[V_Bond]

сделайте комплект логов ...

[Xdrum]

логи и карантин

[V_Bond]

wlkvafoj.exe найдите при помощи авз и пришлите по правилам ...

[Xdrum]

AVZ такого файла не видит. хотя при поиске в реесте указывает.

[V_Bond]

выполните скрипт ....

Код:

begin
 DeleteService('DomainService');
 DeleteFile('C:\WINDOWS\system32\wlkvafoj.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повтоите логи начиная с пункта 10 правил ....

[Xdrum]

логи

[V_Bond]

влогах ничего зловредного ...
мусор осталось убрать ...
выполните скрипт ...

Код:

begin
 DeleteService('Windows Overlay Components');
 DeleteFile('C:\WINDOWS\grngoqw.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

что из этого используется ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса

[Xdrum]

службы - понятия не имею, ни о чем не говорят, ничего на первый взгляд.
безопасность - все нормально, но IE у меня ущербный, хожу через оперу.

[V_Bond]

компьютер домашний \ рабочий ?
локалка есть \ нет ?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 5
• Обработано файлов: 17
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\мария\\local settings\\temp\\rtert4.pif - Trojan-Downloader.Win32.Tiny.ahp (DrWEB: Trojan.DownLoader.46257)
  2. c:\\program files\\deluxecommunications\\dxcbho.dll - not-a-virus:AdWare.Win32.SurfSide.ay (DrWEB: Adware.Surfside)
  3. c:\\windows\\system32\\drivers\\agk37.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.134)
  4. c:\\windows\\system32\\hgbqnmsd.dll - Trojan.Win32.BHO.bd (DrWEB: Trojan.Virtumod)
  5. c:\\windows\\system32\\qmtwfubo.dll - Trojan.Win32.BHO.bd (DrWEB: Trojan.Virtumod.214)