03.07.2007 10:06:38 Процесс C:\WINDOWS\system32\mssync20.exe, обнаружено: потенциально опасное ПО Hidden object (модификация)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
03.07.2007 10:06:38 Процесс C:\WINDOWS\system32\mssync20.exe, обнаружено: потенциально опасное ПО Hidden object (модификация)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
Последний раз редактировалось OlgaHelga; 03.07.2007 в 13:11. Причина: Новые логи
уберите карантин из сообщения (virusinfo_cure.zip) и прикрепите логи как положено по правилам.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll',''); QuarantineFile('swmclip.dll',''); QuarantineFile('svchоst.exe',''); QuarantineFile('C:\WINDOWS\system32\msindeo.dll',''); QuarantineFile('C:\WINDOWS\system32\msicuic.dll',''); QuarantineFile('C:\WINDOWS\system32\mssync20.exe',''); QuarantineFile('\??\C:\WINDOWS\system32\mssync20.sys',''); DeleteFile('swmclip.dll'); DeleteFile('C:\WINDOWS\system32\mssync20.exe'); DeleteFile('C:\WINDOWS\system32\ipv6monl.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
пофиксите
Код:O15 - Trusted Zone: apps.centercredit.kz O16 - DPF: PrivateWire - http://apps.centercredit.kz/jpw.cab
Последний раз редактировалось Muzzle; 03.07.2007 в 08:47.
Не знаю, как убрать карантин...
Логи правильно прикрепила?
Ладно, пока не нужно. Пришлите карантин после скрипта Muzzle.
Добавлено через 9 минут
Еще есть подозрительные файлы.
Выполните скрипт:
После перезагрузки пришлите новый карантин согласно приложению 3 правил.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\mssync20.dll',''); QuarantineFile('C:\WINDOWS\system32\msstub.dll',''); QuarantineFile('C:\WINDOWS\system32\mssync20.sys',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Bratez; 03.07.2007 в 09:06. Причина: Добавлено сообщение
I am not young enough to know everything...
Вроде бы всё сделала, как Вы советовали. Посмотрите пожалуйста.
СПАСИБО Вам за помощь.
Что-то у вас понимание прочитанного хромает.Делать и присылать по правилам, дополнение 3 . Присылать карантин только по ссылке в шапке :http://virusinfo.info/upload_virus.php?tid=10783
Может на английском будет лучше, на русском у вас не очень выходит. : http://virusinfo.info/showthread.php?t=9184
Последний раз редактировалось drongo; 03.07.2007 в 09:37.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\msicuic.dll'); DeleteFile('C:\WINDOWS\system32\msindeo.dll'); DeleteFile('C:\WINDOWS\system32\mssync20.exe'); DeleteFile('svchоst.exe'); DeleteFile('swmclip.dll'); DeleteFile('C:\WINDOWS\system32\msstub.dll'); DeleteFile('C:\WINDOWS\system32\mssync20.dll'); BC_ImportDeletedList; BC_DeleteSvc('mssync2020'); BC_DeleteFile('C:\WINDOWS\system32\mssync20.sys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пофиксите в HijackThis:
(некоторых строк может не оказаться).Код:O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing) O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll (file missing) O2 - BHO: (no name) - {DB5825EA-B434-C69E-8E2D-81387140521A} - C:\WINDOWS\system32\msstub.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [NeroFilterCheck] svchоst.exe O20 - AppInit_DLLs: C:\WINDOWS\system32\msicuic.dll O21 - SSODL: msindeo.dll - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll (file missing) O21 - SSODL: VStorage - {5BE5BC79-82C9-472A-85CA-55B9A8FB2E2D} - swmclip.dll (file missing)
Затем перезагрузитесь и сделайте новые логи (п.8-13 правил).
I am not young enough to know everything...
Сделала новые логи.. Посмотрите пожалуйста.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Пришлите файл согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\System32\smss.exea',''); DeleteFile('C:\WINDOWS\System32\smss.exea'); BC_DeleteFile('C:\WINDOWS\System32\smss.exea'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
и повторите лог HijackThis
вы скрипт выполняли? и где лог HijackThis?
Да я выполнила скрипт.hijackthis.log
всё чисто
Желательно работать под пользователем с ограниченными правами.
По возможности не использовать IE,а пользоваться другими браузерам,например Opera,Firefox (с отключенными скриптами)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Последний раз редактировалось Muzzle; 03.07.2007 в 15:45.
Последний раз редактировалось OlgaHelga; 03.07.2007 в 16:18. Причина: Добавлено сообщение
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- \\avz00001.zip - Trojan-Spy.Win32.Goldun.pq (DrWEB: archive: Trojan.PWS.GoldSpy)
- c:\\windows\\system32\\msicuic.dll - Trojan-Spy.Win32.Goldun.pq (DrWEB: Trojan.PWS.GoldSpy)
- c:\\windows\\system32\\mssync20.dll - Trojan-Spy.Win32.Agent.aar (DrWEB: Trojan.BhoSpy)
- c:\\windows\\system32\\mssync20.sys - Trojan-Spy.Win32.Agent.kd (DrWEB: Trojan.NtRootKit.297)
Уважаемый(ая) OlgaHelga, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.